О том, как работает эта система, в чем ее преимущества перед аналогичными системами других производителей и какие задачи она помогает решать банковским организациям, рассказал в интервью NBJ директор по развитию бизнеса компании «Новые технологии безопасности» Михаил РОМАНОВ.

NBJ: Михаил, какие главные вызовы сейчас стоят перед банками в сфере информационной безопасности?

М. РОМАНОВ: Наверное, я не буду оригинален, если скажу, что для банков одним из главных рисков является потеря репутации. При неблагоприятном раскладе организация рискует потерять не только деньги, но и клиентов и даже лицензию на осуществление банковской деятельности. Именно поэтому банки традиционно уделяют проблемам обеспечения защиты информации больше внимания, чем, например, промышленные предприятия. 

Но при этом надо понимать, что риски в сфере ИБ постоянно растут и видоизменяются – в немалой степени это связано с тем, что сейчас все банковские операции переходят в «цифру». Уже никого не удивляет тот факт, что в онлайн-режиме можно и взять кредит, и открыть вклад, и совершить платеж. Документооборот в самих банках тоже становится преимущественно электронным, и коммуникации между различными их подразделениями и сотрудниками осуществляются цифровым образом. Это, с одной стороны, открывает для кредитных организаций новые возможности с точки зрения оптимизации и повышения уровня эффективности своего бизнеса, а с другой – создает благодатное «поле» для злоумышленников. 

Кстати, если уж мы говорим о хакерах, то стоит отметить, что их профессионализм растет, технологии, которыми они пользуются для взлома банковских систем, становятся все более совершенными. Это обстоятельство тоже необходимо учитывать, и необходимо понимать, что, раз ситуация усложняется, то неизбежно придется больше работать над преодолением новых вызовов.

NBJ: У вашей компании есть линейка продуктов SafeShell, которая включает в себя систему контроля за действиями привилегированных пользователей. Расскажите о ней подробнее. 

М. РОМАНОВ: Этот продукт предназначен именно для контроля действий сотрудников, которые наделены более широкими полномочиями, чем обычные пользователи. Почему мы сконцентрировали свое внимание именно на них? Потому что за последние несколько лет банковский рынок существенно изменился. В начале своего пути банки были преимущественно небольшими, уровень их автоматизации, как легко догадаться, оставлял желать лучшего, и поэтому системных администраторов можно было пересчитать по пальцам одной руки. Сейчас ситуация принципиально иная: организации стали неизмеримо больше, их компьютерные сети также выросли, соответственно, увеличилось количество администраторов, причем как внутренних, так и внешних. Распространенной стала картина, при которой в штате банка состоят 40 администраторов, и еще примерно столько же человек работают удаленно – это сотрудники компаний-вендоров и интеграторов, получившие привилегированные права доступа к системам в рамках реализации каких-либо проектов. Иногда проекты осуществляются в течение трех-четырех месяцев, после чего такие администраторы должны утрачивать права доступа, но на практике зачастую этот аспект остается вне контроля со стороны банков. 

Другой весьма распространенный «кейс»: есть система, которая управляет правами пользователя, но администраторы при этом работают по другим протоколам, то есть, проще говоря, они входят в систему другими способами. В системе информационной безопасности возникает своего рода дыра, и далеко не всегда банки отдают себе в этом отчет. Мы, со своей стороны, предлагаем им решение, которое призвано закрыть эту «дыру».

NBJ: Каким образом?

М. РОМАНОВ: Во-первых, мы можем обес­­печить полную аутентификацию и идентификацию в администраторских протоколах. Это очень важный момент, поскольку мы неоднократно сталкивались с такой практикой: администраторский аккаунт один, а доступ к нему имеют пять-шесть человек. Предположим, что была совершена ошибка – как вы определите, кто из привилегированных пользователей конкретно ее совершил, если они использовали для входа в систему один и тот же логин и пароль? 

NBJ: Никак. 

М. РОМАНОВ: Это в случае, если вы не используете нашу систему контроля за действиями таких пользователей. Она фактически играет роль прокси, то есть идентифицирует входящих и полностью записывает все их действия. Вся полученная информация хранится в защищенном виде с временными отметками и может использоваться в суде в качестве доказательной базы. 

NBJ: Банки понимают, что им нужна такая система для повышения качества своей информационной защиты?

М. РОМАНОВ: Утверждать, что все они понимают это, было бы неправильно, но я должен сказать, что эта тема с каждым годом становится все более «раскрученной». В немалой степени этому способствуют те инциденты, которые имели место в последние несколько лет: например, достаточно широкую огласку получил скандал, возникший после того, как были украдены административные учетные записи одного из очень крупных онлайн-магазинов. Непрямой ущерб пострадавшей организации оценивался в 1 млрд долларов, а прямой ущерб – в сумму порядка 30–40 млн долларов. Мы понимаем, что далеко не все компании могут пережить такие убытки – для некоторых они могут стать критическими, и это особенно справедливо для банков, которые должны поддерживать свой капитал на должном уровне. 

Не буду скрывать, что в некоторых случаях мы сталкиваемся с противодействием со стороны внутренних администраторов, которые уверены, что предназначение нашей системы в том, чтобы следить за ними. На деле же речь идет скорее о контроле за действиями внешних администраторов – а таких, по результатам последних исследований, в организациях обычно от 45% до 60% от общего числа. После подобного рода объяснений люди обычно начинают понимать, что и как, и, попробовав нашу систему в действии, они убеждаются, что она реально облегчает им жизнь, а банкам обеспечивает дополнительную защиту. 

NBJ: Михаил, какие преимущества именно ваших систем в сравнении с аналогичными решениями конкурентов вы можете назвать?

М. РОМАНОВ: PAМ-системы (Privilege Account Management) условно можно разделить на две категории. К первой категории относятся решения, преду­сматривающие установку в компании «клиента» специального терминального сервера и (или), как правило, маленького «клиента» на самом компьютере пользователя (похоже на keylogger). С помощью этого сервера (или установленного «клиента») делается скриншот каждого нажатия пользователя на клавиши, потом на основе этого формируется «картина мира» – то есть устанавливается, какие команды пользователь набирал на клавиатуре. И все бы хорошо, но обмануть такие системы довольно просто. 

Системы второй категории обойти намного сложнее, поскольку они работают по технологии man-in-the-middle – «человек в середине». То есть мы представляемся пользователю сервером, а серверу – пользователем. Это более правильный подход, поскольку он позволяет нам видеть все, что происходит в основном канале и субканалах. К тому же на администраторском рабочем месте в случае установления нашей системы ничего не приходится менять – администратор может легко отключить «клиента», устанавливаемого на его компьютер. Наша система устанавливается за 20 минут и способна работать распределенно, но в то же время централизованно аккумулировать информацию со всех серверов, обес­печивая также и проактивный контроль вводимых в канале команд или передаваемых файлов.