Начальник отдела информационной безопасности управления безопас­ности банка «ГЛОБЭКС» Валерий ­ЕСТЕХИН в интервью NBJ рассказал о различных аспектах деятельности службы ИБ, о своей точке зрения на проблемы информационной безопасности в ­эпоху кибервойн.

NBJ: Как известно, бизнес зачастую негативно относится к развитию и ужесточению требований информационной безопасности (ИБ). Как вашему банку удается приводить свою систему ИБ в соответствие современным практикам обеспечения информационной безопасности?

В. ЕСТЕХИН: Бизнес уважает тех, кто вовремя предупреждает его об угрозах и опасностях, кто умеет все просчитать и предвидеть угрозы заранее. Как раз служба информационной безопасности может преуспеть в этом, ежедневно повышая уровень компетенции своей команды. Знание и готовность предотвратить угрозы можно рассматривать как противостояние риску. В работе службы ИБ особое место занимает такое качество, как проактивность. Служба должна участвовать во всех пилотных проектах компании, имеющих отношение как к операционной деятельности, так и к обеспечению непрерывности бизнес-процессов. Все процессы должны согласовываться со службой ИБ: внедрение мобильного банка, новой парольной политики, нового технологического решения. Именно служба информационной безопасности совместно со службой информационных технологий (ИТ) определяет, соответствует ли реализация новых решений в банке существующим требованиям по ИБ. Я считаю, что необходимо уделять больше внимания бизнес-аспектам информационной безопасности, а не технологиям.

Чтобы убедить бизнес в необходимости использования современных практик обеспечения информационной безопасности, надо на ранних этапах подключаться к рабочим группам, реализующим бизнес-функции в компании, принимать участие в экспертизе договоров, ТЗ, нормативных документов и т.д. А убедить бизнес можно только силой авторитета и специальных знаний. Важно, чтобы бизнес понимал, что ИБ  – это его неотъемлемая часть, современные технологии не могут существовать в отрыве от безопасности, потому что все процессы осуществляются посредством информационных технологий.

NBJ: Как, на ваш взгляд, должно быть организовано взаимодействие бизнес-подразделений и службы ИБ в банке? Как разделить зоны и меру ответственности каждой группы участников в случае инцидентов?

В. ЕСТЕХИН: Взаимодействие бизнес-подразделений и службы ИБ чаще всего происходит на уровне тех или иных бизнес-процессов, рабочих групп, согласований или, например, предоставления доступа к ИС банка.

Огромное значение в этом вопросе имеет внутренняя корпоративная культура организации: то, как в банке строится экспертиза договорной работы с контрагентами по части обеспечения ИБ и защиты информации, а также экспертиза договоров на разработку/модернизацию ПО.

Служба ИБ обязательно должна участвовать в контрольных и аудиторских проверках вместе со службой внутреннего контроля, внешними аудиторами, осуществлять контроль действий сотрудников в информационных системах. План подобных работ расписан у нас вплоть до 2019 года.

Большую роль играет взаимодействие службы ИБ с юридическим управлением в банке в плане экспертизы соответствия обеспечения информационной безопасности требованиям регуляторов (ФСТЭК России, ФСБ России, Банка России), готовности к проверкам Роскомнадзора.

Что же касается зоны и меры ответственности подразделений банка в случае инцидентов, то порядок действий описан в нормативных документах банка, а ответственность определена приказами и распоряжениями по ­организации.

NBJ: Допустим, нужно максимально быстро вывести на рынок новую услугу, чтобы опередить конкурентов и не потерять потенциальную прибыль. Можете ли вы в этом случае несколько снизить критичность требований обеспечения ИБ?

В. ЕСТЕХИН: Такие случаи действительно встречаются. Подчеркну, что контроль со стороны безопасности не должен подавлять и ограничивать гибкость бизнеса. Пренебречь требованиями безопасности сервиса теоретически возможно, но это палка о двух концах, так как качество безопасности новой услуги влияет на бизнес компании в будущем. Допустим, мы запускаем онлайн терминал оплаты услуг на своем сайте, но не побеспокоились о защите сайта от кибератак. Сайт взломали, персональные данные банковских карт клиентов оказались в руках мошенников. Такую услугу можно назвать медвежьей.

Обязательность соблюдения требований безопасности в отношении новой услуги определяется уровнем возникающего риска и величиной расходов, связанных с его снижением.

NBJ: Как строятся взаимоотношения служб ИT и ИБ в вашем банке, в чем специфика этих взаимоотношений?

В. ЕСТЕХИН: Взаимоотношения этих служб всегда сложные, потому что мы играем на одном поле. Информационная безопасность не может сущест­вовать в отрыве от ИТ-ландшафта, а значит и от ИТ-услуг. Единственный способ привлечь ИТ-службу на свою сторону – делиться полномочиями и ­ответственностью.

Помимо прочего, служба ИБ осуществляет контроль качества ИТ-сервисов, что подчас вызывает сопротивление со стороны ИТ-подразделения. Если руководитель службы ИТ и будет к кому-то прислушиваться, то только к тому, кто знает слабости ИТ-инфраструктуры лучше него.

Кроме того, никто не отменял основополагающего для банков принципа двойного управления, согласно которому для сохранения целостности и непрерывности бизнес-процессов в банке требуется, чтобы два лица независимо выполняли определенное действие перед завершением тех или иных операций (изменение состояния данных, информационных ресурсов). Поэтому подавляющее большинство настроек производится силами ИТ-подразделения, а за собой мы оставляем контроль.

NBJ: Службы ИБ и ИТ неразрывно связаны в современной корпоративной системе компании, эффективность работы каждой из них напрямую зависит от успешности их взаимодействия. При этом нередко их сотрудничество построено неэффективно. Почему так происходит? Как решаются спорные моменты и ­вопросы?

В. ЕСТЕХИН: Действительно, иногда этим подразделениям бывает трудно прийти к взаимопониманию по каким-либо спорным вопросам. Например, зачастую точке зрения службы ИБ, аргументированной выдержками из нормативно-правовых актов законодательства РФ и указаний Банка России, ИТ-подразделение противопоставляет свое ничем не подкрепленное мнение.
Другой момент: в одном из документов Комплекса стандартов (а именно в РС БР ИББС-2.9-2016) Банк России рекомендует выделять в числе возможных категорий внутренних нарушителей эксплуатационный персонал (например, персонал, который обслуживает ИT-системы). Поэтому, когда мы осуществляем данную предписанную регулятором контрольную функцию, то стараемся делать это, не ставя в известность ИТ-службу, что вызывает у последней негативную реакцию.

В случае конфликтных ситуаций с ИТ-подразделением, если не удается достичь компромисса, мы апеллируем к топ-менеджменту организации, эскалируя вопрос наверх, вплоть до президента банка.

NBJ: Как вы считаете, должна ли служба ИБ позиционироваться отдельно от ИТ-службы? Как это происходит на ­практике?

В. ЕСТЕХИН: На мой взгляд, ИБ-служба должна быть обособлена от ИТ-службы во избежание возможного конфликта интересов. Понятно, что информационной безопасности, а значит и службы ИТ, в отрыве от ИТ-инфраструктуры существовать не может. Однако цели этих подразделений банка не всегда совпадают.

Цель ИТ-службы заключается в обеспечении непрерывности предоставления ИТ-услуг. Целью ИБ-службы является обеспечение сохранности корпоративных активов и конфиденциальной информации. Вместе они отвечают за доступность ИТ-сервисов банка.

При этом неслучайно регулятор требует в нормативных документах, чтобы кураторами подразделений ИТ и ИБ в банке были независимые друг от друга лица и чтобы само подразделение информационной безопасности было обособлено от всех подразделений, занимающихся управлением ИТ-инфраструктурой.

NBJ: Каким образом строится процесс взаимодействия службы ИБ с поставщиками решений по ИБ в банке? Как вы оцениваете и выбираете поставщиков?

В. ЕСТЕХИН: Поставщики решений продают не информационную безопасность, а мечту об информационной безопасности. Идеальных решений не бывает. Каждая более или менее распространенная технология имеет свои плюсы, минусы и границы применения. Для внедрения любого решения надо отчетливо понимать, зачем оно вам нужно и что конкретно вы хотите с его помощью защищать. А главное, как это все будет сочетаться с уже внедренными решениями и ИТ-инфраструктурой компании.

Исходя из негативного опыта могу отметить, что чаще всего раздражение и неприятие вызывают два типа интеграторов или поставщиков решений. Первые – это интеграторы-коробейники, которые продают все – от софта до мышки. Это своего рода «Ашан» ИТ- и ИБ-решений.

Второй тип интеграторов – представители одного бренда, одной марки, которые работают по следующему принципу. Они говорят: «Мы знаем, что у вас есть телевизор Sony, холодильник LG и утюг Tefal. Но у нас для вас есть специальное уникальное предложение, например, от компании Samsung. Поэтому выбросите все, что имеете, а взамен приобретите у нас комплексное решение: телевизор Samsung, холодильник Samsung и утюг Samsung. Кроме того, мы подарим вам еще сенсорную панель управления всеми этими устройствами».

Когда поставщик решения говорит о шифровании коммерческой тайны и персональных данных, я понимаю, что это рекламная уловка. Поставщик не предлагает ничего нового или уникального, речь идет о шифровании электронной переписки, контроле внешних носителей, групповых политиках ActiveDirectory, контроле доступа, парольной политике и защите данных при хранении. Все это в банке уже давно используется. Возникает вопрос – зачем приобретать то, что у тебя уже есть?

NBJ: Как происходит формирование и контроль SLA при взаимодействии с поставщиками?

В. ЕСТЕХИН: Порой это происходит нелегко, так как поставщик охотно вносит в SLA типовые решения, которые он может внедрить «из коробки», и неохотно занимается внедрением нового функционала – например, интеграцией своего решения с АБС заказчика. Но есть и положительные примеры взаимоотношений с поставщиками решений. Так, в последнее время соглашения об оплате на основе реальной пользы становятся не такой уж экзотикой, особенно в среде стартап-компаний. Сегодня любому коммерческому продукту приходится соперничать с открытым кодом и бесплатным ПО. Поэтому для оправдания инвестиций необходима оценка наиболее вероятных результатов внедрения того или иного решения.

NBJ: Какие наиболее острые проблемы возникают в работе службы ИБ с ­поставщиками?

В. ЕСТЕХИН: Информационная безопасность компании – это большая стройка со всеми вытекающими последствиями. Например, вы нанимаете бригаду строителей SOC (Центр обработки инцидентов), NDA подписан, договор и SLA согласованы, ударили по рукам. И ровно с этого момента начинают происходить странные вещи. Бригада «внедренцев» не спешит приступать к работе у вас, потому что она не закончила объект у предыдущего заказчика. Потом, когда сроки оплаты поджимают, поставщики приходят на неделю, имитируют бурную деятельность и говорят, что основная работа сделана, остались только мелочи, пропадают опять на неопределенный срок, а точнее до момента выплаты очередного транша.

NBJ: Соответствует ли современный рынок решений по ИБ вашим ­ожиданиям?

В. ЕСТЕХИН: Всегда хочется большего. 

К сожалению, не всегда достаточно бюджета, чтобы опробовать какое-нибудь новое решение или продукт.

NBJ: Что нового представили банковской общественности киберпреступники за последнее время?

В. ЕСТЕХИН: Новые способы обхода существующих средств защиты появляются каждый день. Все, что представляет собой дело рук человеческих, человек же может и поломать. Если хакеры умудряются обходить системы защиты от взломов, то что тогда говорить о простых информационных системах, не преду­сматривающих элементарной защиты.

Наиболее резонансные киберпреступления связаны с большим финансовым и репутационным ущербом. При этом следует констатировать, что все уже привыкли к каждодневным сообщениям в СМИ о действиях киберпреступников. Проведу аналогию: в странах, где часто идет дождь, на него уже никто не обращает внимания.

Среди основных угроз, которые были наиболее актуальными в 2016 году, я бы выделил следующие. Во-первых, вал фишинговых (поддельных) рассылок на корпоративные email-адреса сотрудников банка. Во-вторых, вредоносные программы-вымогатели (по данным исследовательской компании Trend Micro, их число выросло на 172%). В-третьих, участились DDoS-атаки, организуемые с применением «Интернета вещей». Наконец, проблемы с доставкой СМС-сообщений у сотовых операторов.

NBJ: Как бы вы описали сегодняшнюю ситуацию в сфере информационной безопасности банковской отрасли, насколько она критична?

В. ЕСТЕХИН: Нам выпало жить в трудное время кибервойн. В условиях кризиса все озабочены оптимизацией ресурсов и рисков. А тут еще и кибермошенники атакуют снаружи, изнутри, со всех сторон, а с появлением «Интернета вещей» вообще складывается ситуация, когда все начинают атаковать всех.
Из этого напрашивается только один вывод: нет средств защиты от всех угроз, всегда находится угроза, которая преодолевает все системы защиты.

NBJ: Каким должен быть банк, чтобы его можно было назвать киберустойчивым?

В. ЕСТЕХИН: Если ответить на этот вопрос коротко, то безлюдным, так как человеческий фактор является господствующей угрозой в обеспечении ИБ.

NBJ: Почему именно социальная инженерия стала главным злом в сфере ИБ?

В. ЕСТЕХИН: Потому что человеческая доверчивость неискоренима.

NBJ: Что же делать?

В. ЕСТЕХИН: Повышать уровень знаний, начиная с младших классов в школах. Так же, как мы учим детей переходить улицу на зеленый свет, необходимо объяснять им правила поведения в том числе и в социальных сетях.

NBJ: Как повысить осведомленность сотрудников банка в области информационной безопасности?

В. ЕСТЕХИН: Служба ИБ должна ежедневно работать в этом направлении. Руководители компаний начали задумываться о необходимости повышения уровня осведомленности своих работников и обеспечения наличия у них навыков, необходимых для защиты от атак кибермошенников. Так же, как хороший кассир должен отличать поддельную купюру от настоящей, сотрудники банка должны отличать поддельное электронное письмо с вирусным вложением от нормального, рабочего. Мы часто проводим плановые и внеплановые инструктажи, тренинги по информационной безопасности, киберучения и разъяснения. Очень важны рекомендации, ориентированные на высшее руководство организации.

NBJ: Существуют ли адекватные решения в области безопасности с учетом того, что объемы данных стремительно растут и возрастают требования к скорости их обработки?

В. ЕСТЕХИН: Наверное, если задуматься, в вопросе обработки больших объемов данных и ее скорости мы вольно или невольно придем к использованию облачных вычислений, поскольку такие параметры, как качество и скорость обработки данных, существенно влияют на бизнес компании. Но в банках облачные сервисы пока не получили широкого распространения. При этом я думаю, что выгоды от хранения и обработки данных в электронном виде в «облаке» перевешивают риск возможной компрометации данных.

NBJ: Как вы думаете, позволяют ли новые технологии ИБ повысить уровень безопасности организации?

В. ЕСТЕХИН: За последние 7–8 лет безо­пасность стала обязательным требованием не только в финансовой индустрии, теперь она воспринимается как важная и неотъемлемая часть жизнедеятельности любой компании. Все начинают понимать: если у компании есть современные технологии, она найдет свой рынок. 

А новые технологии сопряжены с новыми рисками. Поэтому поиски безопасных технологий для бизнеса будут всегда в тренде. На мой взгляд, наиболее перспективной на данном этапе является технология блокчейн – распределенная система хранения данных с повышенной надежностью.

NBJ: Расскажите о ключевых проблемах использования сервисов дистанционного банковского обслуживания с точки зрения безопасности.

В. ЕСТЕХИН: Кража средств со счетов клиента – постоянно присутствующий риск банка. Мы должны опережать тех, кто дистанционно крадет деньги наших клиентов. Потребители хотят получить платежные сервисы с полноценными функциями защиты.

Для доступа пользователей к системе ДБО используется стандартный браузер. Меры безопасности системы ДБО для физических и юридических лиц традиционны. Во-первых, для получения доступа к счету пользователя необходимо пройти процедуры двухфакторной аутентификации. Во-вторых, для хранения ключей ЭП клиентов должны использоваться USB-токены, а виртуальная клавиатура – при вводе логина и пароля. В-третьих, подтверждение операций нужно осуществлять с использованием одноразовых паролей, шифровать передаваемый трафик, использовать SSL-сертификаты. Кроме того, существуют лимиты на операции, выполняемые через системы ДБО. Наконец, нужно постоянно повышать осведомленность клиентов о мошеннических схемах.

NBJ: Каков ваш взгляд на проблемы удаленной идентификации физических лиц в финансовом секторе?

В. ЕСТЕХИН: Задача банка – идентифицировать своего клиента, при этом способы идентификации могут быть разные: поведенческий, геолокационный, биометрический, также подписание платежа может происходить при помощи смартфона и т.д. Компания должна понять, какие преимущества она может получить от удаленной идентификации физических лиц и как нивелировать риск того, что данный клиент может оказаться не тем, за кого себя выдает.

Наш банк присматривается к технологиям удаленной идентификации клиентов, например, с помощью Skype, Viber, WhatsApp. Но пока этот способ используется не слишком широко. 

NBJ: Одним из самых опасных видов киберпреступлений является управление системами посредством удаленного доступа. Что в таких случаях банкам необхо­димо предпринимать в первую очередь?

В. ЕСТЕХИН: Нужно серьезно заниматься вопросом разграничения прав доступа внутри компании, так как цель хакеров при удаленном доступе – найти и скомпрометировать привилегированные учетные записи. Компаниям необходимо обзавестись системами, позволяющими проводить инспекцию исходящего и входящего трафика. Если подобные системы защиты не внедрены, нужно регулярно осуществлять разовые аудиты сетевой безопасности. Всегда можно договориться об участии в пилотных проектах по поиску угроз в сети банка, которые не обнаруживаются средствами антивирусной защиты, сетевыми фильтрами и другими средствами защиты.

NBJ: Многие специалисты говорят, что в последнее время участились таргетированные хакерские атаки на банковские системы. Это правда?

В. ЕСТЕХИН: Вряд ли целью мошенников является проникновение в конкретный банк. Такие случаи имеют место, только когда внутри банка есть сообщник или если речь идет о недобросовестной ­конкуренции.

Надо сказать, что вследствие проведения массированных атак на компьютеры пользователей с успешным их заражением в руки киберпреступников попадает большой объем самой разной информации, в том числе и финансовой, которой грех не воспользоваться. Возможность украсть создает вора. Отработав свои приемы на клиентах банка, мошенники идут дальше и применяют те же приемы уже на работниках банка. Как показывает практика, последние в этом вопросе иногда ничем не отличаются от клиентов. Таким образом, преступники заражают компьютеры сотрудников банка и ищут подходы к платежным сервисам: банкоматам, системам ДБО, АБС, АРМ КБР, системе SWIFT. Поэтому можно сказать, что целенаправленные атаки идут на платежные системы повсеместно (в банках, в процессинговых центрах, в системах денежных переводов).

NBJ: Как защищаются банки в случае крупномасштабных хакерских атак, подобных тем, что происходили в конце 2016 года?

В. ЕСТЕХИН: В последние годы финансово-кредитные организации к подобным атакам готовятся. Как правило, в банках используются стандартные методы и способы защиты: межсетевые экраны (МСЭ), антивирусные решения, спам-фильтры на почтовых серверах, IDS / IPS-решения. Этого бывает достаточно для отражения обычных атак. 

А против необычных – например, на основе заражения IoT-устройств и организации с их помощью DDoS-атак – и повышенные меры защиты не помогут.

Кстати, вызванным в СМИ ажиотажем по поводу готовящихся кибератак не преминули воспользоваться «белые» хакеры (назовем их «доброумышленники» по аналогии со злоумышленниками). Они рассылали по банкам письма, адресованные руководству, с примерно таким содержанием: «В свете недавних новостей о масштабных DDoS-атаках на крупнейшие банки РФ мы проанализировали защищенность вашего банковского сайта и обнаружили, что ваш сайт имеет явные уязвимости, что несет финансовые и репутационные риски для вашего банка – если говорить просто, вы теряете деньги». Далее эти «доброумышленники» предлагали плацебо для решения, по сути, несуществующих ­проблем.

NBJ: Помогает ли в вашей работе созданная почти полтора года назад организация FinCERT?

В. ЕСТЕХИН: FinCERT проводит огромную работу, и пользу этой деятельности для финансового сектора трудно переоценить. Сегодня на повестке дня налаживание межведомственного обмена информацией FinCERT с другими центрами реагирования. Исходя из Дорожной карты Банка России на период 2016–2018 годов, разработка регламентов взаимодействия по вопросам противодействия киберпреступности между Банком России и другими заинтересованными сторонами включена в перечень необходимых мероприятий.

NBJ: Что вы думаете об аутсорсинге в сфере информационной безопасности?

В. ЕСТЕХИН: Ситуация на рынке такова, что от поставщиков решений просто нет отбоя, но бюджет компаний имеет определенный лимит, и это накладывает определенные ограничения на использование аутсорсинга.

Я считаю, что за аутсорсингом безопасности будущее, особенно для малых и средних компаний. Но чтобы такая ситуация стала реальностью, на рынке должно появиться достаточное число игроков, которые бы предоставляли такие услуги с понятной всем бизнес-моделью и адекватной ценовой политикой.