Аналитика и комментарии

23 мая 2017

«Информзащита» комплексно подходит к построению систем безопасности

Кандидат экономических наук, CISM, PCI&PA QSA, начальник отдела безопасности банковских систем компании «Информзащита» Дмитрий КУДИНОВ в интервью NBJ изложил свою точку зрения на проблемы информационной безопасности и построение комплексной защиты в банке.

NBJ: Как вы считаете, какие главные вызовы сейчас стоят перед банками с точки зрения обеспечения информационной безопасности (рост активности и профессионализма хакеров, человеческий фактор, ускоренная диджитализация деятельности в совокупности с низкой компьютерной грамотностью населения, несовершенство законодательства, другие)? 

Д. КУДИНОВ: В своем вопросе вы верно перечислили основные факторы, которые заставляют банки вкладывать средства в информационную безопасность. Правда, понятие «диджитализация» я бы заменил на глубокую автоматизацию и оцифровку деятельности.

В конкурентной борьбе за клиентов банки внедряют новые сервисы. Всем известно, что внедрение информационных технологий неизбежно несет новые угрозы. Следует понимать – злоумышленники располагают практически неограниченным запасом времени для подготовки и реализации своих атак. Это означает, что если банк растет, развивает новые направления бизнеса, то и информационная безопасность не должна отставать. Развивая какую-то новую технологию, финансовые организации сразу должны думать о том, как будут реализованы меры ее защиты.

Главный вызов для банков – это большой интерес со стороны хакеров и профессиональных ИТ-злоумышленников. Чтобы успешно им противостоять, необходима эффективная система информационной безопасности, которая должна быть сбалансированной, состоять из совокупности элементов, то есть в нее должны входить как технические средства, так и процессы обеспечения элементов информационной безопасности.

NBJ: Вы, наверное, согласитесь, что одна из ошибок, которую допускают банки при построении защиты информации, заключается в том, что они делают упор либо только на технические средства, либо только на процессы?

Д. КУДИНОВ: Полностью согласен. Важен комплекс мер.

NBJ: Как должна быть организована комплексная безопасность банковской организации, какие обязательные компоненты она должна в себя включать?

Д. КУДИНОВ: Если говорить о комплексном подходе, то, на мой взгляд, система защиты должна включать два основных компонента. Во-первых, соответствовать требованиям регулятора. Во-вторых, система должна быть адекватной, процессы и технические меры должны обеспечивать «real security», то есть защиту от фактических атак и действий ­злоумышленников.

Немаловажно отметить, что любая строящаяся система должна отталкиваться от угроз и рисков, которые действуют на инфраструктуру банковской организации.

Отдельно следует упомянуть про средние и малые банки (СМБ). Требования к ним такие же высокие, а ресурсов на реализацию системы безопасности не всегда достаточно. Оптимальное решение – привлечение интегратора для реализации отдельных задач. Многие доверяют нам процессы выявления и расследования инцидентов ИБ, некоторые покупают наш опыт и знания в виде консультаций по вопросам информационной безопасности.
 
NBJ: Следовательно, решения, которые предлагают компании, тоже должны соответствовать этому ГОСТу?

Д. КУДИНОВ: Да. На месте банков я бы предпочел решения, которые, с одной стороны, позволяют соответствовать требованиям регулятора, а с другой – обеспечивают реальную безопасность.
Зачастую интеграторы предлагают поставить систему и далее забывают о заказчике. Понятно, что банкам не интересно работать с такими интеграторами.

Эффективное сотрудничество предполагает полный цикл работ, начиная от пилотирования и заканчивая выстроенным процессом обеспечения ИБ.

Например, если говорить о SIEM, то недостаточно просто развернуть решение, необходимо построить процессы регистрации и мониторинга событий, процессы управления инцидентами. Мне кажется, что продукты как отдельные технические средства сейчас малоинтересны банкам, нужен комплекс, который вписывается в бизнес-процессы и эффективно решает задачи.

NBJ: То, что вы сейчас описали, не является в полном смысле ИБ-аутсорсингом, это, скорее, некие элементы аутсорсинга. Как вы вообще относитесь к аутсорсингу в сфере ИБ? Может ли эта модель в среднесрочной перспективе стать более востребованной со стороны банков, чем сейчас?

Д. КУДИНОВ: К аутсорсингу я отношусь более чем положительно. Признаюсь, мне непонятно, почему малые и средние банки не переходят на аутсорсинг. Конечно, я понимаю, что существует несколько причин, и главная из них заключается в том, что они не хотят раскрывать внутреннюю информацию сторонним организациям. В то же время существует тенденция отдавать на аутсорсинг отдельные элементы инфраструктуры, например, нередко можно встретить размещение инфраструктуры в стороннем ЦОД. Мне кажется, что в будущем это перспективная тема и она будет развиваться.

NBJ: Здесь есть серьезная проблема. Кто в случае сбоя систем будет нести финансовую и репутационную ответственность? Ведь клиенту все равно, кто виноват – банк или аутсорсер. Поэтому здесь, наверное, еще проблема созревания рынка аутсорсинга.

Д. КУДИНОВ: Абсолютно верно, нужно дорабатывать всю систему. Но я думаю, что здравый смысл возобладает и рынок придет к аутсорсинговой модели.

NBJ: Сейчас одной из острых с точки зрения обеспечения защиты информации является тема идентификации клиентов и аутентификации запрашиваемых ими операций. Как вы оцениваете те механизмы и инструменты, которые используются с этой целью?

Д. КУДИНОВ: Системы дистанционного банковского обслуживания (ДБО), которые используют банки, должны представлять баланс между удобством пользователей и безопасностью. Если предположить идеальную работу ДБО – код не имеет уязвимостей, поддерживается безопасность среды, где установлено ДБО, есть грамотные пользователи, которые никому не передают свои устройства и не сообщают разовые пароли, пин-коды и т.д., то используемые механизмы двухфакторной аутентификации вполне достаточны.

Но, к сожалению, идеалы, как правило, недостижимы, поэтому мы сталкиваемся со случаями появления «дыр» в ДБО, передачи информации о клиентах злоумышленникам и т.д.

Из своего опыта могу сказать, что банки, которые используют и постоянно совершенствуют антифрод-системы, теряют меньше, чем другие.

NBJ: Компания «Информзащита» работает на российском рынке уже много лет. Расскажите, пожалуйста, о решениях, предлагаемых компанией.

Д. КУДИНОВ: Предлагая клиентам свои решения, мы стараемся оперировать понятиями бизнес-рисков. Под этим мы понимаем риски финансовых и репутационных потерь, а также потерь, связанных с возможностью остановки бизнеса заказчика. В силу этих обстоятельств мы стараемся комплексно подходить к построению системы безопасности.

Первый этап построения системы защиты – это комплексная оценка уровня обеспечения ИБ, т.е. фактическая оценка текущего состояния ИТ-инфраструктуры. Такой аудит всегда включает анализ информации о ключевых бизнес-процессах, автоматизируемых системах, оценку существующей реализации процессов управления ИТ и ИБ, оценку архитектуры и конфигурации сетевой инфраструктуры, существующих технических средств защиты информации, реализованных защитных мер в операционных системах (СУБД, прикладное программное обеспечение). 

Показательным этапом является имитация действий злоумышленника, white hat, когда заказчику можно продемонстрировать, что система уязвима для хакеров. Причем если менеджмент банка нехотя выделяет средства на информационную безопасность, то после таких имитаций, так называемого теста на проникновение, появляется большая готовность вкладываться в ИБ. 

После выполнения этих действий анализируются выявленные недостатки и связанные с ними бизнес-риски. В зависимости от результатов комплексного аудита каждой банковской организации предлагается план развития информационной безопасности, направленный на снижение этих рисков. План может быть долгосрочным.

Например, мы провели аудит и видим, что в организации существуют проблемы с процессом мониторинга событий информационной безопасности. Для их решения нужно внедрить SIEM, выстроить процесс определенным образом. Если мы видим потенциальную возможность для кражи информации сотрудниками, то советуем внедрить DLP-систему. То есть мы составляем подробные планы, где прозрачно и понятно изложена информация о том, что нужно делать, о сроках, бюджете, разных нюансах проекта.

Практика показывает, что это по-настоящему эффективный подход к построению безопасности банков с позиции решения бизнес-задач.

NBJ: Сегодня все говорят о необходимости занимать проактивную позицию в вопросах обеспечения безопасности. Предлагает ли ваша компания консультационную поддержку банкам с прицелом на ­проактивность?

Д. КУДИНОВ: Разумеется, мы занимаемся ИБ-консалтингом и поддержкой заказчиков. Мы стараемся укоренить мысль о том, что первым делом нужно поддерживать базовые процессы информационной безопасности, такие как управление доступом, изменениями, уязвимостями, мониторинг регистрации событий ИБ, управление инцидентами, рисками, обес-печение процедуры безопасной разработки ПО, повышение осведомленности пользователей о проблемах ИБ и т.д. Все эти процессы должны быть отлажены.

Высокий уровень безопасности поможет обеспечить Оперативный центр мониторинга и реагирования на инциденты IZ SOC, который позволяет сделать целостную связку процессов, людей и технологий, нацеленных на обнаружение, реагирование и на продвинутые атаки, в том числе на основе индикаторов компрометаций, поведенческого анализа, иных источников событий. Предоставляя услугу IZ SOC, «Информзащита» предлагает воспользоваться ею прежде всего заказчикам c высоким уровнем квалификации собственного вовлеченного персонала, с уже выстроенными процессами, в том числе по управлению уязвимостями, мониторингу событий безопасности, реагированию на инциденты, киберразведке, управлению активами и многому другому. 

беседовала Анастасия Скогорева
Поделиться:
 

Возврат к списку