Вход Регистрация
 

Аналитика и комментарии

31 октября 2017

Каждый выбирает для себя

С. КУРОЧКИН: «У каждого банка есть свои особенности, поэтому предложить всем единое решение для обеспечения безопасности практически невозможно»

Кредитным организациям все чаще приходится реагировать на новые виды угроз в сфере информационной безопасности. Это объясняется и тем, что мир вокруг приобретает все более «диджитализированные» черты, и тем, что злоумышленники с каждым годом становятся все более настойчивыми и изощренными в своих атаках, особенно если они концентрируются на информационных системах банков и клиентах, не уделяющих достаточного внимания безопасности своих данных. На кого должно в первую очередь полагаться финансовое учреждение, выстраивая свою систему информационной безопасности? Какие методы нужно применять для обеспечения надежной защиты банков? На эти и другие вопросы ответил в интервью NBJ заместитель директора департамента безопасности и начальник отдела защиты информации Связь-Банка (группа Внешэкономбанка) Сергей КУРОЧКИН.

NBJ: Сергей, как вы оцениваете сейчас ситуацию с информационной безопасностью банковских организаций? Улучшились ли она или, напротив, ухудшилась «в среднем по больнице» за последние несколько лет?

С. КУРОЧКИН: На мой взгляд, ситуация более-менее соответствует тому уровню, который необходим для защиты банка от хакерских атак. Банк своевременно реагирует на возникающие угрозы, вырабатывает методы для борьбы с ними. Это извечная борьба противоположностей. Злоумышленники придумывают новые виды атак, а мы, в свою очередь, изобретаем новые методы противодействия им. 

NBJ: Наверное, так все же происходило не всегда. В 90-е годы о своей информационной защите банки не слишком задумывались, скорее всего, потому, что более актуальными считались другие риски и угрозы.

С. КУРОЧКИН: К этому моменту ИТ-ин­ф­раструктура банка уже была развита настолько, что могла представлять интерес для потенциальных злоумышленников. 

NBJ: Некоторые эксперты и специалисты говорят, что в последнее время увеличилось количество хакерских атак и сами эти атаки стали более, если так можно выразиться, профессиональными. Ведете ли вы статистику подобных случаев?

С. КУРОЧКИН: На мой взгляд, заметные хакерские атаки всегда были профессиональными, а сложность их организации всегда соответствовала своему времени. Это вполне логично. Постепенно растет сложность ИТ-инф­раструктуры, и, соответственно, системы защиты становятся более сложными. А чем более тщательно они выстроены, тем сложнее их взломать. В наши дни развитие каналов дистанционного банковского обслуживания не стоит на месте. Со­ответст­венно, атаки и методы хакеров идут в ногу со временем. Ста­тистику инцидентов мы, безусловно, ведем и используем в своей работе. 

NBJ: На какие «узкие места» в первую очередь нацелены эти атаки, по вашим наблюдениям? Какие банковские системы более всего подвержены атакам злоумышленников?

С. КУРОЧКИН: Одним из «узких мест», на мой взгляд, является человек. Распространенным видом хакерских атак является фишинг. В этом случае на адрес электронной почты клиента или банковского работника отправляется сообщение. В него под видом договора или платежного документа помещается файл, который содержит либо непосредственно вирус, либо его загрузчик. Таким образом, открытие данного документа может привести к заражению не только компьютера самого получателя, но и системы, которой он пользуется. 

NBJ: То есть существует вероятность, что программное обеспечение окажется под угрозой? 

С. КУРОЧКИН: На практике непосредственно в банке подобные механизмы распространения вирусов не работают благодаря адекватным средствам защиты. А в теории таким образом в систему может попадать вредоносный код, который позволяет выявить все слабые места банка, обнаружить, какие участки и компоненты в его инфраструктуре являются наиболее уязвимыми и какие из них в то же время наиболее важны для банка. В некоторых ситуациях рассылка может быть необязательно направлена одному человеку. Получателей таких писем может быть несколько. Возможны таргетированные атаки на определенный банк, но чаще имеют место веерные рассылки.

NBJ: То есть, в конечном счете, все зависит от средств защиты?

С. КУРОЧКИН: Скажем так: от совокупности средств защиты и от внимания к каждому элементу защиты. Если в каком-либо банке уделяется недостаточное внимание одному из таких компонентов, то вполне возможно, что хакерские атаки могут быть осуществлены именно через него. 

NBJ: Насколько, по вашему мнению, эф­фективно законодательство с точки зрения противостояния вызовам со стороны хакеров и наказания за подобные действия? Есть ли необходимость внесения в него изменений, возможно, с целью ужесточения ответственности злоумышленников в рамках УК?

С. КУРОЧКИН: Я не возьмусь подробно комментировать эту тему, поскольку она все-таки больше относится к компетенции правоохранительных органов. Однако надеюсь, что наше сотрудничество с ними позволяет увеличить эффективность противодействия мошенничеству.

NBJ: Обеспечение информационной за­щи­ты банка, как утверждают многие эксперты, является комплексной задачей, поскольку «пробить» ее могут на стороне как клиента, так и банка. Согласны ли вы с таким утверждением? 

С. КУРОЧКИН: Безусловно, согласен. Единственное, что лично я могу добавить к этому утверждению, это то, что клиент, как показывает практика, в общей цепи является наиболее слабым звеном. Особенно это становится заметным, если мы говорим о дистанционном банковском обслуживании. Мои личные наблюдения показывают, что со стороны клиента (по большей части) уделяется недостаточно внимания информационной безопасности. Как правило, к охране конфиденциальной информации люди относятся пренебрежительно. Им, конечно же, удобнее пользоваться одним и тем же ноутбуком как для выхода в интернет, так и для работы с банковским счетом своей компании. 

NBJ: Иными словами, для людей удобство важнее безопасности?

С. КУРОЧКИН: Не у всех, конечно, дело обстоит именно так. Но, к сожалению, случаи пренебрежительного отношения к защите конфиденциальной информации имеют место.

NBJ: Их было уже немало, поэтому интересным, как мне кажется, является следующий вопрос. Меняется ли отношение клиентов к «гигиене информационной безопасности» под влиянием подобных прецедентов? Становятся ли они более чуткими к рекомендациям банков в сфере ИБ?

С. КУРОЧКИН: Как правило, да, если речь идет о клиентах – юридических лицах, у которых в штате есть специалисты по информационной безопасности. Со стороны малого бизнеса защите информации, по статистике, уделяется меньше внимания. Не все, к сожалению, понимают, что именно люди, как я уже сказал, в большинстве случаев рассматриваются хакерами как слабое звено. Злоумышленники знают, что пробить защиту на стороне банка – намного более сложная задача. Кредитные организации, как правило, хорошо защищены.

NBJ: Расскажите, пожалуйста, как изменилась динамика затрат вашего банка на информационную безопасность в связи с событиями последнего года. Ведь не секрет, что в 2017 году активность хакеров повысилась, причем не только в России, но и в мире в целом. Возросло ли внимание к проблемам обеспечения ИБ со стороны руководства и акционеров банка?

С. КУРОЧКИН: Статистика за последние годы изменилась в сторону больших затрат. В последнее время у нас все проекты просчитываются более тщательно. А внимание со стороны акционеров банка к вопросам, так или иначе связанным с информационной безопасностью, растет с каждым годом. 

NBJ: Какие решения и каких разработчиков, с вашей точки зрения, дают наилучший результат с точки зрения обеспечения информационной безопасности банков?

С. КУРОЧКИН: Скажем так, у каждого банка своя структура, поэтому, я думаю, нет и не может быть единого решения, которое подошло бы всем без исключения. Что касается подходов, то мы ориентируемся на стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации». Но в нем речь идет не о решениях или средствах, а о методах управления обеспечением информационной безопасности. Соот­вет­ственно, под них подбираются и средства. Главной является цель, а она для всех одна. Нужно максимально обезопасить от воздействия со стороны злоумышленников свою организацию и клиентов.

NBJ: Какова ваша позиция по поводу аутсорсинга в сфере ИБ? Какие сферы и задачи в вашем банке отданы на аутсорсинг, если таковые в принципе имеются?

С. КУРОЧКИН: Каких-либо противопоказаний на этот счет у меня лично нет. Также на эту тему не имеет возражений и госрегулятор – Банк России. На договорной основе сотрудничество с различными компаниями в контексте аутсорсинга вполне возможно и эффективно. С другой стороны, в нашем банке пока нет таких проблем и задач, которые мы могли бы передать на аутсорсинг. 

NBJ: А насколько острым является кадровый вопрос в сфере ИБ, с вашей точки зрения?

С. КУРОЧКИН: Скажу так: нет предела совершенству. Сейчас этот вопрос перед нашим банком не стоит, ситуация с кадрами у нас вполне нормальная, рабочая. Конечно, при этом имеются в наличии вакансии, которые мы будем рады заполнить по возможности.

NBJ: И последний вопрос. На недавно состоявшемся форуме FINOPOLIS-2017 большое внимание уделялось как раз вопросам, так или иначе связанным с информационной безопасностью. Глава Банка России Эльвира Набиуллина выступила с инициативой создания единой системы идентификации клиентов по биометрическим параметрам под эгидой ЦБ РФ. Как вы относитесь к этому предложению, считаете ли его перспективным и интересным?

С. КУРОЧКИН: Я полагаю, что наличие данной системы упростит работу финансовых организаций. Поэтому мы всячески поддерживаем такую инициативу. Но отдельные аспекты законодательства в области применения биометрических персональных данных могут значительно усложнить процесс ее внедрения. Поэтому мне кажется, по данному направлению предстоит большая работа, в том числе на законодательном уровне.     

Всего проголосовало: 0

0.0

беседовал Иван Скогорев

Комментировать могут только зарегистрированные пользователи

Мы в сетевых сообществах: 

Голосование

Чем вы считаете биткоин?

Загрузка результатов голосования. Пожалуйста подождите...
Все голосования

Календарь мероприятий

Ноябрь, 2017
««
«
Сегодня
»
»»
Пн Вт Ср Чт Пт Сб Вс
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30
Ближайшие мероприятия

Видео

26 сентября 2017 года состоялся Осенний Интеллектуальный кубок

26 сентября 2017 года состоялся Осенний Интеллектуальный кубок в номинациях "Самый интеллектуальный банк", "Самая интеллектуальная компания в финансовой сфере" и "Самая интеллектуальная компания...

Яндекс.Метрика