Руководитель направления по информационной безопасности микрофинансовой организации (МФО) «МигКредит» Максим ЛИСОВСКИЙ в интервью NBJ рассказал о том, как в микрофинансовых организациях решаются вопросы, связанные с защитой персональных данных клиентов и ключевых информационных систем, а также о том, какое внимание компания уделяет повышению осведомленности сотрудников в вопросах ИБ.  

NBJ: Максим, как вы оцениваете сейчас ситуацию с информационной безопасностью в микрофинансовых организациях? Улучшилась ли она или, напротив, ухудшилась «в среднем по больнице»?

М. ЛИСОВСКИЙ: Если говорить в целом, то это сложно оценить. Что же касается организации «МигКредит», то у нас ситуация с обеспечением информационной защиты улучшается с каждым годом. Руководство компании уделяет большое внимание ИБ, и это вполне объяснимо. Мы активно осваиваем и развиваем новые финансовые технологии, в том числе онлайн-займы. Клиенты доверяют нам свои данные, и мы должны их доверие оправдать и сделать все возможное, чтобы эта информация осталась в безопасности. 
Кроме защиты персональных данных наших клиентов, большое внимание уделяется и вопросам защиты коммерческой тайны, особенно наших уникальных разработок и идей, позволяющих нам эффективно вести бизнес и удерживать лидирующие позиции в жестких конкурентных условиях. Конечно же, неизменно актуальными являются вопросы обеспечения безопасности и непрерывности наших сервисов, бизнес-процессов и инфраструктуры. Они занимают одно из ведущих мест в обеспечении ИБ. Даже относительно непродолжительный простой наших сервисов онлайн-займов может привести как к финансовым, так и репутационным потерям для организации. Думаю, что и в других МФО подход должен быть аналогичным, если они хотят быть успешными и конкурентоспособными. 

NBJ: Как вы бы охарактеризовали главные вызовы, имеющиеся сейчас, с точки зрения обеспечения информационной защиты МФО?

М. ЛИСОВСКИЙ: Наиболее актуальными вызовами являются широкое распростра­нение мобильных платежей и бурное 
развитие облачных технологий и различных сервисов. Те устоявшиеся практики и методы защиты информации, которые применялись еще два-три года назад, зачастую становятся неактуальными. Чтобы идти в ногу с развитием технологий, приходится регулярно пересматривать подходы и процессы обеспечения ИБ и делать это быстро.

NBJ: В последнее время активно развивается то, что эксперты называют интернетом вещей. Создает ли это новые риски для МФО и их клиентов?

М. ЛИСОВСКИЙ: Это происходит со всеми организациями. Интернет вещей является лакомым куском для современных хакеров. Эксплуатируя устройства со стандартными настройками и выходом в интернет, пользователи невольно могут стать участниками масштабных атак. И неважно, какая организация будет целью атаки – МФО, банк, промышленная компания. Противостоять нападению, производящемуся  с миллионов устройств по всему миру, довольно сложно, для защиты от подобных атак необходимы специальные технологии.

NBJ: Некоторые эксперты и специалисты говорят, что в последнее время увеличилось количество хакерских атак и сами они стали более, если так можно выразиться, профессиональными. Ведете ли вы статистику подобных случаев?  

М. ЛИСОВСКИЙ: Что касается замечания о повышении уровня профессионализма атак, то оно является совершенно справедливым. Помимо таких стандартных угроз, как вирусные атаки или атаки DDoS, которые нацелены на воровство информации или вымогательство без привязки к какой-либо организации или даже отрасли, в последнее время значительно увеличилось число так называемых целевых атак. Это хорошо спланированные нападения, использующие зачастую уникальные приемы, обнаруженные уязвимости. В общем, речь идет об атаках, нацеленных на взлом конкретной организации с четко определенной целью. В качестве целей могут фигурировать и вывод средств со счетов, и получение конфиденциальной информации, и остановка бизнеса, что может быть использовано при «грязной» конкурентной борьбе. 
Такие атаки, в отличие от стандартных, могут проводиться незаметно и на протяжении длительного времени (от пары дней до нескольких месяцев). Только за последние два года жертвами таких атак, по данным СМИ, стали порядка 20 компаний, большинство из которых – организации финансового сектора. И это только опубликованная статистика. Сколько организаций стали жертвами хакеров на самом деле, неизвестно.

NBJ: Вы упомянули такое явление, как уязвимости. На какие «узкие места» в первую очередь нацелены эти атаки, по вашим наблюдениям? Какие системы МФО более всего подвержены атакам злоумышленников?

М. ЛИСОВСКИЙ: Такие нападения часто используют социальную инженерию. Бывает так, что работники компаний сами рассказывают атакующим про свою работу, а иногда даже сообщают учетные записи и пароли. Взломщики могут отправить работнику по электронной почте с виду безобидный файл текстового или табличного формата под предлогом ознакомления 
со сверкой, новыми реквизитами, счетом. А в этом файле может содержаться вредоносный код, который предоставит атакующему доступ к компьютеру пользователя и ко всей сети организации. Также в процессе проведения атак активно используются уже известные уязвимости в программном обеспечении сетевого оборудования, средствах защиты рабочих станций и серверов. Поэтому очень важно следить за актуальностью версий программного обеспечения критичных систем, а также проводить регулярную работу по повышению осведомленности и грамотности в области ИБ с работниками компании.  

NBJ: Насколько, по вашему мнению, эффективно законодательство с точки зрения противостояния вызовам со стороны хакеров и наказания за подобные действия? Есть ли необходимость внесения в него изменений, возможно, с целью ужесточения ответственности злоумышленников в рамках УК?

М. ЛИСОВСКИЙ: Наказание должно быть неотвратимым. Участвующие в атаках, как правило, уверены в безнаказанности 
своих действий. По моему мнению, 
большое внимание нужно уделять именно «прозрачности» трафика, а также повышению уровня сотрудничества спецслужб различных государств. 

NBJ: Обеспечение информационной защиты МФО, как утверждают многие эксперты, – это комплексная задача, поскольку «пробить» ее могут как на стороне клиента, так и на стороне банка или МФО. Согласны ли вы с таким утверждением? 

М. ЛИСОВСКИЙ: Да, вполне согласен. В последнее время широкое распространение получили вирусы, целью которых является перехват паролей и электронных цифровых подписей (ЭЦП), используемых при совершении операций с помощью интернет-банков, мобильных банков и систем дистанционного банковского обслуживания (ДБО). При осуществлении доступа с зараженного таким вирусом устройства логины, пароли и ЭЦП клиента могут быть скомпрометированы, а у авторов вируса может появиться возможность от имени клиента совершить перевод или взять заем и отправить средства на свои счета. Опасность заключается в том, что в подобных случаях все операции проводятся от имени клиента, и для финансовой организации они могут выглядеть вполне легитимно. 

NBJ: Меняется ли, учитывая сказанное вами и уже имевшие место прецеденты с хищением средств и персональных данных, отношение клиентов к «гигиене информационной безопасности»? Становятся ли они более чуткими к рекомендациям МФО в сфере ИБ?

М. ЛИСОВСКИЙ: Да, меняется. Клиенты становятся заметно более грамотными и аккуратными в плане защиты информации.

NBJ: На недавно состоявшемся форуме FINOPOLIS-2017 глава Банка России Эльвира Набиуллина выступила с инициативой создания единой системы идентификации клиентов по биометрическим параметрам. Каково ваше отношение к этой инициативе? Ведь очевидно, что пользоваться данными, аккумулированными в этой системе, смогут не только банки, но и МФО и другие небанковские финансовые компании.

М. ЛИСОВСКИЙ: Мы внимательно следим за этой инициативой и уверены, что рынок МФО в целом и компания «МигКредит» в частности готовы к внедрению удаленной идентификации. И несмотря на то, что Единая система идентификации и аутентификации (ЕСИА) в банках заработает в тестовом режиме только в начале следующего 
года, мы хотим быть среди первых на финансовом рынке, кто также начнет использовать национальную биометрическую платформу. Это не только снизит риски выдачи займов, но и существенно сократит расходы компании.

NBJ: Какие решения каких разработчиков, по вашему мнению, дают наилучший результат с точки зрения обеспечения информационной безопасности МФО?

М. ЛИСОВСКИЙ: Наша позиция заключается в том, что подход к обеспечению информационной безопасности организации должен быть комплексным. Именно поэтому трудно выделить какое-то одно решение или разработчика и сказать, что они лучше всех. Защита информации должна быть всесторонней и эшелонированной. Полностью полагаться на какое-то одно решение и/или на услуги и продукты одного разработчика неправильно и даже вредно.
NBJ: Какова ваша позиция по поводу аутсорсинга в сфере ИБ? Какие сферы и задачи в вашей МФО отданы на аутсорсинг, если таковые есть?

М. ЛИСОВСКИЙ: На аутсорсинг есть смысл передавать ресурсоемкие задачи, которые, например, требуют привлечения значительного количества ИТ-активов. Да, некоторые задачи ИБ для нас решает в том числе и аутсорс. 

NBJ: Насколько острым является кадровый вопрос в сфере ИБ? Сталкивается ли ваша компания с трудностями при подборе персонала, когда речь идет о безопасниках?

М. ЛИСОВСКИЙ: Как и во многих других сферах, хороших опытных специалистов в области ИБ на рынке труда найти непросто. Следует учитывать то, что ИБ является достаточно критичным направлением в плане допуска к конфиденциальной информации компании. Поэтому совершенно очевидно, что 
специалисты должны быть не только профессионально хорошо подготовленными, но еще и такими, которым можно доверять. Именно с учетом этого процесс подбора специалистов ИБ к простым отнести нельзя.

NBJ: Какие задачи в области обеспечения ИБ предстоит решить вашей МФО в 2018 году и каковы планы МФО в этой сфере?

М. ЛИСОВСКИЙ: Наиболее приоритетными задачами являются следующие: обеспечение еще большего соответствия целей ИБ стратегии бизнеса компании, повышение эффективности принимаемых мер и технологий ИБ, а также улучшение грамотности в области ИБ персонала и клиентов компании. Они полностью вписываются в ту концепцию, которую я озвучил выше. Мы активно используем в своей работе новые технологии и заинтересованы в том, чтобы наши клиенты чувствовали себя максимально защищенными.