Аналитика и комментарии

11 января 2018

Каждый выбирает для себя

Кредитным организациям все чаще приходится реагировать на новые виды угроз в сфере информационной безопасности. Это объясняется и тем, что мир вокруг приобретает все более «диджитализированные» черты, и тем, что злоумышленники с каждым годом становятся все более настойчивыми и изощренными в своих атаках, особенно если они концентрируются на информационных системах банков и клиентах, не уделяющих достаточного внимания безопасности своих данных. На кого должно в первую очередь полагаться финансовое учреждение, выстраивая свою систему информационной безопасности? Какие методы нужно применять для обеспечения надежной защиты банков? На эти и другие вопросы ответил в интервью NBJ заместитель директора департамента безопасности и начальник отдела защиты информации Связь-Банка (группа Внешэкономбанка) Сергей КУРОЧКИН.

NBJ: Сергей, как вы оцениваете сейчас ситуацию с информационной безопасностью банковских организаций? Улучшилась ли она или, напротив, ухудшилась «в среднем по больнице» за последние несколько лет?

С. КУРОЧКИН: На мой взгляд, ситуация более-менее соответствует тому уровню, который необходим для защиты банка от хакерских атак. Банк своевременно реагирует на возникающие угрозы, вырабатывает методы для борьбы с ними. Это извечная борьба противоположностей. Злоумышленники придумывают новые виды атак, а мы, в свою очередь, изобретаем новые методы противодействия им.

NBJ: Некоторые эксперты и специалисты говорят, что в последнее время увеличилось количество хакерских атак и сами эти атаки стали более, если так можно выразиться, профессиональными. Ведете ли вы статистику подобных случаев?

С. КУРОЧКИН: На мой взгляд, заметные хакерские атаки всегда были профессиональными, а сложность их организации всегда соответствовала своему времени. Это вполне логично. Постепенно растет сложность ИТ-инфраструктуры, и, соответственно, системы защиты становятся более сложными. А чем более тщательно они выстроены, тем сложнее их взломать. В наши дни развитие каналов дистанционного банковского обслуживания не стоит на месте. Соответственно, атаки и методы хакеров идут в ногу со временем. Статистику инцидентов мы, безусловно, ведем и используем в своей работе.

NBJ: На какие «узкие места» в первую очередь нацелены эти атаки, по вашим наблюдениям? Какие банковские системы более всего подвержены атакам злоумышленников?

С. КУРОЧКИН: Одним из «узких мест», на мой взгляд, является человек. Распространенным видом хакерских атак является фишинг. В этом случае на адрес электронной почты клиента или банковского работника отправляется сообщение. В него под видом договора или платежного документа помещается файл, который содержит либо непосредственно вирус, либо его загрузчик. Таким образом, открытие данного документа может привести к заражению не только компьютера самого получателя, но и системы, которой он пользуется.

NBJ: То есть существует вероятность, что программное обеспечение окажется под угрозой?

С. КУРОЧКИН: На практике непосредственно в банке подобные механизмы распространения вирусов не работают благодаря адекватным средствам защиты. А в теории таким образом в систему может попадать вредоносный код, который позволяет выявить все слабые места банка, обнаружить, какие участки и компоненты в его инфраструктуре являются наиболее уязвимыми и какие из них в то же время наиболее важны для банка. В некоторых ситуациях рассылка может быть необязательно направлена одному человеку. Получателей таких писем может быть несколько. Возможны таргетированные атаки на определенный банк, но чаще имеют место веерные рассылки.

NBJ: То есть, в конечном счете, все зависит от средств защиты?

С. КУРОЧКИН: Скажем так: от совокупности средств защиты и от внимания к каждому элементу защиты. Если в каком-либо банке уделяется недостаточное внимание одному из таких компонентов, то вполне возможно, что хакерские атаки могут быть осуществлены именно через него.

NBJ: Обеспечение информационной защиты банка, как утверждают многие эксперты, является комплексной задачей, поскольку «пробить» ее могут на стороне как клиента, так и банка. Согласны ли вы с таким утверждением?

С. КУРОЧКИН: Безусловно, согласен. Единственное, что лично я могу добавить к этому утверждению, это то, что клиент, как показывает практика, в общей цепи является наиболее слабым звеном. Особенно это становится заметным, если мы говорим о дистанционном банковском обслуживании. Мои личные наблюдения показывают, что со стороны клиента (по большей части) уделяется недостаточно внимания информационной безопасности. Как правило, к охране конфиденциальной информации люди относятся пренебрежительно. Им, конечно же, удобнее пользоваться одним и тем же ноутбуком как для выхода в интернет, так и для работы с банковским счетом своей компании.

NBJ: Иными словами, для людей удобство важнее безопасности?

С. КУРОЧКИН: Не у всех, конечно, дело обстоит именно так. Но, к сожалению, случаи пренебрежительного отношения к защите конфиденциальной информации имеют место.

NBJ: Их было уже немало, поэтому интересным, как мне кажется, является следующий вопрос. Меняется ли отношение клиентов к «гигиене информационной безопасности» под влиянием подобных прецедентов? Становятся ли они более чуткими к рекомендациям банков в сфере ИБ?

С. КУРОЧКИН: Как правило, да, если речь идет о клиентах – юридических лицах, у которых в штате есть специалисты по информационной безопасности. Со стороны малого бизнеса защите информации по статистике уделяется меньше внимания. Не все, к сожалению, понимают, что именно люди, как я уже сказал, в большинстве случаев рассматриваются хакерами как слабое звено. Злоумышленники знают, что пробить защиту на стороне банка – намного более сложная задача. Кредитные организации, как правило, хорошо защищены.

NBJ: Расскажите, пожалуйста, как изменилась динамика затрат вашего банка на информационную безопасность в связи с событиями последнего года. Ведь не секрет, что в 2017 году активность хакеров повысилась, причем не только в России, но и в мире в целом. Возросло ли внимание к проблемам обеспечения ИБ со стороны руководства и акционеров банка?

С. КУРОЧКИН: Статистика за последние годы изменилась в сторону больших затрат. В последнее время у нас все проекты просчитываются более тщательно. А внимание со стороны акционеров банка к вопросам, так или иначе связанным с информационной безопасностью, растет с каждым годом.

NBJ: Какие решения и каких разработчиков, на ваш взгляд, дают наилучший результат с точки зрения обеспечения информационной безопасности банков?

С. КУРОЧКИН: Скажем так, у каждого банка своя структура, поэтому, я думаю, нет и не может быть единого решения, которое подошло бы всем без исключения. Что касается подходов, то мы ориентируемся на стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации». Но в нем речь идет не о решениях или средствах, а о методах управления обеспечением информационной безопасности. Соответственно, под них подбираются и средства. Главной является цель, а она для всех одна. Нужно максимально обезопасить от воздействия со стороны злоумышленников свою организацию и клиентов.

NBJ: Какова ваша позиция по поводу аутсорсинга в сфере ИБ? Какие сферы и задачи в вашем банке отданы на аутсорсинг, если таковые в принципе имеются?

С. КУРОЧКИН: Каких-либо противопоказаний на этот счет у меня лично нет. Также на эту тему не имеет возражений и госрегулятор – Банк России. На договорной основе сотрудничество с различными компаниями в контексте аутсорсинга вполне возможно и эффективно. С другой стороны, в нашем банке пока нет таких проблем и задач, которые мы могли бы передать на аутсорсинг.

NBJ: А насколько острым является кадровый вопрос в сфере ИБ, с вашей точки зрения?

С. КУРОЧКИН: Скажу так: нет предела совершенству. Сейчас этот вопрос перед нашим банком не стоит, ситуация с кадрами у нас вполне нормальная, рабочая. Конечно, при этом имеются в наличии вакансии, которые мы будем рады заполнить по возможности.

NBJ: И последний вопрос. На состоявшемся в октябре 2017 года форуме FINOPOLIS-2017 большое внимание уделялось как раз вопросам, так или иначе связанным с информационной безопасностью. Глава Банка России Эльвира Набиуллина выступила с инициативой создания единой системы идентификации клиентов по биометрическим параметрам под эгидой ЦБ РФ. Как вы относитесь к этому предложению, считаете ли его перспективным и интересным?

С. КУРОЧКИН: Я полагаю, что наличие данной системы упростит работу финансовых организаций. Поэтому мы всячески поддерживаем такую инициативу. Но отдельные аспекты законодательства в области применения биометрических персональных данных могут значительно усложнить процесс ее внедрения. Поэтому мне кажется, что по данному направлению предстоит большая работа, в том числе на законодательном уровне.

беседовал Иван Скогорев
Поделиться:
 

Возврат к списку