Руководитель отдела информационной безопасности ипотечного банка «ДельтаКредит» Всеслав СОЛЕНИК в интервью NBJ рассказал о некоторых нюансах работы службы информационной безопасности (ИБ), а также изложил свое мнение относительно наиболее актуальных проблем в сфере ИБ в банковском секторе.

NBJ: Как известно, бизнес нередко негативно относится к развитию и ужесточению информационной безопасности. Как вам удается приводить банк в соответствие современным практикам ИБ? Как, на ваш взгляд, должно быть организовано взаимодействие бизнес-подразделений и ИБ-службы в банке?

В. СОЛЕНИК: Информационная безопасность эволюционирует. Если раньше использовались запретительные методы, то сейчас ИБ мигрирует в сторону риск- ориентированного подхода. Мы не работаем по принципу «обязательно запретить». Прежде всего, мы оцениваем возможные риски и доводим до бизнеса вероятные последствия непринятия определенных мер. Бизнес, отвечающий за конкурентоспособность и прибыльность организации, оценивает приемлемость этих рисков и принимает решение. И, независимо от этого решения, ИБ будет обеспечена, потому что риски были просчитаны и обработаны.

NBJ: Можете ли вы привести примеры рисков, которые банковский бизнес готов принять?

В. СОЛЕНИК: Например, есть система антифрода. Это дорогое решение, которое снижает вероятность мошеннических операций в системе банка, но реализовано оно может быть по-разному. Если сильно «закрутить гайки», процессы замедлятся из-за частых ложных срабатываний и потребуется огромный объем работы сотрудников по отработке инцидентов. Если излишне ослабить фильтры, можно не увидеть реального мошенничества. Поэтому системы настраиваются на некий компромиссный уровень с принятием определенных рисков.

Или есть система антиспама. Можно принять некоторые риски получения спам-писем ради того, чтобы десятки легитимных писем не задерживались. Здесь важно найти баланс между безопасностью и эффективностью, а значит, принять определенный остаточный риск.

NBJ: Представим ситуацию. В банк обратился партнер, который хотел бы использовать у себя вашу систему «ДельтаЭкспресс». Это связано с рисками, в том числе по ИБ. Насколько оперативно можно реализовать этот кейс и какой срок анализа и принятия решения вы считаете оптимальным?

В. СОЛЕНИК: В ДельтаКредите служба ИБ максимально клиентоориентирована. В таких ситуациях мы стараемся оперативно проанализировать риски и дать возможность быстро вывести услугу на рынок, ведь от этого зависит прибыль у нас и у партнера. Если на момент выхода в production некоторые риски остаются незакрытыми, мы готовы принять их, но с учетом, что у нас есть некие компенсирующие меры, а также план действий по снижению незакрытых рисков, и он будет выполнен в оговоренное ограниченное время.

NBJ: Каким образом выстроен процесс взаимодействия ИБ-службы с поставщиками решений ИБ в банке? Как вы оцениваете и выбираете их?

В. СОЛЕНИК: Сначала осуществляется анализ публикаций, общение с коллегами, опрос стратегических партнеров банка, то есть изучение имеющихся на рынке сервисов, закрывающих наши потребности. Потом происходит формирование шорт-листа решений, которые хочется «пощупать руками». На этом этапе мы подключаем сервисы в тестовом режиме или ставим софт на пилотное тестирование. У нас есть правило – не брать на «пилот» больше трех решений (в редком случае четыре-пять), потому что тестирование является трудоемким процессом, который отнимает месяц-полтора работы и внутренних сотрудников, и специалистов со стороны поставщика.

После тестирования решение закупается и внедряется. Мы выбираем то, что подходит нам по функционалу и цене. Хочу подчеркнуть, что, хотя у нас есть стратегические партнеры, мы открыты к работе с другими компаниями, которые подходят под стандарты группы.

NBJ: Насколько ваши решения синхронизированы с теми, что есть у других банков группы Societe Generale в России, и насколько часто вы расходитесь во мнениях? 

В. СОЛЕНИК: У банков группы разный масштаб, уровень зрелости и потребностей. Согласитесь, крупному банку и средней организации нередко нужны разные продукты, поэтому мы не можем быть синхронизированы в принципе. В то же время в рамках группы реализован обмен опытом и мнениями, есть список одобренных провайдеров и решений. Любой из банков группы может отталкиваться от этого списка, но наряду с этим он может самостоятельно внедрять то, что считает целесообразным и эффективным.

NBJ: Как формируются и контролируются соглашения об уровне услуг Service Level Agreement (SLA) при взаимодействии с поставщиками?

В. СОЛЕНИК: Мы анализируем потребности банка и включаем в SLA тот уровень услуги, который необходим для их закрытия. Также при формировании SLA мы смотрим на лучшие практики. Например, у провайдеров связи хорошим уровнем услуг является непрерыв- ная связь 99,999% времени.

Кроме того, в ДельтаКредите нулевая толерантность к нарушению законодательных и регуляторных требований. В связи с этим мы запрашиваем определенный уровень SLA от поставщика услуги и жестко контролируем это.

NBJ: Соответствуют ли современные российские решения по ИБ вашим ожиданиям?

В. СОЛЕНИК: Ряд российских поставщиков решений развивается в правильном русле, и они представлены на международном уровне. Вместе с тем многие компании в России явно ориентированы на импортозамещение, и это иногда играет отрицательную роль, поскольку оно обеспечивает российских вендоров заказчиками независимо от уровня зрелости их решений. Им не нужно конкурировать с мировым рынком, а достаточно быть конкурентоспособными на уровне России, где не так уж много игроков. Если госкомпании все равно купят решение в рамках импортозамещения, то стимул для повышения качества теряется.

Есть также ниши, пока обделенные вниманием. Приведу пример из жизни. Сейчас мы изучаем имеющиеся на рынке платформы для обучения сотрудников. Речь идет о наборе тренингов для разных категорий персонала, например топ-менеджеров, ИТ-специалистов, продажников, и по разным темам, таким как пароли, антифишинг (с возможностью симуляции атак) и т.д. Игроков на российском рынке, которые занимаются соответствующими разработками, меньше, чем пальцев на одной руке. И, изучая имеющиеся продукты, понимаешь, что в каком-то случае платформа сырая, а где-то несодержательны тренинги. Запрос с нашей стороны есть, а продукта с хорошей платформой, удобным интерфейсом и нужным содержанием пока нет.

NBJ: А как обстоят дела на мировом рынке ИБ?

В. СОЛЕНИК: Почти в каждой области есть лидеры, которые продают зрелые решения. Квадрат Гартнера в помощь. Но практика показывает, что продукты, которые используются другими игроками рынка, могут не всегда подходить именно вашему банку, особенно среднему или малому. Например, по той причине, что они слишком громоздкие и сложные. Или же по стоимости.

Мы сейчас ищем несколько новых решений, например, по привилегированным учетным записям. Есть продукты с хорошим функционалом, но интерфейс управления в них устарел. Это неприемлемо, потому что решение должно быть удобным для администраторов. Есть и обратная ситуация. При этом мы говорим о лидерах на мировом рынке.

NBJ: Можно ли говорить о «новинках», которые представили миру киберпреступники за последний год?

В. СОЛЕНИК: Я бы упомянул интернет вещей и его участие в DDoS-атаках. Наряду с этим в последнее время банки подвержены сетевым нападениям, они получают массу фишинговых писем. И «новинка» здесь именно в том, что атак стало гораздо больше, отражение их в большом объеме стало повседневной практикой.

NBJ: Есть нападения на банки с целью занять серверы, чтобы они майнили биткоины?

В. СОЛЕНИК: Такие атаки есть. Но, честно говоря, гораздо реальнее угроза того, что собственные сотрудники организации, ответственные за ИТ-инфраструктуру, могут использовать ресурсы банка не по назначению.

NBJ: Как бы вы описали сегодняшнюю ситуацию в сфере банковской информационной безопасности, насколько она критична?

В. СОЛЕНИК: Она стала чуть хуже около полутора лет назад за счет того, что сместился вектор атак. Раньше основной целью мошенников были финансы клиентов, сейчас это средства банка. Сама кредитная организация становится целью злоумышленников.

В остальном растут и атаки, и защита. Решения усложняются, наполняются новым функционалом, хотя их идеология остается прежней. Например, появились антивирусы нового поколения, которые не просто фиксируют угрозу, но и параллельно делают бэкапирование, резервирование, как endpoint-песочница. По всей сети можно раскидать honeypot’ы. Происходит кросс-функциональная миграция идей между решениями.

Иногда злоумышленникам удается пробить брешь, но я бы не сказал, что ситуация критична. Благодаря постоянному изучению информации мы всегда успеваем оценить, насколько релевантна новая угроза, как происходит заражение и каковы последствия. Другой вопрос, что против некоторых угроз противоядие неизвестно, но от них мы защищаемся компенсирующими мерами.

NBJ: Как обеспечить киберустойчивость банка при взаимодействии с потребителями услуг? Какие основные составляющие должны быть в «рецепте» ИБ?

В. СОЛЕНИК: При работе с потребителями услуг (партнерами, клиентами) мы юридически закрываем риски посредством договоров и соглашений. С третьей стороной мы прорабатываем требования по ИБ. Кроме того, мы предотвращаем риск того, что она начнет исполнять роль злоумышленника.

Мы стараемся сделать сервис удобным или даже незаметным для потребителей. Возьмем ситуацию с паролями. Есть люди, которые не умеют и не любят генерировать новые пароли. Но все знают, что они должны быть и обновляться. В такой ситуации нужно придумать решение, которое будет удобным для пользователя и при этом сохранит защищенность его личного кабинета. Это нетривиальная задача, которую можно решить, например, через механизм двухфакторной авторизации в браузере. Пользователь будет вводить ПИН-код, а программа будет считывать «снимок» окружения, из которого он заходит в личный кабинет, в качестве второго фактора. Кроме того, если оно небезопасное, предпринимаются защитные меры. Прозрачность обеспечена, а потребитель вообще не заметил, что у него есть второй фактор авторизации.

NBJ: Какими вам видятся возможности биометрии? Здесь вообще не нужно предпринимать никаких усилий для авторизации.

В. СОЛЕНИК: С одной стороны, да, есть ряд коммерческих продуктов, используемых и доступных. С другой стороны, технологии еще не настолько развиты, чтобы им безоговорочно доверять. Ни один способ биометрии пока не дает необходимый для банковской организации уровень качества. Есть пилотные продукты, целью которых является доведение биометрической авторизации до уровня банковской услуги. И я уверен, что они придут к нужному результату, а биометрия будет полноценно использоваться. Сейчас проверка клиента по видео и аудио имеет точность около 98%. Это означает, что из 100 идентификаций две пройдут неправильно, что совершенно неприемлемо для банковского бизнеса. Технологии должны развиться до такого уровня, чтобы результат был 99,99%.

NBJ: А можно записать голос человека на диктофон, а его изображение на камеру и таким образом получить доступ к его данным?

В. СОЛЕНИК: В принципе, киберпреступники могут взломать что угодно. Вопрос лишь в том, какие усилия нужно предпринять. Можно при помощи машинного обучения создать видеомакет человека, который будет говорить текст, только что сгенерированный программой и необходимый для авторизации. Но возникает вопрос о том, стоит ли тратить на это ресурсы? Если выгода от взлома огромна и ресурсы оправданы, то, помимо биометрии, нужны и другие способы защиты такого клиента. А если нет, то злоумышленники все равно не будут тратить время на такой взлом. Это нужно просчиты- вать при оценке рисков.

NBJ: Угрозы информационной безопасности эволюционируют быстро. А насколько быстро это происходит с системами защиты? Насколько адекватна скорость изменений?

В. СОЛЕНИК: Системы могут эволюционировать быстро. Вопрос, могут ли с такой же скоростью изменяться люди. Решение в области ИБ представляет собой совокупность этих двух факторов. Современные технологии меняются молниеносно, объемы данных растут, решения за ними поспевают с некоторым отставанием, а их понимание специалистами отстает еще больше.

Просто приведу пример. Поставщики услуг двигаются в правильном направлении – к предложению функционала машинного обучения и нейросетей. Но когда речь заходит об их внедрении в процессы организации, часто не хватает компетенций специалистов или общей зрелости процессов.

NBJ: Почему так?

В. СОЛЕНИК: Слишком большая скорость изменений. Это базовая проблема не только для ИБ, но и для других областей знания. Ты можешь узнать о новом процессе, а через полтора-два года он может кардинально устареть. Иногда к нам приходят поставщики, которые, презентуя технологии, говорят: «Технология «А» уже вчерашний день. А сегодняшний день – это технология «Б», никто на рынке ее пока не применяет». При этом на практике даже до технологии «А» не доросла еще большая часть организаций.

NBJ: А можно ли пропускать определенные этапы в развитии технологий, чтобы соответствовать требованиям времени?

В. СОЛЕНИК: Можно и нужно. Но это хорошо работает, когда ты создаешь процесс с нуля. Как прыжок от землянок к небоскребам, который совершили в Дубае. Таких ситуаций мало, и, как правило, банк работает на определенной базе, с имеющейся историчностью и наследием.

NBJ: На рынке ИБ много новых технологий, среди которых механизмы общественного консенсуса, биометрическая и поведенческая идентификация. Все ли они одинаково полезны и применимы в банкинге?

В. СОЛЕНИК: Есть два фактора. Первый – каждая технология проходит путь от концепта до коммерческого продукта. Многие технологии еще не доросли до уровня коммерческой зрелости, но уже интересны, и поэтому о них много говорят, пока не применяя. Те, которые доросли и превратились в продукт, будут работать, но при условии, что они грамотно используются.

Второй фактор – любая технология нужна не сама по себе, а для решения конкретной задачи. Есть такие программы, которые закроют задачу только на время, а есть те, что могут закрыть ту же задачу, и ты потом сможешь наращивать функционал. Оба варианта полезны и допустимы.

NBJ: «Не достигло коммерческой зрелости» – это, наверное, о биометрии как способе удаленной идентификации клиента.

В. СОЛЕНИК: Почему же? Повторюсь, эта технология вполне зрелая с технологической точки зрения. Стандартная идентификация по отпечатку пальца и сетчатке глаза внедрена давно. Это продукт, который используется для идентификации клиентов и сотрудников. Но помимо технологий есть еще юридический и законодательный аспекты.

Похожим примером является электронная цифровая подпись (ЭЦП). Она широко применяется в России, но далеко не каждый госорган сможет посмотреть документ с ней, потому что у него нет такой технологической возможности. Из-за этого многие документы приходится дублировать на бумаге.

NBJ: Мы затронули еще одну интересную тему – удаленную идентификацию клиентов. Как вы видите решение этой проблемы в банкинге?

В. СОЛЕНИК: Удаленная идентификация клиентов поможет решить задачу доступности услуг в регионах. Это и государственная, и банковская цель. Отчасти проблема решается использованием токенов с квалифицированной электронной подписью (КЭП), но до полного решения задачи пока далеко. Для получения токена с КЭП все равно нужно приезжать и удостоверять личность. А идеальный вариант решения проблемы такой, чтобы клиент мог онлайн получить электронную подпись и пользоваться всеми возможностями банка вообще без визита в отделение.

NBJ: Почему именно социальная инженерия стала главным злом в сфере ИБ?

В. СОЛЕНИК: Самым слабым звеном в любой информационной системе является человек. Машина действует так, как ты ее запрограммируешь. Человек поступает так, как ему удобно, а многие правила доставляют дискомфорт. Машина строго идентифицирует своего и чужого, а человек, решая эту задачу, помимо правил, применяет интуицию и собственные психологические установки.

Существуют техники, которые используют эти слабости и помогают «взломать» систему защиты человека. Кстати, они не изменились со времен «наперсточников». Например, большинство фишинговых писем базируется на социальной инженерии, например, на манипуляции страхами, авторитетом, срочностью. Они заточены на инстинктивную реакцию без должного анализа ситуации и поэтому часто работают.

NBJ: Какие шаги, на ваш взгляд, нужно предпринимать, чтобы минимизировать потери?

В. СОЛЕНИК: Главным является образование. Человек, которого обучили приемам социальной инженерии, сможет понять, когда их пытаются направить против него. Мы со своей стороны контролируем, насколько обучаемые усвоили материал: симулируем атаки, делаем тесты.

Обучение должно быть адресным. Важно рассказать об угрозе языком, который понимает сотрудник, и в понятном ему контексте. Еще адресность проявляется в целевом обучении в зависимости от тех аспектов ИБ, которые сотрудник нарушил.

NBJ: Одним из самых опасных видов преступлений является управление системами посредством удаленного доступа. Что нужно предпринимать банкам в этой связи?

В. СОЛЕНИК: С удаленным доступом две проблемы. Первая является технологической. И здесь нужно просто сделать защищенную архитектуру, корректные настройки. Вторая проблема представляет собой управление правами доступа и учетными записями. На мой взгляд, она даже более существенна, потому что мы можем уволить сотрудника и запретить ему физический вход в банк, но забудем отключить ему удаленный доступ. И в этот момент возникает наибольший риск, что посторонний человек может воспользоваться привилегиями сотрудника и доступом к информации банка.

В ДельтаКредите мы внедрили автоматизированную систему управления доступами. Теперь мы уверены, что они отзываются в день увольнения сотрудника и никакой человеческий фактор не будет играть роль.

NBJ: Эта технология пока не очень широко распространена?

В. СОЛЕНИК: Я бы сказал, что мы идем с небольшим опережением. И дело здесь не столько в решении, сколько в широте использования его функционала. Насколько мне известно, до нас никто в России не внедрял конкретно его настолько же глубоко.

NBJ: Каков ваш взгляд на проблему аутсорсинга информационной безопасности?

В. СОЛЕНИК: По требованиям законодательства некоторые функции ИБ не могут быть вынесены на аутсорсинг. Их выполняют сотрудники банка, и это закреплено приказами и положениями. Во всем остальном тема аутсорсинга ИБ очень горячая, и даже ЦБ РФ своевременно отреагировал на запрос рынка и выпустил положение, в котором разграничил допустимые, недопустимые и допустимые с ограничениями области аутсорсинга ИБ.

Есть функции, которые в небольших и средних банках можно и нужно отдавать на аутсорс, потому что для них необходимы большие ресурсы и набор уникальных компетенций. Самым простым примером служит поддержка центра мониторинга и реагирования на инциденты. Для него нужны три линии сотрудников, которые работают в режиме 24/7. Необходимо обеспечить взаимозаменяемость, непрерывное обучение, а также выстроить правила корреляции. Небольшому банку содержание такого центра у себя обойдется существенно дороже, чем на аутсорсинге.

Основными правилами аутсорсинга являются понимание, с кем ты взаимодействуешь и какой круг полномочий ты даешь аутсорсеру, юридическое и логическое закрепление границ полномочий и постоянный аудит партнера. Среди прочего он необходим, чтобы понять, как у него обстоят дела с собственной информационной безопасностью.

NBJ: Что в банке «ДельтаКредит» отдается на аутсорсинг?

В. СОЛЕНИК: В ДельтаКредите аутсорсинга в области ИБ немного, но мы придем к нему. Рынок движется в сторону аутсорсинга, и самое главное, что у поставщиков все больше качественных сервисов по адекватной цене.