Начальник отдела информационной безопасности управления безопасности банка «ГЛОБЭКС» Валерий ЕСТЕХИН в интервью NBJ рассказал о различных аспектах деятельности службы ИБ, о своей точке зрения на проблемы информационной безопасности в эпоху кибервойн.

NBJ: Как известно, бизнес зачастую негативно относится к развитию и ужесточению требований информационной безопасности (ИБ). Как вашему банку удается приводить свою систему ИБ в соответствие современным практикам обеспечения информационной безопасности?

В. ЕСТЕХИН: Бизнес уважает тех, кто вовремя предупреждает его об угрозах и опасностях, кто умеет все просчитать и предвидеть угрозы заранее. Как раз служба информационной безопасности может преуспеть в этом, ежедневно повышая уровень компетенции своей команды. Знание и готовность предотвратить угрозы можно рассматривать как противостояние риску. В работе службы ИБ особое место занимает такое качество, как проактивность. Служба должна участвовать во всех пилотных проектах компании, имеющих отношение как к операционной деятельности, так и к обеспечению непрерывности бизнес-процессов. Все процессы должны согласовываться со службой ИБ: внедрение мобильного банка, новой парольной политики, нового технологического решения. Именно служба информационной безопасности совместно со службой информационных технологий (ИТ) определяет, соответствует ли реализация новых решений в банке существующим требованиям по ИБ. Я считаю, что необходимо уделять больше внимания бизнес-аспектам информационной безопасности, а не технологиям.

Чтобы убедить бизнес в необходимости использования современных практик обеспечения информационной безопасности, надо на ранних этапах подключаться к рабочим группам, реализующим бизнес-функции в компании, принимать участие в экспертизе договоров, ТЗ, нормативных документов и т.д. А убедить бизнес можно только силой авторитета и специальных знаний. Важно, чтобы бизнес понимал, что ИБ – это его неотъемлемая часть, современные технологии не могут существовать в отрыве от безопасности, потому что все процессы осуществляются посредством информационных технологий.

NBJ: Как, на ваш взгляд, должно быть организовано взаимодействие бизнес-подразделений и службы ИБ в банке? Как разделить зоны и меру ответственности каждой группы участников в случае инцидентов?

В. ЕСТЕХИН: Взаимодействие бизнес-подразделений и службы ИБ чаще всего происходит на уровне тех или иных бизнес-процессов, рабочих групп, согласований или, например, предоставления доступа к ИС банка.

Огромное значение в этом вопросе имеет внутренняя корпоративная культура организации: то, как в банке строится экспертиза договорной работы с контрагентами по части обеспечения ИБ и защиты информации, а также экспертиза договоров на разработку/модернизацию ПО.

Служба ИБ обязательно должна участвовать в контрольных и аудиторских проверках вместе со службой внутреннего контроля, внешними аудиторами, осуществлять контроль действий сотрудников в информационных системах. План подобных работ расписан у нас вплоть до 2019 года.

Большую роль играет взаимодействие службы ИБ с юридическим управлением в банке в плане экспертизы соответствия обеспечения информационной безопасности требованиям регуляторов (ФСТЭК России, ФСБ России, Банка России), готовности к проверкам Роскомнадзора.

Что же касается зоны и меры ответственности подразделений банка в случае инцидентов, то порядок действий описан в нормативных документах банка, а ответственность определена приказами и распоряжениями по организации.

NBJ: Допустим, нужно максимально быстро вывести на рынок новую услугу, чтобы опередить конкурентов и не потерять потенциальную прибыль. Можете ли вы в этом случае несколько снизить критичность требований обеспечения ИБ?

В. ЕСТЕХИН: Такие случаи действительно встречаются. Подчеркну, что контроль со стороны безопасности не должен подавлять и ограничивать гибкость бизнеса. Пренебречь требованиями безопасности сервиса теоретически возможно, но это палка о двух концах, так как качество безопасности новой услуги влияет на бизнес компании в будущем. Допустим, мы запускаем онлайн-терминал оплаты услуг на своем сайте, но не побеспокоились о защите сайта от кибератак. Сайт взломали, персональные данные банковских карт клиентов оказались в руках мошенников. Такую услугу можно назвать медвежьей.

Обязательность соблюдения требований безопасности в отношении новой услуги определяется уровнем возникающего риска и величиной расходов, связанных с его снижением.

NBJ: Службы ИБ и ИТ неразрывно связаны в современной корпоративной системе компании, эффективность работы каждой из них напрямую зависит от успешности их взаимодействия. При этом нередко их сотрудничество построено неэффективно. Почему так происходит? Как решаются спорные моменты и вопросы?

В. ЕСТЕХИН: Действительно, иногда этим подразделениям бывает трудно прийти к взаимопониманию по каким-либо спорным вопросам. Например, зачастую точке зрения службы ИБ, аргументированной выдержками из нормативно-правовых актов законодательства РФ и указаний Банка России, ИТ-подразделение противопоставляет свое ничем не подкрепленное мнение.

Другой момент: в одном из документов Комплекса стандартов (а имен- но в РС БР ИББС-2.9-2016) Банк России рекомендует выделять в числе возможных категорий внутренних нарушителей эксплуатационный персонал (например, персонал, который обслуживает ИT-системы). Поэтому, когда мы осуществляем данную предписанную регулятором контрольную функцию, то стараемся делать это, не ставя в известность ИТ-службу, что вызывает у последней негативную реакцию.

В случае конфликтных ситуаций с ИТ-подразделением, если не удается достичь компромисса, мы апеллируем к топ-менеджменту организации, эскалируя вопрос наверх, вплоть до президента банка.

NBJ: Как вы считаете, должна ли служба ИБ позиционироваться отдельно от ИТ-службы? Как это происходит на практике?

В. ЕСТЕХИН: На мой взгляд, ИБ-служба должна быть обособлена от ИТ-службы во избежание возможного конфликта интересов. Понятно, что информационной безопасности, а значит и службы ИТ, в отрыве от ИТ-инфраструктуры существовать не может. Однако цели этих подразделений банка не всегда совпадают.

Цель ИТ-службы заключается в обеспечении непрерывности предоставления ИТ-услуг. Целью ИБ-службы является обеспечение сохранности корпоративных активов и конфиденциальной информации. Вместе они отвечают за доступность ИТ-сервисов банка.

При этом неслучайно регулятор требует в нормативных документах, чтобы кураторами подразделений ИТ и ИБ в банке были независимые друг от друга лица и чтобы само подразделение информационной безопасности было обособлено от всех подразделений, занимающихся управлением ИТ-инфраструктурой.

NBJ: Каким образом строится процесс взаимодействия службы ИБ с поставщиками решений по ИБ в банке? Как вы оцениваете и выбираете поставщиков?

В. ЕСТЕХИН: Поставщики решений продают не информационную безопасность, а мечту об информационной безопасности. Идеальных решений не бывает. Каждая более или менее распространенная технология имеет свои плюсы, минусы и границы применения. Для внедрения любого решения надо отчетливо понимать, зачем оно вам нужно и что конкретно вы хотите с его помощью защищать. А главное, как это все будет сочетаться с уже внедренными решениями и ИТ-инфраструктурой компании.

Исходя из негативного опыта, могу отметить, что чаще всего раздражение и неприятие вызывают два типа интеграторов или поставщиков решений. Первые – это интеграторы-коробейники, которые продают все – от софта до мышки. Это своего рода «Ашан» ИТ- и ИБ-решений.

Второй тип интеграторов – представители одного бренда, одной марки, которые работают по следующему принципу. Они говорят: «Мы знаем, что у вас есть телевизор Sony, холодильник LG и утюг Tefal. Но у нас для вас есть специальное уникальное предложение, например, от компании Samsung. Поэтому выбросите все, что имеете, а взамен приобретите у нас комплексное решение: телевизор Samsung, холодильник Samsung и утюг Samsung. Кроме того, мы подарим вам еще сенсорную панель управления всеми этими устройствами».

Когда поставщик решения говорит о шифровании коммерческой тайны и персональных данных, я понимаю, что это рекламная уловка. Поставщик не предлагает ничего нового или уникального, речь идет о шифровании электронной переписки, контроле внешних носителей, групповых политиках ActiveDirectory, контроле доступа, парольной политике и защите данных при хранении. Все это в банке уже давно используется. Возникает вопрос – зачем приобретать то, что у тебя уже есть?

NBJ: Как происходит формирование и контроль SLA при взаимодействии с поставщиками?

В. ЕСТЕХИН: Порой это происходит нелегко, так как поставщик охотно вносит в SLA типовые решения, которые он может внедрить «из коробки», и неохотно занимает- ся внедрением нового функционала – например, интеграцией своего решения с АБС заказчика. Но есть и положительные примеры взаимоотношений с поставщиками решений. Так, в последнее время соглашения об оплате на основе реальной пользы становятся не такой уж экзотикой, особенно в среде стартап-компаний. Сегодня любому коммерческому продукту приходится соперничать с открытым кодом и бесплатным ПО. Поэтому для оправдания инвестиций необходима оценка наиболее вероятных результатов внедрения того или иного решения.

NBJ: Какие наиболее острые проблемы возникают в работе службы ИБ с поставщиками?

В.ЕСТЕХИН: Информационная безопасность компании – это большая стройка со всеми вытекающими последствиями. Например, вы нанимаете бригаду строителей SOC (Центр обработки инцидентов), NDA подписан, договор и SLA согласованы, ударили по рукам. И ровно с этого момента начинают происходить странные вещи. Бригада «внедренцев» не спешит приступать к работе у вас, потому что она не закончила объект у предыдущего заказчика. Потом, когда сроки оплаты поджимают, поставщики приходят на неделю, имитируют бурную деятельность и говорят, что основная работа сделана, остались только мелочи, пропадают опять на неопределенный срок, а точнее, до момента выплаты очередного транша.

NBJ: Соответствует ли современный рынок решений по ИБ вашим ожиданиям?

В. ЕСТЕХИН: Всегда хочется большего. К сожалению, не всегда достаточно бюджета, чтобы опробовать какое-нибудь новое решение или продукт.

NBJ: Как бы вы описали сегодняшнюю ситуацию в сфере информационной безопасности банковской отрасли, насколько она критична?

В. ЕСТЕХИН: Нам выпало жить в трудное время кибервойн. В условиях кризиса все озабочены оптимизацией ресурсов и рисков. А тут еще и кибермошенники атакуют снаружи, изнутри, со всех сторон, а с появлением интернета вещей вообще складывается ситуация, когда все начинают атаковать всех.

Из этого напрашивается только один вывод: нет средств защиты от всех угроз, всегда находится угроза, которая преодолевает все системы защиты.

NBJ: Каким должен быть банк, чтобы его можно было назвать киберустойчивым?

В. ЕСТЕХИН: Если ответить на этот вопрос коротко, то безлюдным, так как человеческий фактор является господствующей угрозой в обеспечении ИБ.

NBJ: Почему именно социальная инженерия стала главным злом в сфере ИБ?

В. ЕСТЕХИН: Потому что человеческая доверчивость неискоренима.

NBJ: Что же делать?

В. ЕСТЕХИН: Повышать уровень знаний, начиная с младших классов в школах. Так же, как мы учим детей переходить улицу на зеленый свет, необходимо объяснять им правила поведения в том числе и в социальных сетях.

NBJ: Как повысить осведомленность сотрудников банка в области информационной безопасности?

В. ЕСТЕХИН: Служба ИБ должна ежедневно работать в этом направлении. Руководители компаний начали задумываться о необходимости повышения уровня осведомленности своих работников и обеспечения наличия у них навыков, необходимых для защиты от атак кибермошенников. Так же, как хороший кассир должен отличать поддельную купюру от настоящей, сотрудники банка должны отличать поддельное электронное письмо с вирусным вложением от нормального, рабочего. Мы часто проводим плановые и внеплановые инструктажи, тренинги по информационной безопасности, киберучения и разъяснения. Очень важны рекомендации, ориентированные на высшее руководство организации.

NBJ: Существуют ли адекватные решения в области безопасности с учетом того, что объемы данных стремительно растут и возрастают требования к скорости их обработки?

В. ЕСТЕХИН: Наверное, если задуматься о вопросе обработки больших объемов данных и ее скорости, мы вольно или невольно придем к использованию облачных вычислений, поскольку такие параметры, как качество и скорость обработки данных, существенно влияют на бизнес компании. Но в банках облачные сервисы пока не получили широкого распространения. При этом я думаю, что выгоды от хранения и обработки данных в электронном виде в облаке перевешивают риск возможной компрометации данных.

NBJ: Как вы думаете, позволяют ли новые технологии ИБ повысить уровень безопасности организации?

В. ЕСТЕХИН: За последние 7–8 лет безопасность стала обязательным требованием не только в финансовой индустрии, теперь она воспринимается как важная и неотъемлемая часть жизнедеятельности любой компании. Все начинают понимать: если у компании есть современные технологии, она найдет свой рынок. А новые технологии сопряжены с новыми рисками. Поэтому поиски безопасных технологий для бизнеса будут всегда в тренде. На мой взгляд, наиболее перспективной на данном этапе является технология блокчейн – распределенная система хранения данных с повышенной надежностью.

NBJ: Расскажите о ключевых проблемах использования сервисов дистанционного банковского обслуживания с точки зрения безопасности.

В. ЕСТЕХИН: Кража средств со счетов клиента – постоянно присутствующий риск банка. Мы должны опережать тех, кто дистанционно крадет деньги наших клиентов. Потребители хотят получить платежные сервисы с полноценными функциями защиты.

Для доступа к системе ДБО используется стандартный браузер. Меры безопасности системы ДБО для физических и юридических лиц традиционны. Во-первых, для получения доступа к счету пользователя необходимо пройти процедуры двухфакторной аутентификации. Во-вторых, для хранения ключей ЭП клиентов должны использоваться USB-токены, а виртуальная клавиатура – при вводе логина и пароля. В-третьих, подтверждение операций нужно осуществлять с использованием одноразовых паролей, шифровать передаваемый трафик, использовать SSL-сертификаты. Кроме того, существуют лимиты на операции, выполняемые через системы ДБО. Наконец, нужно постоянно повышать осведомленность клиентов о мошеннических схемах.

NBJ: Каков ваш взгляд на проблемы удаленной идентификации физических лиц в финансовом секторе?

В. ЕСТЕХИН: Задача банка – идентифицировать своего клиента, при этом способы идентификации могут быть разные: поведенческий, геолокационный, биометрический, также подписание платежа может происходить при помощи смартфона и т.д. Компания должна понять, какие преимущества она может получить от удаленной идентификации физических лиц и как нивелировать риск того, что данный клиент может оказаться не тем, за кого себя выдает.

Наш банк присматривается к технологиям удаленной идентификации клиентов, например, с помощью Skype, Viber, WhatsApp. Но пока этот способ используется не слишком широко.

NBJ: Одним из самых опасных видов киберпреступлений является управление системами посредством удаленного доступа. Что в таких случаях банкам необходимо предпринимать в первую очередь?

В. ЕСТЕХИН: Нужно серьезно заниматься вопросом разграничения прав доступа внутри компании, так как цель хакеров при удаленном доступе – найти и скомпрометировать привилегированные учетные записи. Компаниям необходимо обзавестись системами, позволяющими проводить инспекцию исходящего и вхо- дящего трафика. Если подобные системы защиты не внедрены, нужно регулярно осуществлять разовые аудиты сетевой безопасности. Всегда можно договориться об участии в пилотных проектах по поиску угроз в сети банка, которые не обнаруживаются средствами антивирусной защиты, сетевыми фильтрами и другими средствами.

NBJ: Многие специалисты говорят, что в последнее время участились таргетированные хакерские атаки на банковские системы. Это правда?

В. ЕСТЕХИН: Вряд ли целью мошенников является проникновение в конкретный банк. Такие случаи имеют место, только когда внутри банка есть сообщник или если речь идет о недобросовестной конкуренции.

Надо сказать, что вследствие проведения массированных атак на компьютеры пользователей с успешным их заражением в руки киберпреступников попадает большой объем самой разной информации, в том числе и финансовой, которой грех не воспользоваться. Возможность украсть создает вора. Отработав свои приемы на клиентах банка, мошенники идут дальше и применяют те же приемы уже на работниках банка. Как показывает практика, последние в этом вопросе иногда ничем не отличаются от клиентов. Таким образом, преступники заражают компьютеры сотрудников банка и ищут подходы к платежным сервисам: банкоматам, системам ДБО, АБС, АРМ КБР, системе SWIFT. Поэтому можно сказать, что целенаправленные атаки идут на платежные системы повсеместно (в банках, в процессинговых центрах, в системах денежных переводов).

NBJ: Как защищаются банки в случае крупномасштабных хакерских атак?

В. ЕСТЕХИН: В последние годы финансово-кредитные организации к подобным атакам готовятся. Как правило, в банках используются стандартные методы и способы защиты: межсетевые экраны (МСЭ), антивирусные решения, спам-фильтры на почтовых серверах, IDS / IPS-решения. Этого бывает достаточно для отражения обычных атак. А против необычных – например, на основе заражения IoT- устройств и организации с их помощью DDoS-атак – и повышенные меры защиты не помогут.

NBJ: Помогает ли в вашей работе созданная почти три года назад организация FinCERT?

В. ЕСТЕХИН: FinCERT проводит огромную работу, и пользу этой деятельности для финансового сектора трудно переоценить. Сегодня на повестке дня налаживание межведомственного обмена информацией FinCERT с другими центрами реагирования. Исходя из дорожной карты Банка России на период 2016–2018 годов, разработка регламентов взаимодействия по вопросам противодействия киберпреступности между Банком России и другими заинтересованными сторонами включена в перечень необходимых мероприятий.

NBJ: Что вы думаете об аутсорсинге в сфере информационной безопасности?

В. ЕСТЕХИН: Ситуация на рынке такова, что от поставщиков решений просто нет отбоя, но бюджет компаний имеет определенный лимит, и это накладывает ограничения на использование аутсорсинга.

Я считаю, что за аутсорсингом безопасности будущее, особенно для малых и средних компаний. Но чтобы такая ситуация стала реальностью, на рынке должно появиться достаточное число игроков, которые бы предоставляли такие услуги с понятной всем бизнес-моделью и адекватной ценовой политикой.