Аналитика и комментарии

11 января 2018

золотое сечение в вопросах ИБ

Насколько изменился «портрет злоумышленника» за последние несколько лет, и как это повлияло на те задачи, которые банки ставят перед собой в рамках обеспечения своей информационной безопасности? Как добиться того, чтобы клиент, с одной стороны, чувствовал себя защищенным, а с другой, не тяготился выполнением чрезмерных, с его точки зрения, требований безопасности? Насколько острой является для банков в нынешней ситуации проблема с подбором и удержанием персонала в сфере информационной безопасности (ИБ)? На эти и другие вопросы ответил в интервью NBJ начальник Управления режима информационной безопасности Департамента защиты информации Банка ГПБ (АО) Алексей ПЛЕШКОВ.

NBJ: Алексей, с вашей точки зрения, какие наиболее актуальные проблемы информационной безопасности следует выделить в настоящее время? Насколько критична ситуация с точки зрения ИБ в банковской отрасли?

А. ПЛЕШКОВ: Я не называл бы вопросы защиты информации проблемами, а использовал бы термин «задачи». К наиболее актуальным задачам в области защиты информации российского банка, требующим от специалистов по защите информации комплексного решения и нестандартного подхода, в настоящее время можно отнести следующие:

  • защита активов и интересов клиентов финансовых организаций от противоправных действий злоумышленников (технического и социального характера);
  • соблюдение баланса между функциональным удобством и уровнем защищенности предлагаемых клиентам банковских продуктов;
  • противодействие высокотехнологическому мошенничеству, сопровождавшему в последние годы внедрение актуальных решений (в том числе на мобильных платформах, также иностранного производства);
  • построение комплексной распределенной и тиражируемой на несколько уровней вложенности системы защиты информации;
  • актуализация и миграция средств защиты на современные производительные платформы вместе с основными (морально устаревшими) автоматизированными банковскими системами и процессами;
  • повышение осведомленности работников и клиентов финансовой организации в вопросах обеспечения защиты информации;
  • соблюдение требований отечественных и международных регуляторов в области защиты информации.

По сравнению c другими аспектами банковской деятельности, которыми были красочно наполнены 2014–2016 годы – флуктуация курсов валют, изменение ставок, отзывы у банков лицензий и пр., – в области защиты информации критической ситуации я не наблюдаю. Текущее состояние можно назвать своеобразной стагнацией.

NBJ: Наверное, есть и такая задача: как обеспечить киберустойчивость банка при взаимодействии с потребителями услуг?

А. ПЛЕШКОВ: По своей сути современный банк со всеми его электронными данными, технологическими платформами и автоматизированными процессами является магазином по продаже денег. Основные потребители банковских услуг – юридические и физические лица – очень требовательны к качеству и безопасности предоставляемых банком технологических продуктов. Киберустойчивость как способность банка противостоять современным угрозам информационной безопасности является обязательной характеристикой, которую принимают во внимание все клиенты при выборе «своего магазина». Обеспечение киберустойчивости напрямую связано с построением комплексной системы защиты информации. Клиенты банков во многом консервативны. Такие неизменные атрибуты, как доступность 24/7, конфиденциальность совершаемых операций и целостность всех хранимых и подписываемых данных, – это те составляющие успеха, без которых сложно представить современный банковский продукт.

NBJ: В последнее время, как хорошо известно, российские банки не раз становились объектами хакерских атак. В связи с этим, как утверждают многие эксперты, возрастает потребность в обмене информацией о прецедентах в сфере ИБ между банковскими организациями. Участвует ли в таком обмене, организованном под эгидой FinCERT, «Газпромбанк»?

А. ПЛЕШКОВ: Портрет киберзлоумышленника за последние десять лет поменялся кардинально. Если в начале двухтысячных годов это были романтики-одиночки, считавшие своим долгом доказать всему миру свою правоту, то сейчас это чаще всего организованные группы связанных через интернет, проживающих в разных странах и часовых поясах узкоспециализированных умельцев. Они работают в ежедневном режиме, совершая международные преступления. В таких условиях для своевременного и адекватного противодействия кибератакам соблюдение банками полного суверенитета представляется неэффективным. В истории было много примеров, когда для противодействия иностранной интервенции локальные, разделенные по разным причинам сообщества соглашались на совместно скоординированные действия, бывшие конкуренты объединялись, а враги становились союзниками.

Так происходит и сейчас: все больше российских банков объединяются под эгидой Центрального банка. Первым шагом является обмен информацией об инцидентах и способах минимизации рисков их возникновения через интерфейсы FinCERT ЦБ РФ. Банк ГПБ (АО) не исключение: мы активно взаимодействуем с ЦБ РФ по вопросам противодействия современным кибератакам.

NBJ: Какие существуют адекватные решения в области безопасности с учетом того, что объемы данных стремительно растут и растут требования к скорости их обработки?

А. ПЛЕШКОВ: Большинство современных банковских продуктов оцифровано, скрытая от клиентов бэк-офисная и аналитическая обработка операций осуществляется исключительно в электронном виде. Нет ничего страшного в том, что объемы хранимых архивов растут. Современные банки должны быть готовы к этому. Для защиты, как и для обработки массивов данных, используются инструменты на базе технологии BigData.

NBJ: По вашим наблюдениям, какие банковские системы более всего подвержены атакам злоумышленников?

А. ПЛЕШКОВ: Чаще всего атаки на отечественные банки совершаются через интернет. В зоне риска находятся веб-интерфейсы и банковские приложения, доступные для клиентов в круглосуточном режиме. Другим высоковероятным вектором развития атаки выступают мобильные приложения и так называемые «толстые клиенты» – программы для удаленной работы через интернет с банковскими продуктами. Еще один тренд современных атак – это рассылка фишинговых писем по адресам корпоративной электронной почты с целью распространения и доставки вредоносного программного обеспечения внутрь защищаемого контура. Здесь целями атаки выступают все внутренние автоматизированные банковские системы, в том числе работающие с участком платежной системы Банка России.

NBJ: Какие средства борьбы с инсайдерами вы считаете наиболее эффективными?

А. ПЛЕШКОВ: На мой взгляд, наиболее эффективными средствами борьбы с инсайдерами становятся технические меры по выявлению в комплексе с организационными мерами по профилактике утечек конфиденциальной информации в организации. Важно сформировать внутри коллектива финансовой организации четкое понимание присутствия режима информационной безопасности. Не последнюю роль в этом процессе играют выбранные способы популяризации результатов проводимых расследований.

NBJ: Какие основные проекты в сфере ИБ проходят в банке в настоящее время?

А. ПЛЕШКОВ: В вопросах развития систем защиты информации финансовые организации чаще всего следуют указаниям регуляторов, реагируют на появление актуальных угроз или обеспечивают надежную и безопасную работу клиентов в новых продуктовых системах согласно требованиям бизнеса. Мы не исключение из этого правила. К первой группе проектов по выполнению указаний регуляторов можно отнести успешно завершенный проект по приведению бизнесов «Газпромбанка» в соответствие с требованиями Положения Банка России No 552-П «О требованиях к защите информации в платежной системе Банка России» или проект по вынесению из АРМ КБР-С (автоматизированного рабочего места клиента Банка России. – Прим. ред.) функции по простановке электронной подписи на платежных документах на стороне банка. Ко второй группе проектов относятся работы по построению эшелонированной системы спам/фишинг-фильтрации и защиты от вредоносного программного обеспечения, поступающего по каналам электронной почты. Также ко второй группе относится и ряд инфраструктурных проектов по перестройке и защите внутренней сети головного офиса и филиалов банка. Третья группа проектов полностью ориентирована на работу бизнес-подразделений. К успешно реализованным проектам этой группы я бы отнес регулярное проведение тестов на проникновение, к примеру в контексте PCI DSS (Payment Card Industry Data Security Standard – стандарт безопасности данных индустрии платежных карт. – Прим. ред.) или Положения Банка России No 382-П, или работы по поиску и устранению уязвимостей в новых версиях систем.

беседовала Софья Мороз
Поделиться:
 

Возврат к списку