Отношение к вопросам, связанным с обеспечением информационной безопасности в банковских организациях, в последние несколько лет радикально изменилось. Если раньше ИБ воспринималась чуть ли не как препятствие для быстрого развития бизнеса, для вывода на рынок новых продуктов, то теперь практически невозможно найти банк, который продолжал бы придерживаться этой точки зрения. С чем связано это изменение в сознании банкиров, какие главные задачи должны решать управления и департаменты ИБ в настоящее время и какую роль в развитии и совершенствовании информационной защиты банков играет регулятор рынка в лице ЦБ РФ? На эти и другие вопросы ответил в интервью NBJ Директор по кибербезопасности банка «Зенит» Игорь КОСОБУРОВ. 

NBJ: Игорь, какие вы бы выделили основные тренды в развитии информационной безопасности в банковской сфере? Расскажите о них подробнее.

И. КОСОБУРОВ: Самый главный тренд, по моему наблюдению, – это раннее обнаружение атак с помощью различных маркеров на основе корреляции событий, а также использование известной сигнатуры атак, фактически интеллектуальной системы, которая может функционировать без участия человека.

NBJ: Каковы сейчас наиболее распространенные виды атак на ин­фор­мационные системы банков? По каким местам хакеры чаще всего наносят удары?

И. КОСОБУРОВ: Все зависит от заинтересованности хакеров и злоумышленников, прежде всего от направлений, которые они хотят поразить. Наиболее распространенный тип атаки связан с желанием злоумышленников пора­зить систему дистанционного банковского обслуживания юридических лиц, как, по их мнению, наиболее выгодное и наименее защищенное место. Там защита зависит не только от банка, но и от самого клиента. Это те места кредитных организаций, где содержатся финансовые средства компаний, важные данные, ценные бумаги и т.д. Второй распространенный вид атаки совершается на пользователей информационных систем, т.е. клиентов. Это самое уязвимое место во всех технологических процессах. 

NBJ: А чем объясняется то, что именно ДБО юридических лиц и пользователи информационных систем воспринимаются злоумышленниками как наиболее слабые звенья в информационной защите?

И. КОСОБУРОВ: Причина проста. Наименьшая защищенность объясняется тем, что обычные клиенты и компании пока слабо осознают критичность исходящей угрозы, в том числе плохо представляют себе необходимость участия в защите информации. К сожалению, сотрудников большинства компаний отличает низкая осведомленность в вопросах информационной безопасности и недооценка уровня психологической подготовки хакеров. 

NBJ: Есть мнение, что клиенты стали придавать больше значения тому, как банк обеспечивает свою ИБ. Подтверждается ли это заявление на опыте вашего банка?

И. КОСОБУРОВ: Действительно, клиенты хотят быть уверены в том, что их операции и средства защищены. Поэтому они интересуются процессами, которые происходят в банке. Чем грамотнее клиент, тем больше его вовлеченность в вопросы информационной безопасности конкретной финансово-кредитной организации. Задача нашего банка состоит не только в том, чтобы убедить клиентов в защищенности их средств и персональных данных, но и в том, чтобы представить им реальное положение вещей. То есть мы должны показать не только то, насколько мы озабочены безопасностью данных, защитой их личной информации и всеми проводимыми операциями, но и то, какие серьезные меры мы принимаем для их защиты.

NBJ: Как влияют на работу ИБ-под­разделения изменения в регуляторном подходе, в частности, намерение ЦБ РФ учитывать киберриски при расчете операционных рисков банковской организации?

И. КОСОБУРОВ: Действия и намерения регулятора в этом вопросе влияют на работу ИБ-подразделений самым положительным образом, и это вполне объяснимо. Поскольку ЦБ жестко следит за обеспечением ИБ, то и банки, со своей стороны, уделяют этой сфере больше внимания. Любопытно, что ни в одном другом секторе экономики нет столь четкого регулирования ИБ, и это говорит о том, насколько хорошо и результативно подошли к этому делу именно в Центральном банке. 

Регулятор практикует системный подход, начиная с рекомендаций по изменению политики информационной безопасности и заканчивая проверками документации самого низкого уровня. Сейчас настолько все грамотно прописано в его указаниях и рекомендациях, что можно брать их за основу и по ним работать, тем более что в стандартах ЦБ учтены все лучшие практики мира в сфере ИБ. Отдельно хочу сказать, что во многом такой высокий уровень компетентности регулятора объясняется тем, что там работают опытные и подготовленные люди, начиная с Артема Сычева (и.о. директора департамента информационной безопасности ЦБ РФ. – Прим. ред.) и заканчивая участниками всех подкомитетов и оргкомитетов.  

NBJ: Как изменился подход банка к реализации проектов в сфере ИБ за последние два-три года? Если изменения есть, расскажите, пожалуйста, о них подробнее.

И. КОСОБУРОВ: Главное изменение за­-ключается в том, что теперь ощущается очень большая заинтересованность руководства в развитии ИБ. И очень важно, что это не просто с точки зрения регуляторного подхода, что та или иная компания не соответствует каким-то требованиям и нормативным документам. Наконец-то пришло понимание того, что информационная безопасность – обязательная составляющая бизнес-процессов организации, а не какой-то отдельный виток развития. Она требует финансового и организационного участия на уровне высшего руководства банковской организации. Не буду скрывать, что нас очень радует такое изменение подхода. Если раньше во многих банках информационная безопасность воспринималась как какой-то рудимент, то сейчас дело обстоит совершенно иначе. Во всяком случае я могу с полным основанием утверждать это на примере банка «Зенит» . 

NBJ: Бытует мнение, что сейчас ИТ и ИБ неразрывно связаны между собой. Насколько верно данное утверждение?

И. КОСОБУРОВ: Действительно, в передовых банках это так. Это распространенная практика, и от того, насколько эффективно это сотрудничество, зависит конечный результат. ИБ не может быть в отрыве от ИТ. Это можно рассмотреть на примере заботливого родителя, который не дает ребенку зайти в лужу. Как говорится, пусть лучше обойдет, чем испачкается. А в наше время «луж» достаточно много, и это в немалой степени связано с тем, что ИТ находятся под влиянием внешних сил.

NBJ: Кто или что имеется в виду под внешними силами?

И. КОСОБУРОВ: ИТ всегда находятся под влиянием бизнеса, технологии должны отвечать его требованиям и изменениям. ИТ так стремительно развиваются, внедряют новые, мало кем еще опробованные решения, что их можно сравнить с бойцами, идущими по минному полю. Наша задача не дать им наступить на мины, провести их по опасным участкам вовремя и без потерь, достигнуть поставленной цели и необходимого результата. Это как курс молодого бойца, где ИТ должны чувствовать себя одновременно востребованными и защищенными. Опять-таки мы сравниваем себя со строгими, но заботливыми родителями: хороший родитель не накажет ребенка, а позаботится о нем и обучит его. На первых этапах взаимодействия могут возникать какие-то разногласия, например, в отдельных случаях может быть недопонимание с ИТ, но нам практически всегда удается убеждать их в правильности наших решений. Главное, что мы даем им понять, – у нас общие интересы и цели. 

NBJ: Использует ли ваш банк аутсорсинг в сфере ИБ? Если да, то какие сферы и задачи в этой сфере в вашем банке на данный момент отданы на аутсорсинг? Если нет, то расскажите о том, по каким причинам банк не пользуется ИБ-аутсорсингом.

И. КОСОБУРОВ: Нет, аутсорсинг мы практически не используем. Исключение из этого правила составляет решение самых простых задач, например, проведение аудита на соответствие каким-либо стандартам (чаще международным), проведение пентестов, консалтинга. Все это нужно, чтобы взглянуть на себя другими глазами, объективно оценивать степень защищенности своих бизнес-процессов. В целом мы сторонники того, чтобы самим развивать компетенции в информационных технологиях и информационной безопасности. Мы обрабатываем очень чувствительные данные, поэтому заботимся о том, чтобы исключить доступ к ним со стороны посторонних, учитывая при этом невысокий уровень озабоченности ИТ-компаний добропорядочностью собственного персонала. Этот фактор делает, по нашему 
убеждению, риски привлечения аутсорсеров весьма высокими. 

NBJ: Какие задачи, по вашему мнению, будут стоять перед банковскими ИБ в 2019 году?

И. КОСОБУРОВ: Не только в 2019 году, но и сейчас, а также в более отдаленном будущем будут решаться несколько ключевых задач: автоматизация раннего выявления таргетированных атак, развитие и повышение осведомленности персонала, вовлечение в процессы обеспечения ИБ не только работников бизнес-подразделений банка, но и клиентов. Все это делается для того, чтобы повысить грамотность и заинтересованность людей в правильной информации. Мы стараемся внедрять интеллектуальный подход, то есть выявлять атаки еще на стадии их подготовки по косвенным признакам, а не по неадекватному поведению информационных систем. Для того, чтобы это было возможным, должны срабатывать интуиция и знание человеческой психологии.