С чем связано повышение требований к эффективности работы банковских служб информационной безопасности? Как изменилось за последние несколько лет отношение топ-менеджеров и собственников банковских организаций к проблемам и вызовам в сфере ИБ? Как может изменить ситуацию намерение регулятора учитывать киберриски при расчете общих операционных рисков банков? На эти и другие вопросы ответил в интервью NBJ Директор департамента по информационной безопасности Ак Барс Банка Вячеслав ЯШКИН.
 
NBJ: Вячеслав, какие бы вы выделили основные тренды в развитии информационной безопасности в банковской сфере? Расскажите о них подробнее.

В. ЯШКИН: Ведущие банки стремятся внедрять новые технологии, чтобы идти в ногу со временем. Основной тренд банковской отрасли – процесс цифровизации: чеки автоматически отправляются в налоговую, счета открываются дистанционно, оплата товаров и услуг производится безналичными платежами с мобильных устройств. Мы должны обеспечить защиту банковской тайны и персональных данных клиентов в этом процессе. 

Исходя из этого, формируются основные тенденции в нашей сфере. К примеру, тренд на самостоятельное создание программных продуктов и мобильных приложений подразумевает разработку мер по защите контейнеров виртуализации, появление Единой биометрической системы влечет за собой усиление методик и средств по защите баз с биометрическими персональными данными.

Также мы видим прямую тенденцию роста использования инструментов для автоматизированной корреляции событий, которые мы получаем из множества систем и средств сбора событий на основе шаблонов или искусственного интеллекта. В обозримом будущем ожидается формирование все большего числа целостных платформ по защите от киберугроз и по обмену с внешними платформами киберразведки (Threat Intelegence Platform, TIP). TIP объединяют в себе функции SOC (Security Operation Centre, система по управлению инцидентами. – Прим. ред.), SIEM (Security information and event management, управление информацией и событиями в системе безопасности. – Прим. ред.), IRP (I/O request packet – структура данных ядра Windows, обеспечивающая обмен данными между приложениями и драйвером. – Прим. ред.) и антифрод-платформ или систем, осуществляющих фрод-мониторинг. Это облегчает и упрощает техническую часть работы отделов ИБ.

Если говорить о прочих тенденциях, то очень радует, как развивается Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, созданный Банком России. С точки зрения технической части мы видим, как, начиная с прошлого года, многие крупные игроки на рынке активно подтягиваются в сторону форензики (компьютерной криминалистики. – Прим. ред.) уже на базе своих продуктов, без формирования своей отдельной системы in-house или накопления компетенций на инструментах open source. Это также тесно связано с тем, что многие государства сформировали подразделения киберполиции.

NBJ: Каковы сейчас наиболее распространенные виды атак на информационные системы банков? По каким местам хакеры чаще всего наносят удары?

В. ЯШКИН: Основной и самый опасный вид атак – это активация полиморфного вредоносного контента через социальную инженерию. По результатам наших исследований, 41% всех атак приходится именно на этот вид, и с каждым годом их 
количество растет. Так, в первом полугодии 2018 года произошло на 32% больше подобных инцидентов, чем в 2017 году. Рост количества инцидентов и масштабов последствий подтверждают самые крупные игроки на мировом рынке кибербезопасности. За социальной инженерией следуют взломы с эксплуатацией уязвимостей и DDos-атак, что обусловлено быстрым ростом количества IoT-устройств (Internet of Things, интернет вещей. – Прим. ред.).

Нет конкретно выделенных векторов атаки. Злоумышленники ищут уязвимости в банковской защите, используют разные средства. Срок подготовки атаки на банк может достигать полугода. Поэтому мы следим за ситуацией на мировой арене, изучаем данные по киберугрозам. Это позволяет увидеть тренды и сформировать представление о том, какие области нужно защищать. Важно также своевременно делиться этой информацией с сотрудниками компании, особенно имеющими расширенные права доступа.

NBJ: Есть мнение, что клиенты стали придавать больше значения тому, как банк обеспечивает свою ИБ. Подтверждается ли это заявление на опыте вашего банка?

В. ЯШКИН: Процесс цифровизации  сбора биометрических данных у многих вызывает закономерный вопрос: как персональная информация будет защищена от злоумышленников? Защита средств клиентов, банковской тайны, персональных данных – это самые важные направления работы ИБ банка. Я лично придаю очень большое значение безопасности нашего банка и нацелен сформировать самый защищенный банк в России.

NBJ: Как влияют на работу ИБ-под­разделения изменения в регуляторном подходе, в частности, намерение ЦБ РФ учитывать киберриски при расчете операционных рисков банковской организации?

В. ЯШКИН: Для нас это имеет скорее сдерживающий эффект, так как требуется увеличивать вовлеченность людей, занимающихся нормативной документацией, методологией и отчетностью, до момента, когда получится выстроить автоматизированную систему взаимодействия. С другой стороны, это привлекает внимание топ-менеджмента банков к проблемам ИБ и доказывает необходимость наличия правильно выстроенного взаимодействия между службой ИБ и подразделением, занимающимся управлением операционными рисками.

NBJ: Как изменился подход банка к реализации проектов в сфере ИБ за последние два-три года? Если изменения есть, расскажите, пожалуйста, о них подробнее.

В. ЯШКИН: За последние два года политика банка в сфере ИБ сильно изменилась, и эти перемены были продиктованы развитием рынка. Мы сформировали отдельное управление по мониторингу и противодействию мошенничеству, создали департамент информационной безопасности, который подчиняется непосредственно председателю правления банка. В рамках стратегии развития ИБ совместно с университетом Иннополис в банке запущена программа повышения компетенций сотрудников департамента ИБ и смежных подразделений.

Мы планируем создать площадку для проведения игровых тренингов по ИБ между банком и учебными заведениями. В ходе тренинга мы будем моделировать кризисную ситуацию, а затем отрабатывать способы ее решения. Это позволит обучать будущих специалистов, улучшать навыки реагирования, расширять кругозор и в перспективе отбирать будущих сотрудников департамента информационной безопасности.

NBJ: Бытует мнение, что сейчас ИТ и ИБ неразрывно связаны между собой, особенно когда речь идет о системах безопасности банков. Насколько верно данное утверждение?

В. ЯШКИН: Абсолютно верно, особенно в условиях цифровизации. Тут главное не допускать перекоса: тотальный контроль так же плох, как полное отсутствие контролирующей функции, когда ИБ самостоятельно выполняет роль управления и поддержки информационных систем банка. Отдел информационной безопасностидолжен выступать в качестве технического эксперта, юриста и методолога, который помогает ИТ и бизнесу быстрее и качественнее решать общие задачи.

Например, у нас ИБ участвует на всех этапах разработки и проектирования программного продукта, начиная с идеи и заканчивая промышленной эксплуатацией, производит ряд ручных и автоматических тестов на защищенность продукта в изолированной среде и на предпроектной эксплуатации, но при этом не участвует в выделении мощностей на виртуальных серверах и не настраивает сетевые устройства.

NBJ: Использует ли ваш банк аутсорсинг в сфере ИБ? Если да, то какие сферы и задачи в этой сфере в вашем банке на данный момент отданы на аутсорсинг? Если нет, то расскажите о том, по каким причинам банк не пользуется ИБ-аутсорсингом.

В. ЯШКИН: Мы используем внешний SOC для оперативного выявления и обработки потенциальных угроз, проводим внешний аудит по требованию стандарта PCI DSS (Payment Card Industry Data Security Standard, стандарт безопасности данных индустрии платежных карт. – Прим. ред.), проводим независимые аудиты защищенности внешних и внутренних систем банка.

NBJ: Какие задачи, по вашему мнению, будут стоять перед банковскими ИБ в 2019 году?

В. ЯШКИН: Одна из наиболее горячих тем – это Единая биометрическая система (ЕБС). По защите биометрических данных в настоящий момент нет утвержденных и детально проработанных требований со стороны регуляторов. Думаю, в 2019 году большое внимание будет уделяться именно этому. У Ак Барс Банка также есть ряд собственных инновационных разработок, которые требуют активного участия со стороны нашего департамента. Нужно быть готовыми к атакам крупного масштаба, которые могут привести к отказу систем связи или электроснабжения. Для защиты от подобных угроз необходимо обращаться к лучшим практикам по управлению непрерывностью бизнеса.