В интервью главному редактору Национального банковского журнала Станиславу Комарову, управляющий RTM Group Евгений Царев рассказывает о специфике аудита объектов информационной безопасности в банковском секторе, дает рекомендации финансовым организациям, на какие требования ЦБ стоит обратить особое внимание в 2021 году, а также отмечает, какие методы максимально эффективны при выявлении уязвимостей банковского программного обеспечения.

NBJ: Евгений Олегович, RTM Group работает в сфере права, судебной экспертизы и безопасности с 2015 года. Финансовый сектор тоже охвачен – вы оказываете юридическую поддержку кредитным организациям, проводите аудиты ИБ и различные экспертизы. На вашем сайте говорится, что каждый пятый российский банк – ваш клиент. Есть какая-то специфика деловых взаимоотношений с банкирами?

– Так получилось, что с банками я работаю на протяжении всей своей профессиональной карьеры. В отличие от других секторов экономики в плане информационной безопасности у банков существует особая регуляция. Я бы даже сказал, финансы – одна из самых зарегулированных отраслей в части информационной безопасности. В этом-то и заключается главная особенность работы с кредитными организациями.

Задача соответствия требованиям регулятора для них очень значима, а со стороны ЦБ очень много требований. Поэтому при налаживании взаимоотношений с подразделениями информационной безопасности банков необходимо предлагать им решения, связанные, в первую очередь, с регуляторной деятельностью.

Мы не занимаемся поставками технических решений, но те, кто их осуществляют, всегда изучают, как это согласуется с регуляцией. За последние годы у банков значительно вырос уровень комплаенса – теперь на соответствия требованиям Банка России необходимо тратить намного больше ресурсов, чем раньше.

Скажу больше – банковская безопасность ушла в эту регуляцию с головой. По сути, любое решение, которое внедряет банк, делается с оглядкой на текущее регулирование. По большому счету ЦБ в части информационной безопасности своими требованиями охватил всё. Банки же должны соответствовать этим требованиям в обязательном порядке.

NBJ: В 2017 году вы открыли направление аудитов информационной безопасности, ставшее логическим продолжением расследований банковских инцидентов. Сколько всего за это время было проведено аудитов? Можете дать общую среднюю оценку банкам по уровню их соответствия требованиям ИБ?

– Мне сложно назвать точную цифру – она исчисляется сотнями. Только за прошлый год мы провели порядка 150 самых разнообразных аудитов.

Давая усредненную оценку, на мой взгляд, необходимо учитывать финансовый уровень кредитной организации. Банки, которые ближе к ТОП-20, занимаются информационной безопасностью активнее, вкладывают в нее больше ресурсов, там, естественно, показатели значительно лучше. У банков, которые не входят в ТОП-100, ситуация хуже.

Но, по моим ощущениям, российской банковской системе можно смело поставить четверку с минусом.    

Да, цена информационной безопасности высока. Очевидно, что она будет расти. У небольших банков практически не остается вариантов. Либо они ждут отзыва лицензии, либо сами ее сдают, либо начинают инвестировать в ИБ.

NBJ: За последние несколько лет Банк России выпустил ряд положений по направлению информационной безопасности. Можете рассказать подробнее, что необходимо сделать банкам в 2021 году?

– Этот год для всего финансового сектора, которого касаются требования регулятора, обещает быть очень активным. Большинству кредитных организаций необходимо привести свои бизнес-процессы в соответствие с Положением Банка России № 719-П, которое вводит новые стандарты обеспечения защиты информации для субъектов банковской деятельности, оказывающих населению финансовые услуги, в том числе по переводу денежных средств в безналичной форме.

Для тех, кто не ввел в прошлом году в своих организациях ГОСТ Р 57580.1-2017 (Национальный стандарт, который определяет базовые требования к уровням защиты информации, установленные нормативными актами Банка России – прим. Ред.), – а таких много, – придется завершать эту работу в 2021 году.

Необходимо делать пентесты, проводить анализ уязвимостей в соответствии с требованиями ОУД4. У многих банков подходит к концу оценка Положения Банка России N 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств», которая проводилась два года назад. Соответственно, аудит по 382-П тоже нужно делать. В связи с распространением системы быстрых платежей многим необходимо работать и с Положением ЦБ № 672-П «О требованиях к защите информации в платежной системе Банка России». Аудит сегмента единой биометрической системы тоже необходимо проводить.

Всё вместе сейчас складывается в один большой мешок и говорит о том, что большинство банков не будут вылезать из аудитов в течение года.

В конце 2020 года Банк России выпустил письмо с трактовкой последних пунктов 683-П. У банков якобы появилась отсрочка по этому положению, но при этом имеется предыдущее майское письмо, в котором заявлено ровно противоположное. Эти письма противоречат друг другу. Как будут реагировать на эту ситуацию стороны, не знаю. Знаю одно: им сейчас не позавидуешь в плане того, сколько нужно в этом году сделать.

NBJ: Расскажите подробнее про ГОСТ Р 57580.1-2017. Почему вы считаете этот стандарт ключевым для банков в 2021 году?

– Структура регулирования в части информационной безопасности такова, что положения, которые выпускает Центральный банк, выделяет области применения и область оценки. Они могут быть разные: единая биометрическая система, платежный сегмент Банка России, дистанционный банкинг. И далее в положении дается ссылка на ГОСТ. Получается следующая картина. Необходимо выполнить ряд требований самого положения, плюс обеспечить соответствие ГОСТу и, естественно, провести аудит. ГОСТ становится объективным и основным критерием для оценки не только кредитных, но и некредитных финансовых организаций. ГОСТ был ключевым и раньше, но в 2021 году внимание к нему особое.

NBJ: Вы уже упомянули особую разновидность тестов. Как часто кредитные организации заказывают у вас тестирование на проникновение, – так называемые пентесты, – оценку безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника? В чем суть этих тестов и можете ли вы предоставить какую-то статистику выявленных ошибок после их проведения?

– В документах Банка России это называется тестированием на проникновение, но в среде специалистов мы, действительно, привыкли называть их «пентестами». Суть данной работы в том, чтобы смоделировать действия злоумышленника и попытаться получить доступы к объектам информационной инфраструктуры организации-заказчика. На мой взгляд, это один из самых крутых инструментариев для повышения уровня информационной безопасности компании. У банка могут быть внедрены все необходимые системы, они работают замечательно, но пентест может обнаружить некий относительно простой способ, который позволяет проникнуть внутрь всей этой сложной архитектуры.

Что же касается статистики выявленных ошибок, то получается интересная картина. ещё несколько лет назад пентесты давали практически стопроцентный результат при поиске и эксплуатации значимых уязвимостей как в банках с категорией активов ниже ТОП-50, так и входящих в этот ТОП. Требования ЦБ по проведению пентестов сыграли ключевую роль. Уязвимостей за последние два года стало значительно меньше.

Впрочем, «классика» остается. Независимо от того, какие используются технические решения, как применяются средства безопасности, основной удар приходится по направлению парольной политики, политики обновлений и ошибкам в архитектуре и настройке сети. Администраторы часто используют одни и те же пароли к разным внутренним системам. Подбирая пароль к одной учетной записи, в дальнейшем можно получить доступ и другим. Процент ошибок, связанных с человеческим фактором, крайне велик.

Банки уже привыкли ежегодно делать пентесты, они бывают разного наполнения: внешние, внутренние, заточенные под социальную инженерию. ЦБ в настоящий момент не определил конкретную методику проведения пентестов, поэтому банк выбирает самостоятельно, какой объем тестирования он хочет у себя провести. ещё раз повторюсь – эта работа дает очень хороший результат.

NBJ: Зачем банкам необходимо периодически проводить анализ уязвимостей в соответствии с требованиями ОУД4? Какова реальная польза от этих проверок?Что вы делаете в этом направлении?

– ОУД4 (Оценочный уровня доверия четвертого уровня – прим. Ред.) – это отдельная история. Я полагаю, регулятором принято стратегическое решение: в банках в рамках платежного процесса не должно остаться программного обеспечения, которое бы не прошло оценку по ОУД четвертого уровня или сертификацию.

Объясню: программное обеспечение, которое используется, должно проверяться на наличие ошибок, уязвимостей в коде, использования уязвимых компонентов. Для банков это, кстати, сейчас основная проблема. Уже несколько раз переносились сроки взысканий с кредитных организаций за нарушения требования по ОУД4. Очередной срок – это середина года 2021 года. Клиентское ПО, тот самый интернет-банкинг, с которым мы с вами работаем, должно проходить такую оценку. Серверная часть на стороне банка тоже должна проходить такую оценку.

Все это придумано и реализовано регулятором для того, чтобы приучить банковское сообщество к тестированию своих приложений, которые они выкладывают в продуктив. Уязвимостей в приложениях довольно много. Не во всех банках выстроена система Patch Management (Процесс управления обновлениями программного обеспечения – прим. Ред.), которая позволяет протестировать свои проекты перед выкладкой в продуктив. Не налажена система безопасной разработки, когда программное обеспечение на всех этапах контролируется с точки зрения защищенности.

Требования по ОУД4 – это то, что через несколько лет не оставит в рамках платежного процесса какого-то неизвестного ПО. Что сейчас, к сожалению, имеет место быть. А это риски. Центральный банк своими требованиями фактически пытается избавить банковский сегмент от недоверенного ПО.

NBJ: По итогам аудитов, какие рекомендации вы даете кредитным организациям? Что клиенты воспринимают спокойно, а что из ваших предложений ими не выполняется категорически?

– На самом деле нет никаких нереальных требований и рекомендаций к кредитным организациям. Существуют определенные технические сложности с тем же ОУД4, но, в принципе, все они решаемы.

Другое дело, что это довольно дорого по имплементации и внедрению. В итоге зачастую складывается ситуация, когда в отделе безопасности банка работает только один человек, а необходимо, например, пять сотрудников. Когда такое условие появляется, конечно, оно может шокировать топ-менеджеров и собственников банка.

Требования ГОСТа градированы, там имеются уровни соответствия. Для того, чтобы выйти на рекомендуемый уровень, –  а в настоящий момент это 0,7 из 1, – им просто нужно спокойно и внимательно работать в области безопасности. Ничего сверхъестественного.

Банк волен выбирать любого аудитора, требования к нему ограничены лишь лицензией. Ценность работы с RTM Group в том, что мы предлагаем варианты, которые позволяют по итогам аудита и оценку хорошую получить, и сделать это разумно с точки зрения экономии средств. Самое главное – наш аудит направлен не только на получение формального отчета, но и на повышение объективной безопасности клиента.

Потребовать от заказчика заменить все сетевые устройства, согласитесь, вариант так себе. Это дорого, неизвестно также, что, к примеру, произойдет дальше с сертификатом. Мы не раз наблюдали: техническое решение ещё проектируется и внедряется, а сертификат уже просрочен. Другого сертификата не появилось.

Учитывая, что аудиты носят перманентный характер, банку с целью экономии ресурсов удобнее работать с одним-двумя аудиторами на постоянной основе. Чтобы они все время были внутри процесса, делали один аудит, через два-три месяца другой.

Мы всегда на связи со своими заказчиками, постоянно даем update: какие изменения произошли в нормативной базе, что необходимо поправить, на что обратить внимание. Всегда поделимся, каким-нибудь документом, в конце концов. Да и службе информационной безопасности кредитной организации в этой ситуации значительно проще работать – она получает квалифицированные ответы от самых разных специалистов нашей компании. Если всё время поддерживать такой контакт, – к чему мы стремимся, – в конечном счете, выигрывают все. У нас не бывает такого, чтобы мы работу выполнили и ушли. По сути, свою работу с банками мы ведем именно в направлении постоянного взаимодействия.

Еще хочу добавить, что российский рынок аудита до сих пор не сформирован. Формально есть большое количество игроков, – порядка 50 организаций, – тех же, кто обладает значительным опытом и компетенциями не наберется и десятка. Подчеркну, если банк начинает работать с аудиторами, то крайне важно ему не перебегать от одного к другому, или, по крайней мере, делать это не очень часто. Нужно систематически работать с одной-двумя компаниями на постоянной основе.

Ну и в дополнение, у RTM Group не совсем обычный профиль. У нас есть ещё два серьезных направления: судебные экспертизы и юридическая работа. В жизни всякое бывает. Гораздо спокойнее, когда рядом компьютерно-технические эксперты и ИТ-юристы.  

NBJ: RTM Group участвует в судебных спорах, которые возникают между банками и их клиентами. На чьей стороне вы выступаете? И кто чаще выходит победителем из этих разбирательств?

– Я уже упоминал, что мы работаем по направлениям технических экспертиз, аудита информационной безопасности и юридических услуг.

Представим: две компании спорят друг с другом по факту выполнения работ, например, внедрение какого-то ИТ-продукта, одна компания утверждает, что работа сделана, а заказчика что-то не устраивает. Спор переходит в юридическую плоскость, они оказываются в суде, начинают выяснять отношения уже там. На этом этапе суды нас привлекают в качестве экспертов. Наша задача – дать оценку выполненных работ, их соответствия техническому заданию.  Это один из наиболее популярных вариантов экспертиз. 

Также мы занимаемся анализом оборудования, выясняем, работает, не работает, со сбоями или без. Имеем компетенции в информационной экспертизе, когда анализируется информация внутри какого-то носителя: на жестком диске, сервере. Такого плана экспертизы мы также делаем для судов.

Помимо технической экспертизы, ведем и непосредственно юридическое сопровождение, когда узкоспециализированные в вопросах ИТ юристы, оказывают  услуги клиентам.

Наших специалистов привлекают и банки, и клиенты банков. Любопытно, что сегодня самый распространенный спор между банком и клиентом, когда со счета происходит хищение средств. В рамках подобного судебного разбирательства мы можем провести экспертизу, если там, конечно, существует объект экспертизы. Либо же можем представлять одну из сторон в суде.

С технической точки зрения нам, в принципе, не важно, чью сторону представлять, но есть существенные ограничения. Если мы с банком работаем или работали, он является нашим клиентом, мы, естественно, экспертизу не возьмем на себя, и на сторону клиента не встанем. Не имеем права этого делать.

Подытоживая ответ на ваш вопрос, хочу отметить, что все эти три направления друг друга дополняют. 

– Посмотрим на перспективы 2021 года. Что в текущей ситуации в сфере ИБ необходимо сделать кредитным организациям в первую очередь?

– Сейчас начало календарного года. В первую очередь необходимо спланировать работу на весь год. Проблема в том, что если работы запланировать на четвертый квартал, как у нас многие любят делать, то все просто надорвутся, а результата нормального не получится. Не должно у кредитной организации проходить четыре аудита одновременно.

Важно сделать все проекты по ГОСТам и попытаться их между собой объединить в один отчет. ЦБ дал разъяснения, что по 672-П и 683-П это допустимо. Логично предположить, что и ГОСТ по требованиям 719-П также можно агрегировать с другими аудитами.

Ну а в целом, нужно работать систематично, профессионально и динамично. Мы со своей стороны всегда на связи. Ночами будем работать, но то, что обещали, сделаем.