Security Vision – российская ИТ-платформа, позволяющая роботизировать до 95% программно-технических функций оператора информационной безопасности. Система обеспечивает кибербезопасность большей части ТОП 10 российских банков. Наиболее актуальные и болезненные вопросы, касающиеся кибербезопасности финансовой отрасли, мы обсудили с Русланом Рахметовым, СЕО Security Vision.

NBJ: В чём особенности текущего времени с точки зрения информационной безопасности в банках?

Р.РАХМЕТОВ: Подводя итоги 2021 года, мы отмечали, что банковские учреждения находились на тот момент под давлением ряда экономических и рыночных условий: конъюнктуры рынка, меняющейся модели поведения потребителей финансовых услуг, требований регуляторов, атак злоумышленников. Таким образом, банковская отрасль вошла в 2022 год со множеством внутренних и внешних вызовов, но всем известные обстоятельства быстро поменяли «новую пост-ковидную» нормальность на «сверхновую». В ней санкции вводятся едва ли не ежедневно, целый банковский сектор является объектом полноценной скоординированной экономической атаки, западные вендоры уходят один за другим, а количество кибератак увеличивается буквально на порядок. Пожалуй, главные челленджи – это разрыв логистических цепочек, сложности с оплатой и санкционные ограничения при закупке программного и аппаратного обеспечения, трудности при продлении лицензий, оплате услуг сервис-провайдеров и технической поддержки западных продуктов, без чего крайне затруднительно поддерживать инфраструктуру, кибербезопасность и уровень качества продуктов для соответствия требованиям регуляторов, обеспечения надежной защиты информации и удовлетворения стабильно высоких запросов клиентов и их непрерывно расширяющихся потребностей. Новые отечественные законодательные требования также накладывают определённые дополнительные ограничения на банки с госучастием – в частности, условие о необходимости согласования закупки иностранного ПО для использования на значимых объектах КИИ для тех субъектов КИИ, которые выступают заказчиками закупок в соответствии с 223-ФЗ, а также полный запрет на использование таких продуктов с 2025 года.

Подводя неутешительные итоги анализа текущей ситуации, можно сказать, что успехи банковской цифровизации, продемонстрированные в сложные предыдущие годы, могут быть поставлены под угрозу новыми существенными обстоятельствами. При этом имеющийся технологический задел отечественного ИТ-сектора и ранее разработанные передовые решения в финансовой отрасли должны позволить нивелировать последствия реализации актуальных угроз. Главными задачами в текущем моменте видятся оперативный переход на отечественные аналоги ныне недоступных западных решений, расширение компетенций сотрудников по российскому софту и средствам защиты, оптимизация ИТ/ИБ-стратегии с учётом новых вызовов.

NBJ: Какие угрозы ИБ особенно актуальны на сегодняшний день, по вашему мнению?

Р.РАХМЕТОВ: Основными актуальными угрозами ИБ можно назвать кибератаки организованных хактивистов и киберармий – прежде всего, DDoS-атаки, вывод инфраструктуры из строя, хищение конфиденциальной информации, включая персональные данные клиентов финансовых учреждений. Можно также выделить инсайдерскую угрозу – оптимизация штатов и ухудшение экономической ситуации могут спровоцировать неблагонадёжных сотрудников на деструктивные действия, а вербовка со стороны представителей недружественных государств может превратить работника с широкими полномочиями в опасного внутреннего атакующего. В целом, можно считать актуальными разнообразные негативные последствия просадки уровня кибербезопасности вследствие ухода зарубежных вендоров и продуктов, отключения «облачных» услуг западными сервис-провайдерами, отсутствия поддержки со стороны ушедших консультантов и интеграторов. Последовавший за этим экстренный переход от привычных зарубежных ИТ/ИБ-продуктов и услуг к отечественным аналогам может породить снижение качества процессов обеспечения кибербезопасности, например, когда старое западное решение уже частично неработоспособно (перестали обновляться базы сигнатур антивирусов, сигнатуры систем обнаружения/предотвращения вторжений, данные систем репутационного анализа, данные систем киберразведки), а новое российское решение ещё не запущено в полноценную эксплуатацию, по нему отсутствует внутренняя экспертиза, его функционал частично «не дотягивает» до замещаемого продукта.

Отличие сегодняшней ситуации также и в том, что она, по сути, уникальна – до сих пор нигде в мире не применялись настолько масштабные санкции к технологически развитой стране, а следовательно, ни у кого нет и накопленного опыта работы в условиях столь существенных ограничений. Ответом на данный вызов должен стать также не имеющий мировых аналогов оперативный, широкомасштабный процесс импортозамещения с использованием лучших отечественных наработок и с привлечением отечественных технических специалистов и экспертов для реализации столь амбициозного проекта.

NBJ: Какие технологии, сервисы, продукты ИБ особенно востребованы банковским бизнесом и почему?

Р.РАХМЕТОВ: В текущей ситуации ухода западных вендоров и шквала кибератак в банковской отрасли вырос спрос на продукты, позволяющие максимально ускорить и роботизировать процессы реагирования на значительно участившиеся киберинциденты (IRP/SOAR-решения), а также на системы автоматизации усложнившихся процессов управления ИБ (SGRC-решения). Основной фокус отечественных вендоров SOAR-решений направлен на интеграцию с разнообразными средствами защиты, а в связи с ускорившимися процессами импортозамещения упор делается на выстраивании взаимодействия с отечественными системами ИБ, операционными системами, программными продуктами. Системы SGRC в текущих условиях помогут отследить санкционные программные решения и непропатченные ушедшими вендорами уязвимости в инфраструктуре, пересмотреть и скорректировать модель угроз, модель нарушителя и актуальные киберриски, оперативно восстановить элементы информационных систем в безопасное состояние (с помощью технологии Auto-SGRC).

Автоматизация процессов реагирования на киберинциденты и процессов управления информационной безопасностью в настоящее время имеет также и ещё один немаловажный аспект: нехватка квалифицированных кадров в ИТ и ИБ уже стала привычной, но именно последние события, сопровождающиеся непрерывно меняющимся ландшафтом киберугроз и киберрисков, как никогда подчеркнули важность снижения нагрузки на сотрудников. Можно утверждать, что автоматизация процессов ИБ поможет не только вовремя среагировать на киберугрозы, но и поможет удержать специалистов в нынешней ситуации, позволяя направить их экспертизу на решение действительно амбициозных, важных задач.

NBJ: Как вы думаете, какая модель защиты от киберугроз является наиболее эффективной сейчас?

Р.РАХМЕТОВ: В условиях многократно увеличившегося количества кибератак, интенсивных проектов по импортозамещению и сложностях с приобретением и продлением лицензий, программного и аппаратного обеспечения будет логичным, если это допустимо, перейти (хотя бы временно) на сервисную модель потребления услуг – на помощь могут прийти отечественные провайдеры услуг MSSP и MDR. Их компетенции, техническая база и скорость подключения подобных услуг помогут снять часть крайне значительной текущей нагрузки. Разумеется, некоторые процессы ИБ невозможно отдать «наружу», и в этом случае следует оперативно работать по плану перехода на отечественные решения, параллельно наращивая внутренние компетенции по ним, возможно, отправляя ответственных сотрудников на учебные курсы и семинары.

Кроме того, непрерывное, буквально ежедневное изменение внешних условий и, соответственно, повышение критичности сопутствующих киберугроз требуют максимальной автоматизации процессов оценки текущего уровня киберрисков с учётом всех новых вводных – такой объём информации, деталей и нюансов невозможно учесть человеку. Поэтому, вероятно, будет целесообразно автоматизировать хотя бы часть процессов ИБ, отдав их, например, системе SGRC, в которой применяются технологии искусственного интеллекта, машинного обучения и обработки больших данных.

NBJ: Какие можно предпринять шаги для минимизации рисков использования зарубежных решений в текущей ситуации?

Р.РАХМЕТОВ: Ответ зависит от типа лицензии (подписка или бессрочная), зависимости критичных бизнес-процессов от зарубежного продукта, наличия внутренней экспертизы по конкретному решению, а также от состояния бюджета компании. В общем случае можно предположить, что рано или поздно зарубежный продукт потребуется обновить или прибегнуть к технической поддержке вендора, а это, вероятно, будет невозможно. Поэтому можно рекомендовать такой план перехода: если до окончания срока действия лицензии остаётся существенное время, продукт работает стабильно и квалифицированно обслуживается внутренними специалистами, то следует запланировать постепенный процесс миграции на отечественный аналог после детального изучения рынка и пилотирования. Если же продукт продавался по подписке, какие-либо его функции уже не работают, а внутренних ресурсов для его поддержки недостаточно, то следует оперативно мигрировать на наиболее подходящий отечественный аналог. Если при миграции будет затронута работоспособность критичного бизнес-процесса, то следует начать работать по имеющемуся плану обеспечения непрерывности деятельности и восстановлению работоспособности, рассматривая ситуацию как полный выход из строя ИТ-системы, поддерживающей критичный процесс. Отметим также, что государственные регуляторы учитывали подобные санкционные риски в нормативных документах: например, в Приказе ФСТЭК России от 25 декабря 2017 г. № 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" указывается на важность использования СЗИ, которые обеспечиваются гарантийной и/или технической поддержкой, а также на возможные внешние ограничения по использованию программного/аппаратного обеспечения или СЗИ, а в БДУ ФСТЭК России (Банке данных угроз безопасности информации) прописаны такие угрозы, как УБИ.040 (Угроза конфликта юрисдикций различных стран), УБИ.056 (Угроза некачественного переноса инфраструктуры в облако) и УБИ.134 (Угроза потери доверия к поставщику облачных услуг).

При этом следует учитывать, что для любых изменений, в том числе и таких глобальных, как миграция с зарубежных решений на отечественные, следует подготовить тщательно проработанный план миграции, который
может быть неким приложением к регламенту обеспечения непрерывности деятельности и восстановлению работоспособности компании, поскольку внезапный отзыв лицензии на облачную платформу или отключение функционала ПО подпадает под действие данного регламента. Для эффективной миграции следует иметь детальные и актуальные инвентаризационные данные об ИТ-активах компании, их критичности и взаимозависимости, типу используемых лицензий, зависимости критичных бизнес-процессов от ИТ-сервисов. Разумеется, если компания ещё не накопила компетенций по российскому софту, то следует обратиться к компаниям-интеграторам или непосредственно к вендорам. Некоторые производители сейчас могут пойти навстречу и предложить временную лицензию на свой продукт в целях ускорения пилотирования или миграции. Более того, не лишним будет отправить сотрудников на обучение технологиям и платформам, которые будут внедряться – такое обучение часто проводится самими вендорами или авторизованными учебными центрами. Также можно порекомендовать обращаться с вопросами использования популярных продуктов к сообществу на форумах или тематических группах в мессенджерах. При этом, как всегда, нужно быть готовым пробовать новые технологии, преодолевать трудности и непрерывно повышать квалификацию и экспертизу сотрудников.

NBJ: Помогут ли Open Source решения преодолеть ограничения и провести импортозамещение в текущих условиях?

Р.РАХМЕТОВ: Ставка на Open Source, которая ранее была сделана как один из вариантов импортозамещения, сейчас тоже находится под ударом: разработчики свободного ПО вносят в свои проекты деструктивный код для российских пользователей, например, иностранный разработчик популярного Linux-пакета node-ipc выпустил обновление, намеренно удаляющее все файлы на устройствах с российскими IP-адресами. Кроме того, некоторые Open Source-проекты выполняют санкционные предписания своих юрисдикций и компаний-владельцев: GitHub, который был куплен американской Microsoft ещё в 2018 году, начал блокировать аккаунты российских санкционных компаний и отдельных разработчиков, а Open Source-антивирус ClamAV, выпускающийся под GPL-лицензией и принадлежащий американской Cisco, стал недоступен для российских пользователей. Таким образом, несмотря на то, что правила Open Source прямо запрещают дискриминацию групп и отдельных пользователей проектов с открытым исходным кодом, а также дискриминацию по сфере использования Open Source-программ, видимо, от таких этических принципов частные разработчики и в особенности компании начинают отступать, внося ограничения на право использования Open Source лицензий и продуктов. Эти искусственные сложности могут привести к тому, что обновления пакетов, в том числе вспомогательных, потребуется более тщательно проверять на наличие санкционных лицензионных ограничений и программных «закладок», что не только повысит нагрузку на сотрудников и специализированные средства защиты (анализаторы кода, «песочницы»), но и снизит эффективность процессов CI/CD (непрерывная интеграция и доставка обновлений ПО). Отметим также, что отключение доступа к GitHub для российских разработчиков можно назвать болезненным: несмотря на существование отечественных (GitFlic) и китайских (Gitee) аналогов западных площадок, все основные проекты в мире развиваются именно на GitHub. Для внутренней разработки можно, разумеется, использовать локальный GitLab-репозиторий, но оперативно скачать обновлённый и пропатченный от уязвимостей код какого-либо вспомогательного проекта с GitHub уже не получится. Отметим также, что уже планируется создать отечественный аналог GitHub – государственный национальный репозиторий для свободной публикации и хранения исходных кодов программного обеспечения и дополнительных данных, в котором будет размещено ПО, созданное на бюджетные средства рядом государственных ведомств и компаний.

NBJ: Как можно решить вопрос достижения аппаратной независимости от зарубежных производителей «железа»?

Р.РАХМЕТОВ: Тренд на импортозамещение последних лет коснулся не только программного обеспечения, поскольку специалисты открыто говорили об угрозах использования недоверенного импортного аппаратного обеспечения. Потенциальные недекларированные возможности, закладки, «полицейский режим», выводящий из строя оборудование в критический момент – история знает немало примеров использования аппаратного обеспечения против потребителя. Однако, сконцентрировавшись на fabless-подходе и отечественной архитектуре некоторых компонент современных микропроцессоров, микроконтроллеров, модулей памяти и периферийных устройств, фактическое производство российских устройств гражданского применения выполнялось на зарубежных фабриках, например, на тайваньской TSMC (Taiwan Semiconductor Manufacturing Company). Кроме тайваньской фабрики TSMC, современным микроэлектронным производством обладают корейская Samsung, американские Intel и GlobalFoundries, тайваньская UMC, а также китайский производитель SMIC, который, однако, ещё не освоил самые современные технологические процессы производства и пользуется рядом технологий американских компаний Lam Research, Entegris, Qualcomm, Applied Materials. Таким образом, для китайской компании есть риски санкционного воздействия, что может снизить усилия по переводу на неё производства отечественных микроэлектронных устройств. Ситуацию усугубляет продолжающийся полупроводниковый дефицит, означающий, что, скорее всего, заказы на фабрике SMIC уже размещены на несколько месяцев вперед. Отметим также, что САПР для проектирования микросхем также по большей части американский – например, платформы Cadence, Mentor Graphics, Synopsys. Отечественные микропроцессоры (Байкал, Эльбрус) были спроектированы с учетом технологических требований и нормативов именно TSMC, а переход на иные фабрики займет, вероятно, весьма продолжительное время. При этом российская фабрика компании «Микрон» работает по технологии 65 нм, что было актуально 15 лет назад, а сейчас значительно уступает современным нормам в 10 или 7 нм. Соответственно, для специализированного производства устройств оборонного назначения, в которых не требуется высокая производительность, компактность и энергоэффективность, данная технология вполне подойдёт, а для банковского сектора на данном этапе придётся искать альтернативы – возможно, путём переговоров с китайскими партнёрами.

NBJ: Прогнозы – дело неблагодарное, и все же, что изменится на рынке банковской безопасности в 2022 году, можно ли ожидать кардинальных перемен?

Р.РАХМЕТОВ: Кардинальных перемен ждать действительно не стоит – ведь они, без преувеличения, уже идут. Процесс импортозамещения, который ещё недавно некоторым казался искусственно навязываемым, сейчас стал насущной необходимостью для большинства компаний. При этом есть соблазн рассматривать текущую ситуацию ухода западных игроков и продуктов как «временную», соответствующим образом оценивая и необходимость внедрения импортозамещающих отечественных продуктов. Однако, внедряя какое-либо решение как «временное», есть риск провести такую интеграцию некачественно, с расчётом на скорый откат изменений. Можно порекомендовать проводить процессы миграции основательно, без оглядки назад, а также с оптимизмом смотреть в будущее и надеяться на лучшее. Выполненные качественно проекты останутся надолго, принося пользу бизнесу и помогая сотрудникам. В конце концов, приобретённые компетенции никуда не исчезнут, а в случае возвращения западных вендоров ваш расширившийся технический кругозор позволит более критично взглянуть на импортные продукты. Вендоры же в текущей ситуации имеют уникальную возможность кардинально улучшить позиции на рынке, внедрить свои продукты в самых разнообразных отраслях, получить обратную связь от большого количества новых пользователей, воспользоваться беспрецедентной поддержкой ИТ-компаний правительством, а также захантить опытных экспертов. О последнем пункте можно сказать подробнее: не секрет, что Россия подарила миру множество гениальных разработчиков и бизнесменов, основавших успешные высокотехнологичные компании. Высокие стандарты технического образования отечественных ВУЗов позволяют российским ИТ/ИБ-специалистам браться за самые амбициозные проекты и внедрения. При этом дефицит кадров, ставший уже хроническим для ИБ-сектора последних лет, может в ближайшее время сойти на нет в связи с уходом с российского рынка ряда крупных западных вендоров, интеграторов, консультантов. Высвободившиеся ресурсы, вероятно, привнесут в отечественные компании свой международный опыт, экспертизу и методологию, что усилит российские команды. Таким образом, думаю, что в среднесрочной перспективе острых вопросов с готовностью, компетенциями и возможностями кадров не будет.

Материал также опубликован в печатной версии Национального Банковского журнала (май 2022)