Валерий Естехин: Жизнь в эпоху кибервойн / О банке / Глобэкс банк
Глобэкс банк

Пресс-центр

Публикации


Валерий Естехин: Жизнь в эпоху кибервойн

3 марта 2017 | NBJ

Начальник отдела информационной безопасности управления безопасности банка «ГЛОБЭКС» Валерий Естехин в интервью NBJ рассказал о различных аспектах деятельности службы информационной безопасности (ИБ), о своей точке зрения на проблемы ИБ в эпоху кибервойн.

- Как известно, бизнес зачастую негативно относится к развитию и ужесточению ИБ. Как Вам удается приводить банк в соответствие современным практикам обеспечения информационной безопасности?

- Бизнес уважает тех, кто вовремя предупреждает его об угрозах и опасностях, кто умеет всё просчитать и предвидеть угрозы заранее. Как раз служба информационной безопасности (ИБ) может преуспеть в этом, ежедневно повышая уровень компетенции своей команды. Знание и готовность предотвратить угрозы можно рассматривать как противостояние риску. Важной составной частью работы службы ИБ является проактивность. ИБ-служба должна участвовать во всех пилотных проектах компании, от операционной деятельности до обеспечения непрерывности бизнес-процессов. Все процессы должны согласовываться с ИБ-службой: внедрение мобильного банка, новой парольной политики, нового технологического решения. Именно служба ИБ (вместе с ИТ) определяет, согласуется ли реализация новых решений в банке с существующими требованиями по ИБ. Я считаю, необходимо уделять больше внимания бизнес-аспектам информационной безопасности, а не технологиям.

Чтобы убедить бизнес в необходимости использования современных практик обеспечения информационной безопасности, надо на ранних этапах подключаться к рабочим группам, реализующим бизнес-функции в компании, принимать участие в экспертизе договоров, ТЗ, нормативных документов и т.д. А убедить бизнес можно только силой авторитета и специальных знаний. Важно, чтобы бизнес понимал, что ИБ – это его неотъемлемая часть, современные технологии не могут существовать без безопасности, потому что все процессы заточены под использование ИТ-услуг.

- Как, на Ваш взгляд, должно быть организовано взаимодействие бизнес-подразделений и ИБ-службы в банке? Как разделить зоны и меру ответственности каждой группы участников в случае инцидентов?

- Взаимодействие бизнес-подразделений и ИБ-службы чаще всего происходит на уровне тех или иных бизнес-процессов, рабочих групп, согласований или, например, предоставления доступа к ИС банка.

Огромное значение в этом вопросе имеет внутренняя корпоративная культура организации. Важными факторами являются, во-первых, как в банке выстроена экспертиза договорной работы с контрагентами в части обеспечения ИБ и защиты информации. Во-вторых, как в банке выстроена экспертиза договоров на разработку/модернизацию ПО.

Большое значение имеет участие ИБ-службы в контрольных и аудиторских проверках вместе со службой внутреннего контроля, внешними аудиторами, контроль действий сотрудников в информационных системах. План подобных работ расписан у нас вплоть до 2019 года.

Важно взаимодействие ИБ-службы с юридическим управлением в банке в плане экспертизы соответствия обеспечения ИБ требованиям регуляторов (ФСТЭК России, ФСБ России, Банк России), готовность к проверкам Роскомнадзора.

Что касается зоны и меры ответственности подразделений банка в случае инцидентов, то порядок действий описан в нормативных документах банка, а ответственность определена приказами и распоряжениями по организации.

- Допустим, нужно максимально быстро вывести на рынок новую услугу, чтобы опередить конкурентов и не потерять потенциальную прибыль. Можете ли Вы в этом случае несколько снизить критичность вопроса обеспечения ИБ?

- Такие случаи действительно встречаются часто. Подчеркну, что контроль со стороны безопасности не должен подавлять и ограничивать гибкость бизнеса. Пренебречь требованиями безопасности сервиса теоретически возможно, но это «палка о двух концах», так как качество безопасности новой услуги положительно влияет на бизнес компании в будущем. Допустим, мы запускаем онлайн-терминал оплаты услуг на своем сайте, но не побеспокоились о защите сайта от кибератак. Сайт взломали, персональные данные банковских карт клиентов оказались в руках мошенников. Такую услугу можно назвать «медвежьей».

Правильность требований безопасности к новой услуге определяется уровнем возникающего риска и величиной расходов, связанной с его снижением.

- Как выстроены взаимоотношения ИT-службы и ИБ-службы в банке, в чем специфика этих взаимоотношений?

- Взаимоотношения ИТ-службы и ИБ-службы всегда сложные, потому что мы играем на одном поле. ИБ не может существовать в отрыве от ИТ-ландшафта, а значит ИТ-услуг.

Единственный способ привлечь ИТ-службу на свою сторону – делится полномочиями и ответственностью.

Также ИБ выступает как контроль качества ИТ-сервисов и это подчас вызывает сопротивление со стороны ИТ. Если руководитель ИТ-службы и будет к кому-то прислушиваться, так это к тем, кто знает слабости ИТ-инфраструктуры лучше него.

Кроме того, никто не отменял один из основополагающих банковских принципов – принцип «двойного управления», согласно которому «для сохранения целостности и непрерывности бизнес-процессов в банке требуется, чтобы два лица независимо предпринимали некое действие до завершения определенных операций (изменения состояния данных, информационных ресурсов)». Поэтому почти все настройки стараемся делать руками ИТ, а за собой оставляем контроль.

- Службы ИБ и ИТ неразрывно связаны в современной корпоративной системе компании, эффективность работы каждой из служб напрямую зависит от успешности их взаимодействия. При этом нередко их сотрудничество выстроено неэффективно. Почему так происходит? Как решаются проблемы, если возникают какие-то спорные моменты и вопросы?

- Действительно, иногда бывает трудно прийти к взаимопониманию между службами по каким-либо спорным вопросам. Например, в ответ на приводимую ИБ-службой аргументацию, основанную на выдержках НПА из законодательства РФ и из указаний Банка России, ИТ-служба просто высказывает «свое мнение», «точку зрения на проблему», не утруждая себя никакой аргументацией.

Другой момент. В одном из документов Комплекса стандартов (а именно в РС БР ИББС-2.9-2016) Банк России рекомендует выделять в числе возможных категорий внутренних нарушителей эксплуатационный персонал (например, персонал, который обслуживает ИT-системы). Поэтому, когда мы осуществляем данную, предписанную регулятором контрольную функцию, то стараемся делать это, не ставя в известность ИТ-службу, что порождает со стороны последней негативную реакцию.

В случае конфликтных ситуаций с ИТ, если не удается достичь компромисса, апеллируем к ТОП -менеджменту организации, эскалируя вопрос наверх, вплоть до президента банка.

- Как Вы считаете, должна ли служба ИБ позиционироваться отдельно от ИТ-службы? Почему? Как реально происходит на практике?

- На мой взгляд, ИБ-служба должна быть обособлена от ИТ-службы во избежание возможного конфликта интересов. Понятно, что информационной безопасности в отрыве от ИТ-инфраструктуры, а значит, и ИТ-службы существовать не может. Однако цели у каждой службы в банке не всегда совпадают.

Цель ИТ-службы – обеспечение непрерывности предоставления ИТ-услуг. Цель ИБ-службы – обеспечение сохранности корпоративных активов и конфиденциальной информации. Вместе они отвечают за доступность ИТ-сервисов банка.

При этом неслучайно регулятор требует в нормативных документах, чтобы ИБ-служба имела разных с ИТ кураторов в банке и была обособлена от всех подразделений, занимающихся управлением ИТ-инфраструктурой.

- Каким образом выстроен процесс взаимодействия ИБ-службы с поставщиками решений ИБ в банке? Как Вы оцениваете и выбираете поставщиков?

- Поставщики решений продают не ИБ, а мечту об ИБ. Идеальных решений не бывает. Каждая более или менее распространенная технология имеет свои плюсы, минусы и границы применения. Для внедрения любого решения надо отчетливо понимать, зачем оно вам нужно и что конкретно вы хотите с его помощью защищать. А главное, как это все будет сочетаться с уже внедренными решениями и ИТ-инфраструктурой компании.

Из негативного опыта чаще всего вызывают раздражение и неприятие два типа интеграторов или поставщиков решений. Первые – это интеграторы-коробейники, которые продают все – «от софта до мышки». Это своего рода «Ашан» ИТ- и ИБ-решений.

Второй тип интеграторов – «представители одного бренда, одной марки», которые работают по следующему принципу. Они говорят: «Мы знаем, что у вас есть телевизор Sony, холодильник LG и утюг Tefal. Но у нас для вас есть специальное уникальное предложение, например, от компании Samsung. Поэтому выбросите все, что имеете, а взамен приобретите у нас комплексное решение: телевизор Samsung, холодильник Samsung и утюг Samsung. Кроме того, мы подарим вам еще сенсорную панель управления всеми этими устройствами».

Когда поставщик решения говорит про «шифрование коммерческой тайны и персональных данных», я понимаю, что это рекламная уловка. Поставщик не предлагает ничего нового или уникального, речь идет о шифровании электронной переписки, контроле внешних носителей, групповых политиках Active Directory, контроле доступа, парольной политике и защите данных при хранении. Все это в банке уже давно работает. Возникает вопрос – зачем приобретать то, что у тебя уже есть?

- Как происходит формирование и контроль SLA при взаимодействии с поставщиками?

- Порой, это происходит нелегко, так как поставщик охотно вносит в SLA те типовые решения, которые он может внедрить «из коробки» и неохотно, если требуется внедрить новый функционал, например, интегрировать свое решение с АБС заказчика. Но есть и положительные примеры взаимоотношений с поставщиками решений. Так, в последнее время соглашения об оплате на основе реальной пользы становятся не такой уж экзотикой особенно в среде стартап-компаний. Сегодня любым коммерческим продуктам приходится соперничать с открытым кодом и бесплатным ПО. Поэтому для оправдания инвестиций необходимы расценки, зависящие от результатов внедрения того или иного решения.

- Какие наиболее острые проблемы возникают в работе службы ИБ с поставщиками?

ИБ в компании – это большая стройка со всеми вытекающими последствиями. Например, вы нанимаете бригаду строителей SOCа (Центр обработки инцидентов), NDA подписан, договор и SLA согласованы, «ударили по рукам». И ровно с этого момента начинают происходить странные вещи. Бригада внедренцев не спешит приступать к работе у вас, потому что она не закончила объект у предыдущего заказчика. Потом, когда сроки оплаты поджимают, поставщики приходят на неделю, имитируют бурную деятельность и, говорят, что основная работа сделана, остались только мелочи, пропадают опять на неопределенный срок, а точнее, до момента выплаты очередного транша.

- Соответствует ли современный рынок решений по ИБ Вашим ожиданиям?

- Всегда хочется большего. К сожалению, не всегда достаточно бюджета, чтобы опробовать какое-нибудь новое решение или продукт.

- Что нового представили банковской общественности киберпреступники за последнее время?

- Новые способы обхода существующих средств защиты появляются каждый день. Все что представляет собой дело рук человеческих, человек же может и поломать. Если хакеры умудряются взламывать системы защиты от взломов, то что тогда говорить о простых информационных системах, не заточенных под безопасность.

Наиболее резонансные киберпреступления связаны с большим финансовым и репутационным ущербом. При этом следует констатировать, что все уже привыкли к каждодневным сообщениям в СМИ о действиях киберпреступников. Приведу аналогию: в странах, где часто идет дождь, на него уже никто не обращает внимания.

Среди основных угроз, особо актуальных за прошедший год, я бы выделил следующие. Во-первых, вал фишинговых (поддельных) рассылок на корпоративные email-адреса сотрудников банка. Во-вторых, вредоносные программы-вымогатели (рост по данным исследовательской компании Trend Micro 172%). В-третьих, DDoS-атаки, организуемые с применением «Интернета вещей». Наконец, проблемы с доставкой SMS-сообщений у сотовых операторов.

- Как бы Вы описали сегодняшнюю ситуацию в сфере информационной безопасности банковской отрасли, насколько она критична?

- Нам выпало жить в трудное время кибервойн. В условиях кризиса все озабочены оптимизацией ресурсов, оптимизацией рисков. А тут еще и киберпреступность атакует снаружи, изнутри, со всех сторон, а с появлением «Интернета вещей» вообще складывается ситуация, когда все начинают атаковать всех.

Из этого напрашивается только один вывод: нет средств защиты от всех угроз, но всегда находится угроза, которая преодолевает все средства защиты.

- Каким должен быть банк, чтобы его можно было назвать киберустойчивым?

- Если ответить на этот вопрос коротко, то безлюдным, так как человеческий фактор является господствующей угрозой в обеспечении ИБ.

- Почему именно социальная инженерия стала главным злом в сфере ИБ?

- Потому что человеческая доверчивость неискоренима.

- Что же делать?

- Повышать уровень знаний, начиная с младших классов в школах. Так же, как детей учат переходить улицу на зеленый свет, необходимо и родителям, и педагогам объяснять детям правила поведения, в частности, в социальных сетях.

- Как повысить осведомленность сотрудников банка в области информационной безопасности?

- Служба ИБ должна ежедневно работать в этом направлении. Руководители компаний начали задумываться о необходимости повышения уровня осведомленности своих работников и обеспечения наличия у них навыков, необходимых для защиты от атак кибермошенников. Так же как хороший кассир должен отличать поддельную купюру от настоящей, сотрудники банка должны отличать поддельное электронное письмо с вирусным вложением от нормального, рабочего. Таковы реалии нашей текущей деятельности. Мы часто проводим плановые и внеплановые инструктажи, тренинги по информационной безопасности, киберучения и разъяснения. Очень важны рекомендации, ориентированные на высшее руководство организации.

- Существуют ли адекватные решения в области безопасности, с учетом того, что объемы данных стремительно растут и растут требования к скорости их обработки?

- Наверное, если задуматься над обработкой больших объемов данных и скорости их обработки, мы вольно или невольно придем к использованию облачных вычислений, так как такие параметры как качество и скорость обработки данных положительно влияют на бизнес компании. Но в банках облачные сервисы пока не получили широкого распространения. При этом я думаю, выгоды от хранения и обработки данных в электронном виде в облаке перевешивают недостатки, состоящие в том, что данные могут быть скомпрометированы.

- Как Вы думаете, позволяют ли новые технологии ИБ повысить уровень безопасности организации?

- За последние 7-8 лет безопасность стала обязательным требованием не только финансовой индустрии, теперь она воспринимается как важная и неотъемлемая часть жизнедеятельности любой компании. Все начинают понимать, если у компании есть современные технологии, она найдет свой рынок. А новые технологии сопряжены с новыми рисками. Поэтому поиски безопасных технологий для бизнеса будут всегда в тренде. На мой взгляд, наиболее перспективной на данном этапе выглядит технология блокчейн – распределенная система хранения данных с повышенной надежностью.

- Расскажите о ключевых проблемах использования сервисов ДБО с точки зрения безопасности?

- Кража средств со счетов клиента – постоянно присутствующий риск банка. Мы должны опережать тех, кто дистанционно крадет деньги наших клиентов. Потребители ожидают получить платежные сервисы с полноценными функциями защиты.

Для доступа пользователей к системе ДБО используется стандартный браузер. Меры безопасности системы ДБО для физических и юридических лиц традиционны. Во-первых, для получения доступа к счету пользователя необходимо пройти процедуры двухфакторной аутентификации. Во-вторых, необходимо использование USB-токенов для хранения ключей ЭП у клиентов, а также виртуальной клавиатуры при вводе логина и пароля. В-третьих, нужно осуществлять подтверждение операций с использованием одноразовых паролей, шифровать передаваемый трафик, использовать SSL-сертификаты. Кроме того, существуют лимиты на операции, выполняемые через системы ДБО. Наконец, нужно постоянно повышать осведомленность клиентов о мошеннических схемах.

- Каков Ваш взгляд на проблемы удаленной идентификации физических лиц в финансовом секторе?

- Функция банка – это идентификация своего клиента, при этом способы идентификации могут быть разные: поведенческие, геолокация, биометрия, подписывание платежа смартфоном и т.д. Компания должна решить для себя, какие преимущества она собирается получить от удаленной идентификации физических лиц, и как нивелировать риски, состоящие в том, что данный клиент может оказаться не тем, за кого себя выдает.

Наш банк присматривается к технологиям удаленной идентификации клиентов, например, с помощью Skype, Viber, WhatsApp. Но пока это не используется широко.

- Одним из самых опасных видов преступлений является управление системами посредством удаленного доступа. Что нужно, в первую очередь, предпринимать банкам в этой связи?

- Нужно серьезно заниматься вопросами разграничения прав доступа внутри компании, так как цель у хакеров при удаленном доступе – найти и скомпрометировать привилегированные учетные записи. Компаниям необходимо обзавестись системами, позволяющим проводить инспекцию исходящего и входящего трафика. Если нет внедренных для этих целей систем защиты, проводить разовые аудиты сетевой безопасности. Всегда можно договориться о пилотном проекте по поиску угроз в сети банка, которые не обнаруживаются средствами антивирусной защиты, сетевыми фильтрами и другими средствами защиты.

- Ряд специалистов отмечает, что в последнее время участились таргетированные хакерские атаки на банковские системы. Так ли это, на Ваш взгляд?

- Наверное, истина где-то посередине. Вряд ли кто-то из мошенников озадачится проникновением в конкретный банк. Такие случаи имеют место, только когда внутри банка есть сообщник или с целью недобросовестной конкуренции.

Следует отметить, что, проводя долгое время массированные атаки на компьютеры пользователей и успешно заражая их, киберпреступники получают много разной информации, в том числе и финансовой, которой грех не воспользоваться. Возможность украсть создает вора. Отработав свои приемы на клиентах банка, мошенники идут дальше и применяют те же приемы уже на работниках банка. Как показывает практика, последние в этом вопросе иногда ничем не отличаются от клиентов. Таким образом, преступники заражают компьютеры сотрудников банков и ищут пути подхода к платежным сервисам: банкоматам, системам ДБО, АБС, АРМ КБР, системе SWIFT. Так что можно сказать целенаправленные атаки идут на платежные системы повсеместно (в банках, в процессинговых центрах, в системах денежных переводов).

- Как защищаются банки в случае крупномасштабных хакерских атак, например, таких, о которых сообщалось в конце 2016 года?

- Банки на протяжении последних лет готовятся к подобным атакам. Как правило, в банках используются стандартные методы и способы защиты: межсетевые экраны (МСЭ), антивирусные решения, спам-фильтры на почтовом сервере, IDS/IPS решения. Этого бывает достаточно для отражения обычных атак. А против необычных, например, на основе заражения IoT-устройств и организации с их помощью DDoS атак, и повышенные меры защиты не помогут.

Кстати, ажиотажем в СМИ по поводу готовящихся кибератак не преминули воспользоваться «белые» хакеры (назовем их «доброумышленники» по аналогии со злоумышленниками). Они стали рассылать по банкам письма, адресованные руководству с примерно таким содержанием: «В свете недавних новостей о масштабных DDoS атаках на крупнейшие банки РФ, мы проанализировали защищенность вашего банковского сайта и увидели, что на вашем сайте существуют явные уязвимости, что несет финансовые и репутационные риски для вашего банка, если говорить просто, вы теряете деньги». Далее эти «доброумышленники» предлагали плацебо для решения по сути несуществующих проблем.

- Помогает ли в вашей работе созданная почти полтора года назад организация – FinCERT?

- Со стороны FinCERTа проводится огромная работа и пользу этой деятельности для финансового сектора трудно переоценить. Теперь на повестке дня налаживание межведомственного обмена информацией FinCERTа с другими центрами реагирования. Исходя из Дорожной карты Банка России на период 2016-2018 годов, разработка регламентов взаимодействия по вопросам противодействия киберпреступности между Банком России и другими заинтересованными сторонами включена в перечень необходимых мероприятий.

- Что Вы думаете об аутсорсинге информационной безопасности?

- Ситуация на рынке такова, что от поставщиков решений просто нет отбоя, но бюджеты компаний ограничены, это накладывает определенные ограничения на использование аутсорсинга.

Считаю, что за аутсорсингом безопасности будущее, особенно для малых и средних компаний. Но чтобы такая ситуация стала реальностью, на рынке должно появиться достаточное число игроков, которые бы предоставляли такие услуги с понятной всем бизнес-моделью и адекватной ценовой политикой.





Другие публикации