кругова оборона

На які «одвічні» запитання і нові виклики доводиться відповідати в кризу банківським службам по інформаційної безпеки

кругова оборона

Під час глобальної рецесії фахівцям з ІБ в банках доводиться боротися із зовнішнім ворогом, який став ще агресивнішим і винахідливим, і не забувати про внутрішні, інсайдерські загрози, також посилилися в рази. Ще одне важливе завдання - намагатися відповідати вимогам регулятора і лобіювати внесення поправок в «незручний» закон «Про персональні дані». Про різноманітні виклики, які диктує непростий час, НБЖ розповів начальник управління інформаційної безпеки Россельхозбанка Артем СИЧОВ.

НЕ УНІКАЛЬНИЙ КРИЗА

НБЖ. Артем Михайлович, як криза вплинула на ситуацію в сфері інформаційної безпеки банків?

А. СИЧОВ. Протягом останнього року на сферу ІБ впливали два важливі чинники. Перший - дійсно наслідок глобальної кризи. Кризові явища призвели до того, що джерел заробітку у населення стало менше і, як наслідок, бажання швидко отримати гроші різко зросла. Тому можна говорити про те, що поширення схем шахрайства, пов'язаних з інформаційними технологіями, отримало новий імпульс. Явно збільшилася кількість атак на фінансові активи клієнтів банків, підвищився інтерес до самих кредитних організацій і до тих технологій, які вони використовують. Також активізуються суб'єкти, готові займатися інсайдерської діяльністю. Нічого дивного і несподіваного в цих тенденціях немає, так як під час рецесії подібні речі обов'язково відбуваються. А ось другий фактор, який надає серйозний вплив на роботу банківських служб ІБ, недоречно «наклався» на цю ситуацію.

НБЖ. Ви маєте на увазі «багатостраждальний» і широко обговорюваний закон «Про персональні дані», який повинен вступити в силу з нового року?

А. СИЧОВ. Так. Цей фактор просто співпав за часом. У чому тут основна проблема? Справа не в тому, що закон не потрібен або несвоєчасною. Безумовно, він необхідний, так як розвиває європейську конвенцію про захист прав суб'єктів персональних даних, впорядковує відносини між суб'єктом ПД і тим, хто обробляє цю інформацію. Але формулювання закону і підзаконних актів, на жаль, далекі від досконалості. Весь комплекс документів, пов'язаний з законом, пред'являє однакові вимоги і до банків, і до телекомунікаційним компаніям, і до дитячих садків. На ділі реалізується принцип «всіх під одну гребінку». Чи не звертається жодної уваги на масштаби оператора ПД, на заходи, технології, засоби безпеки, які їм уже застосовуються. Те, що для всіх встановлюються одні й ті ж правила, без урахування галузевої специфіки - неправильно.

Відносно банків такий підхід викликає подив, тому що для кредитної організації клієнт, справжній і потенційний, - це один з найважливіших активів. Тому банки спочатку приділяють захисту клієнтських даних підвищена увага. Навіть коли, наприклад, фінансовий інститут залучає до роботи колекторські агентства, він продовжує дотримуватися всіх заходів безпеки. Банки змушують займатися тим, що просто не потрібно, намагаються нав'язати мінімізацію тих ризиків, які в діяльності кредитних структур просто не виникають.

НБЖ. Якщо прямо виконувати всі підзаконні акти, що непотрібного банку доведеться робити?

А. СИЧОВ. Наприклад, абсолютно надмірно все операційні зали надання захисту від витоків по мовним каналах. По-перше, з функціональної точки зору, з точки зору тих загроз і ризиків, які виникають в діяльності банку, в цьому немає ніякої необхідності. По-друге, фінансово це дуже накладно навіть для великих банків.

Ще один момент: в зв'язку з цим законом банки повинні займатися величезною кількістю паперової роботи, яка ніякого відношення до забезпечення інформаційної безпеки не має. Більш того, сам закон створює чудову базу для того, щоб при бажанні порушити нормальну життєдіяльність кредитних організацій, закидавши їх безглуздими запитами. Вже є правозастосовна практика, яка свідчить про те, що суди, навіть в разі явної правоти банку, встають на бік суб'єктів ПД. Так, поки це не поширене явище, але законодавцям варто було б задуматися про це.

Зараз банківське співтовариство під егідою АРБ підготувало ряд поправок в закон. Вони будуть корисні не тільки кредитним структурам, а й великим промисловим структурам, страховим компаніям і телекомунікаційного бізнесу, які страждають від недосконалості формулювань закону не менше банків.

НБЖ. Коли криза закінчиться, розгул шахрайств моментально припиниться?

А. СИЧОВ. Відлуння будуть відчуватися ще кілька років. І сьогоднішня загострилася ситуація, повторюся, не унікальна. Так, зараз проблеми виплили назовні, все проявляється яскраво. Але думка людська не стоїть на місці. Так що в майбутньому кількість шахрайств буде скорочуватися, проте напевно з'являться нові протиправні схеми, методи та інструменти.

ІГРИ, В ЯКІ ГРАЮТЬ ЛЮДИ

НБЖ. Яка шахрайська схема зараз найбільш популярна?

А. СИЧОВ. Класична схема, яку відчули на собі більшість банків, що використовують технології дистанційного банківського обслуговування. Вона виглядає наступним чином: ключі електронно-цифрового підпису, якими користуються клієнти, крадуться за допомогою «троянських коней», вірусів різної модифікації. Після чого відбувається незаконне списання фінансових коштів з клієнтських рахунків. А для того, щоб замести сліди, на банк, в рідкісних випадках - на клієнта, організовується DDOS-атака. Схема проста і дієва. Особливо з урахуванням того, що більшість клієнтів банків ніколи в житті не замислювалися про питання інформаційної безпеки. І навіть не чули про подібні погрози.

НБЖ. Тобто віддалений і електронний банкінг для служб ІБ - це найбільший головний біль?

А. СИЧОВ. Зручність у чомусь одному народжує незручність в іншому. Незручності, заподіяні банкам віддаленим банкінгом, безумовно, додають турбот службам інформаційної безпеки, але вони не критичні. Головне - пам'ятати, що будь-яка така проблема стара як світ: захист завжди на півкроку відстає від думки тих, хто хоче цей захист «пробити». Тут важливо весь час бути в курсі подій. Відстежувати ситуацію, бачити нові загрози. У банках на більш високому рівні, на рівні стандартів, повинна бути створена система управління інцидентами. І за результатами виявлення інцидентів в обов'язковому порядку повинні удосконалюватися системи забезпечення інформаційної безпеки.

НБЖ. Що конкретно банк може зробити, щоб захистити і себе, і клієнтів електронного банкінгу?

А. СИЧОВ. З одного боку, застосовуються технічні заходи. Ми переходимо на використання таких носіїв ключової інформації, які не дозволяють витягати ключі ЕЦП або роблять процес їх вилучення вкрай скрутним. З іншого боку, важливі організаційні заходи. Потрібно планомірно підвищувати рівень обізнаності клієнтів, роз'яснювати їм, що відбувається, які загрози є актуальними. Ще один важливий момент -постійний контакт з нашими внутрішніми підрозділами. Наприклад, операційні працівники по руху коштів можуть визначити, що переклад носить незвичайний характер: юр-особа переводить більшу суму на рахунок фізичної особи в іншому регіоні, причому раніше ніколи таких операцій не проводилося. У цьому випадку варто подзвонити клієнтові і перевірити, чи легітимна така операція. Також важливі контакти з колегами з інших банків, з якими потрібно взаємодіяти, робити спільні кроки, щоб шахрайство не привело до фінансових збитків клієнта і банку. Так, в частині бізнесу наші організації можуть бути конкурентами, але коли мова йде про шахраїв - це спільна справа.

НБЖ. А яка загроза в кризу все-таки страшніше - зовнішня чи внутрішня, інсайдерська?

Якщо говорити про кризу, то варто відзначити, що він породив ще одну серйозну проблему: скорочення штатів в банках призвело до того, що велика кількість досить кваліфікованого персоналу виявилося за межами роботодавця. Природно, люди, володіючи знаннями, починають використовувати їх, як можуть і вміють. І іноді в протиправних цілях.

НБЖ. Від оптимізації чисельності персоналу під час кризи найчастіше нікуди не дітися.

А. СИЧОВ. Це так, але ж що зазвичай роблять? Наприклад, відразу «рубають» персонал, який забезпечував інформаційну безпеку, а також тих, хто обслуговував клієнтів. На мій погляд, це неправильний підхід. Тому що ці люди якраз мають дуже цінними знаннями про компанії.

Другий момент: в організації не повинні забувати про різні форми стимуляції персоналу. Фінансові винагороди, додаткове навчання - все це ліквідує мотивацію поступати по відношенню до роботодавця неправильно. Також дуже важливо відчуття стабільності, особливо для фінансової сфери. Адже людина реально оцінює, що для нього істотніше - мати стабільний дохід і продовжувати займатися улюбленою справою або один раз збагатитися з незрозумілими наслідками. Як правило, більшість людей вибирає перший варіант.

У ВИГЛЯДІ ПОЕЗІЇ

НБЖ. Як Россельхозбанку вдається підтримувати інформаційну безпеку при такій складній, розгалуженій структурі офісів і підрозділів, при величезній кількості співробітників, клієнтів, а значить - і потенційних загроз?

А. СИЧОВ. Потрібно розуміти, що процес вибудовування системи безпеки відноситься до числа безперервних процесів. Що тут принципово? По-перше, має бути розуміння важливості питань безпеки з боку керівництва організації. У нас таке розуміння є. По-друге, важлива взаємодія фахівців ІБ з іншими підрозділами: «інформатізаторамі», операційними працівниками і т. Д.

Слідуючи кращим практикам, відбитим в комплексі документів по стандартизації інформаційної безпеки БанкаУкаіни, ми намагаємося, щоб усі нові бізнес-процеси в банку шикувалися з урахуванням питань безпеки. Ми підключаємося на стадії обговорення того, як буде побудований той чи інший бізнес-процес. Вже на початковій стадії якісь небезпечні моменти можна виключити, зняти в принципі. Також важливо, щоб ці питання лягали не тільки на підрозділ безпеки, щоб були хороші, грамотно вибудувані стосунки зі службою внутрішнього контролю. Нерідко їх матеріали - це якраз основа для подальшої роботи щодо вдосконалення інформаційної безпеки. По-третє, потрібен хороший контакт з нашими фахівцями в регіонах.

НБЖ. На всіх конференціях з питань ІБ обов'язкова тема для обговорення -нестача фахівців. Хіба криза не втамував кадровий голод?

А. СИЧОВ. Ні, ця проблема, як і раніше гостра, навіть незважаючи на те, що люди «вивільнилися». Вона взагалі важко вирішуване. Оскільки інформаційна безпека - дуже специфічна область в плані підбору персоналу. Спеціаліст по ІБ банку повинен бути професіоналом і в сфері інформаційних технологій, і в сфері безпеки і розуміти специфіку банківської діяльності. Знайти таких фахівців вкрай складно. Особливо в регіонах. Так, такі спеціальності у вузах є. В останні роки взагалі стало модно відкривати напрямки по інформаційної безпеки, але якість підготовки фахівців залишає бажати багато кращого.

НБЖ. Але все-таки є вузи, яким в цьому питанні можна довіряти?

А. СИЧОВ. Так, в Москві це МГТУ ім. Баумана, МІФІ і РДГУ. Кожен з них досить потужний вуз. По регіонах можна виділити, безумовно, Харківський державний політехнічний університет, з дуже серйозною підготовкою. Сильна кафедра - в Марганецском технологічному інституті. Загалом, місця є, але їх не так багато. Зрозуміло, що наша область змінюється набагато швидше, ніж відбувається оновлення навчальних програм. Велика проблема - викладацький склад. А у всіх перерахованих вузах педагоги мають пряме відношення до реальних проектів з інформаційної безпеки.

Як доучуватися співробітників? Перш за все їм допомагає досвід, який набувається в ході роботи. Плюс вдаємося до допомоги деяких комерційних навчальних центрів. Тут важливо вибирати. Тому що є величезна кількість абсолютно непотрібних семінарів. Безумовно, ми і самостійно готуємо навчальні матеріали, у нас відкрито внутрішнє дистанційне навчання. Зокрема, щоб фахівці в регіонах, нікуди не виїжджаючи, могли підвищувати кваліфікацію.

НБЖ. В питання інформаційної безпеки потрібно присвячувати всіх банківських службовців? Чи займаєтесь просвітницькою діяльністю?

А. СИЧОВ. Звичайно, інформаційна безпека хороша тоді, коли вона вписана в загальний процес життєдіяльності організації. Для цього потрібно кожному співробітнику банку дати зрозуміти, навіщо йому виконувати ті чи інші вимоги. Коли людина приходить на роботу і знайомиться з якимсь нормативним документом, ще й з незрозумілої безпеки, зазвичай він через хвилину про всі постулатах благополучно забуває. Ми розуміли, що механізми підвищення обізнаності повинні існувати, і розробили особливу пам'ятку для користувача. У віршах. Причому на дохідливо прикладі, що таке добре і що таке погано. Геніальна форма, придумана великим поетом Маяковським. Ефект був досить позитивний. Отримали відмінні відгуки від самих різних підрозділів.

НБЖ. Як ви вибираєте компанії-розробники? Більшою мірою довіряєте західним структурам або вітчизняному виробнику?

А. СИЧОВ. Вибір компаній-виконавців того чи іншого проекту здійснюється на конкурсній основі. Ми просимо компанії-претенденти відпрацювати якусь обмежену «пілотну» зону, причому надати два-три варіанти вирішення потрібної нам завдання. Це обов'язкова практика, оскільки одні й ті ж послуги надаються зараз дуже багатьма компаніями. Звичайно ж, нам хочеться отримати оптимальне співвідношення ціни і якості. Ми повинні бути впевнені в тому, що запроваджене рішення отримає повноцінне супровід. Як технічне, так і в частині консалтингу та навчання персоналу.

Ніде правди діти, ми звертаємо увагу і на досвід роботи на ринку, але при цьому готові розглянути варіанти співпраці з молодими компаніями. Західні або українські? Якщо мова йде про продукти, то треба дивитися на функціонал. І вибір не буде залежати виключно від країни-виробника. Разом з тим, оскільки для нас, як для банку зі стовідсотково державною участю, важливі взаємини з регуляторами, ми вважаємо правильним використовувати послуги тих організацій, які ліцензовані або ФСТЕК, або ФСБ.

НБЖ. Деякі фахівці нарікають на те, що при виборі відомого розробника доводиться доплачувати за бренд.

А. СИЧОВ. Не згоден. З точки зору ІБ переплати за бренд не відбувається. Має місце логічне збільшення вартості за рахунок оперативної і дієвої технічної підтримки та перспектив розвитку. У сфері інформаційної безпеки, як правило, зрозуміло, чому виникає різниця в ціні. Тому важливо вибирати, керуючись принципом: що отримується на виході якість повинна відповідати грошей, які банк витрачає на вдосконалення систем інформаційної безпеки.

Всього проголосувало: 1