ARinteg.ru

  • Москва
  • Ростов-на-Дону
  • Кемерово
  • Новосибирск

  • +7 (495) 221 21 41
  • +7 (863) 320 09 60
  • +7 (384) 221 56 41
  • +7 (495) 221 21 41
ARinteg Вконтакте Дзен ARinteg Arinteg Telegram home print mail site-map

Специальный проект «О самом главном в ИБ банков»

№6, июнь 2016 / Национальный банковский журнал

70ba8dc87388.jpg

В конце апреля редакция журнала NBJ совместно с компанией ARinteg провела бизнес-встречу экспертов рынка информационной безопасности в формате бизнес-завтрака.

В ДИСКУССИИ ПРИНЯЛИ УЧАСТИЕ:

Александр ОМЕЛЬЧЕНКО,
начальник управления информационной безопасности Альфа-Банка;

Артем СУДАРЕНКО,
консультант центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCert)
главного управления безопасности и защиты информации Банка России;

Юрий МАЛИНИН,
ректор Академии информационных систем (АИС);

Дмитрий СЛОБОДЕНЮК,
основатель компании ARinteg;

Анастасия СКОГОРЕВА,
главный редактор NBJ.

NBJ: В последнее время и Банк России как мегарегулятор финансового рынка, и кредитные организации отмечают, что атаки на банковские системы приобрели не только массовый, но и целенаправленный характер и потеснили в общей статистике атаки, направленные на счета клиентов. Поэтому первый вопрос, который мы хотели бы задать участникам нашего бизнес-завтрака, следующий: насколько соответствуют действительности эти наблюдения и приняли ли атаки на банковские системы повседневный характер?

А. ОМЕЛЬЧЕНКО: Вы правильно сформулировали: атаки приняли именно повседневный характер. Это представляется вполне логичным, ведь там, где есть деньги, всегда найдутся желающие получить их незаконным путем. А использование для достижения этой цели старых инструментов – вирусных атак, написания вредоносного кода и так далее – без предварительного сбора информации об уязвимых местах в системах защиты и процессах атакуемого банка становится все менее эффективным занятием, поскольку подавляющее большинство банков установило защитные решения против подобных атак.

NBJ: Как на практике можно отличить целевую атаку от нецелевой? Есть ли у первой какие-либо характерные признаки и черты, по которым ее сразу можно было бы распознать?

А. ОМЕЛЬЧЕНКО: На практике это выглядит следующим образом: если на Ваш почтовый ящик приходит письмо, в котором к Вам обращаются по имени и отчеству и в котором содержится ссылка на какой-либо портал, то это целевая атака. Соответственно, неперсонифицированное письмо, содержащее некую вредоносную программу, – нецелевая атака.

IMG_2917.jpgД. СЛОБОДЕНЮК: Хочу отметить, что одно из важнейших изменений, произошедших в последнее время, в том, что вектор целевых атак переместился со счетов физических и/или юридических лиц на корреспондентские счета банков. Это также представляется вполне закономерным: очевидно, что с корсчета финансово-кредитной организации в случае успеха той или иной атаки можно списать в разы больше денежных средств, чем со счетов даже самых состоятельных частных лиц или юридических организаций. 

NBJ: Но тут, наверное, следует иметь в виду, что корсчета банков априори лучше защищены, чем счета физлиц и/или юрлиц. Или это иллюзия?

Д. СЛОБОДЕНЮК: Дело здесь не в сложности преодоления защиты, а в величине затрат, которые необходимы для взлома той или иной системы.

А. ОМЕЛЬЧЕНКО: Попытки хищения средств физических лиц были всегда, количество таких атак не уменьшается, а скорее даже увеличивается, поскольку мобильных устройств на руках у населения становится все больше, а принцип «курочка по зернышку клюет» никто не отменял. Тем не менее за последние два года напасть, которую мы называем целевыми атаками, становится более распространенной.

NBJ: Чтобы понять намерения злоумышленников, наверное, нужно время от времени ставить себя на их место. Если бы мы были злоумышленниками, то организовали бы массовые нецелевые атаки в качестве отвлекающего маневра и под этой пеленой пытались бы провес-ти целевую атаку на банковскую систему или несколько систем. Встречаются ли такого рода разнонаправленные атаки?

А. ОМЕЛЬЧЕНКО: Да, встречаются, только обычно они наблюдаются с точностью до наоборот. Преступники направляют главный удар на корсчет банка и параллельно пытаются обрушить другие банковские системы. Цель очевидна: создать хаос, неразбериху, добиться того, чтобы внимание «безопасников» оказалось распылено. Пока сотрудники управления ИБ разбираются с тем, что же на самом деле произошло, и пытаются «поднять» системы, выведенные средства разбрасываются по тысячам счетов в различных организациях, которые зачастую находятя за пределами нашей страны.

IMG_3016.jpgА. СУДАРЕНКО: Как представитель регулятора я могу подтвердить, что целевые атаки на банковские корсчета сейчас на пике внимания – как со стороны банков, так и со стороны прессы. Но то, что мы видим, – это верхушка айсберга. И я более чем уверен, что есть огромное количество либо незафиксированных атак, либо атак, находящихся в латентной стадии, при этом совершенно необязательно, что они направлены именно на корсчета. Злоумышленники находятся внутри банков, изучают установленные там системы и ищут новые способы взломов. Возможно также, что имеют место прецеденты, когда средства уже выведены, но по каким-либо собственным внутренним установкам и убеждениям банк предпочел не предавать этот факт огласке.
В целом, сейчас мы имеем своего рода паузу. В конце прошлого года и в начале этого атаки носили массовый характер. Часть из них банковской системе удалось нейтрализовать – часть, к сожалению, нет.

NBJ: Артем, а Вы как-то объясняете для себя, с чем связана нынешняя пауза? Злоумышленники осмысливают полученные результаты, в том числе и неудачные, и/или готовятся к новым атакам?

А. СУДАРЕНКО: Я думаю, это объясняется несколькими факторами. Во-первых, банки научились более или менее справляться с подобными атаками, в том числе и с помощью нашей структуры – FinCert. Финансово-кредитные организации наладили между собой информационный обмен, и благодаря этому теперь удается останавливать достаточно большой объем выведенных средств. Соответственно, злоумышленники получают меньше той суммы, на которую они изначально рассчитывали, и их «выигрыш» не покрывает расходов на проведение атак. Как ни дико это может прозвучать, но хакерство – это тоже бизнес: как и любому другому бизнесу, ему присущи понятия «прибыльность» и «убыточность».

NBJ: Вы затронули в своем предыдущем ответе следующий вопрос, который мы собирались задать, – о «точках уязвимости» в периметре безопасности банков. Если мы правильно уловили суть сказанного, то одна из них в том, что злоумышленники зачастую могут находиться внут-ри банковских организаций. Здесь мы вплотную подходим к теме так называемого человеческого фактора. Есть ли еще какие-то не менее важные «точки уязвимости», на которые банкам следовало бы обратить внимание?

IMG_5698.jpgА. ОМЕЛЬЧЕНКО: На мой взгляд, Артем (Сударенко. – Прим. ред.) совершенно справедливо сказал, что наиболее уязвимым звеном в системах защиты является человек. АБС – на то и автоматизированные системы, чтобы работать днем и ночью, и скорость обновления баз с точки зрения противодействия угрозам у них достаточно адекватна. А вот люди – это действительно самое «тонкое» звено: на них могут воздействовать злоумышленники, они сами могут являться членами преступных группировок, здесь возможны различные варианты.

NBJ: Что же можно сделать с этим звеном, чтобы оно перестало быть слабым? Даже самый высокий уровень автоматизации предполагает наличие людей.

А. СУДАРЕНКО: Я бы все-таки немножко скорректировал и то, что было сказано мной, и то, что было сказано коллегами. Конечно, человеческий фактор никто не отменял, но самое слабое звено, на мой взгляд, все же не человек, а технологии, которые используют банки. Например, лучший способ обезопасить свой компьютер – это выделенный сетевой шнур, но мы не можем его использовать, потому что это будет негативно сказываться на скорости проведения операций, передачи информации и т.д.

Мы работаем на высококонкурентном рынке – соответственно, должны реально оценивать риски и ставить человеческий фактор на нужную чашу весов. Я, например, слышал о прецеденте, когда очень профессиональный системный администратор получил такую целевую атаку, от которой в принципе невозможно было защититься. Он все сделал правильно, но это не спасло, поскольку атака была «заточена» конкретно под него. Можно ли в таких случаях говорить, что всему виной человеческий фактор? Конечно, нет.

Ю. МАЛИНИН: Когда мы говорим о человеческом факторе, то надо говорить и о том, что специалистам, работающим в этой сфере, приходится заниматься как обеспечением практической безопасности, так и обеспечением «бумажной» безопасности. Стремясь обеспечить «бумажную» безопасность, люди зачастую игнорируют выполнение технических требований, потому что регулятор в первую очередь будет проверять соответствие требованиям нормативных документов.

IMG_2945.jpgК человеческому фактору также имеет отношение персонал, не занимающийся напрямую делом обеспечения ИБ. Речь идет о сотрудниках фронт-офисов, бэк-офисов. Их осведомленность в соблюдении рекомендаций и требований ИБ зачастую не находится на должном уровне, и при этом нужно понимать, что одноразовое проведение инструктажа на эту тему может оказаться бессмысленным занятием. Если инструктаж по ИБ не повторяется с периодичностью хотя бы раз в год, сотрудники банков не будут способны противостоять новым ухищрениям злоумышленников, которые, как справедливо отметил Артем (Сударенко. – Прим. ред.), постоянно изобретают новые типы атак, новые инструменты и схемы для их реализации.

NBJ: Косвенно в рамках нашей беседы уже затрагивалась и другая тема – о том, что молчание, вопреки известной пословице, не всегда является золотом, а в случаях, когда речь идет об атаках на банки, оно совсем не золото. Скоро год, как начал свою работу FinCert, созданный при Банке России, но известно, что далеко не все финансово-кредитные организации используют эту площадку для обмена информацией со своими коллегами. Соответственно, у нас вопрос: насколько важно, нужно и полезно организовывать такой информационный обмен?

А. ОМЕЛЬЧЕНКО: Это действительно важная тема, поскольку в противостоянии целевым атакам очень важны несколько факторов: осведомленность, скорость получения информации об особенностях подобных атак и точность реализации рекомендаций по их отражению. И, насколько я понимаю, FinCert был создан как раз для того, чтобы помогать решать эти задачи. Это достаточно новая структура, она существует чуть меньше года, поэтому нет ничего удивительного в том, что еще не все банки присоединились к такому информационному обмену. Мы ищем точки соприкосновения, и, на мой взгляд, со стороны FinCert было бы правильно активизировать свои усилия по пиару и продвижению, по созданию общего интерфейса, по улучшению самого процесса информационного обмена.

NBJ: Нам кажется, что эти слова не должны остаться без ответа со стороны представителя FinCert.

А. СУДАРЕНКО: Мы воспринимаем такие замечания не как критику, а как вполне справедливые рекомендации. Очевидно, что FinCert – действительно очень молодая структура, и, наверное, ни для кого не секрет, что Банк России, под эгидой которого он создан, – большая и не всегда «поворотливая» организация. Поэтому, конечно же, не все задуманное удается сделать сразу, да и формат user-friendly-общения – это не совсем тот формат, в котором ЦБ привык взаимодействовать со своими поднадзорными субъектами. Приходится вносить в него коррективы и, как говорится, перестраиваться на марше. 

Но у этой медали есть и другая сторона. Банки не всегда нам доверяют и поэтому не всегда предоставляют корректную информацию и об инцидентах в сфере ИБ, и о том, что они хотели бы увидеть на стороне FinCert. То есть в глаза нам часто говорят, что все хорошо, а за глаза критикуют или высказывают недовольство какими-то аспектами деятельности нашего Центра.
На среднесрочную перспективу у нас запланировано изменение формата взаимодействия: мы планируем уйти от обмена информацией через электронную почту и перейти к обмену данными через систему, которая сейчас используется для передачи банковской отчетности в ЦБ РФ. Я думаю, что это упростит наше общение, а мы по возможности постараемся подкрепить это нормативными документами.

IMG_5691.jpgNBJ: Чтобы сделать такое общение обязательным для финансово-кредитных организаций?

А. СУДАРЕНКО: Нет, таких планов у нас как раз нет. Мы остаемся на тех принципах, которые озвучивали раньше: такое взаимодействие должно быть добровольным и доверительным.

NBJ: FinCert не только собирает информацию об инцидентах в сфере ИБ, но и вырабатывает рекомендации по мониторингу банковских систем, по противодействию атакам и т.д. Насколько эти рекомендации полезны банкам в их повседневной деятельности?

А. ОМЕЛЬЧЕНКО: Правильно составленная и обработанная информация об угрозах очень помогает в противодействии этим угрозам. На мой взгляд, самое эффективное орудие в отражении атак – это система анализа и корреляции инцидентов в сфере ИБ. Она должна иметь «на входе» какие-то маячки, на которые она будет реагировать. Поэтому присылаемая информация, где содержится не просто описание атаки, но и некие технические данные (названия файлов, которые могут быть использованы злоумышленниками, адресов, иная активность и т.д.) – все это очень полезно с точки зрения выявления попыток злоумышленников проникнуть в систему. 

Д. СЛОБОДЕНЮК: FinСert – это, безусловно, очень интересная и правильная инициатива. К нам как к компании-интегратору банки часто обращаются, когда инцидент в сфере ИБ уже произошел. Заказчик приходит к нам со словами: «Нам наконец-то выделили бюджет, давайте уже что-то делать. Но при одном условии: ни вы, ни мы никому не расскажем о произошедшем, потому что на кону репутация нашей банковской организации». С одной стороны, таких «пострадавших» можно понять, а с другой, если банки не будут делиться друг с другом и с регулятором этой информацией, то ничего хорошего в дальнейшем не будет. Тут надо все взвесить и продумать: возможно, репутационные риски, которые не хочет принимать на себя пострадавший банк, несопоставимы с тем ущербом, который злоумышленники, совершившие хищение, нанесут впоследствии и ему, и его коллегам по цеху, и банковской системе в целом.

NBJ: То есть речь идет о степени зрелости нашего банковского сообщества: способно ли оно выступать единым фронтом или будет, как и раньше, действовать по принципу «каждый за себя»?

Д. СЛОБОДЕНЮК: Совершенно верно. И тут я как раз хотел бы вернуться к тому, о чем говорил представитель FinCert. Нет сомнений в том, что для организации по-настоящему эффективного процесса информационного обмена нужна нормативная база. Но тут важно не переступить тонкую грань между формализацией подходов и принципом добровольности обмена информацией. Ни в коем случае нельзя превращать это общение в некую «обязаловку», потому что в этом случае вся серьезная информация будет скрываться и банки начнут предоставлять сведения о незначительных, мелких инцидентах.

NBJ: Мы обсудили уже несколько существующих факторов риска: человеческий фактор, нежелание многих банков «выносить сор из избы». Но наша дискуссия, наверное, не была бы полной, если бы мы не упомянули еще один – оборудование и программное обеспечение, которое банки используют в своей работе. И здесь мы плавно переходим к теме импортозамещения, поскольку очевидно, что в нынешней геополитической ситуации использование исключительно иностранного «железа» и программного обеспечения чревато серьезными рисками. А отечественные разработки – могут ли они стать адекватной заменой?

IMG_2935.jpgД. СЛОБОДЕНЮК: На рынке есть очень интересные решения, созданные российскими разработчиками, но в целом, чтобы описать сложившуюся ситуацию, я позволю себе следующую аналогию. Вы приходите в аптеку и видите перед собой целые ряды, заставленные различными лекарственными препаратами, и почти на каждой упаковке написано: «Прежде чем использовать лекарство, проконсультируйтесь со специалистом». Примерно так же дело обстоит на рынке «железа» и программного обеспечения: нет решения, которое излечило бы банки от всех хворей и решило бы все их проблемы. Тут действительно нужны консультации специалистов, и довольно часто компания ARinteg выступает в роли таких экспертов.

А. ОМЕЛЬЧЕНКО: Проблема импортозамещения, конечно же, очень актуальна, потому что действительно хотелось бы отойти, если не полностью, то хотя бы частично, от использования исключительно западных ИТ-решений. Это желание мотивировано целым рядом факторов: в последнее время возникают задержки и с постановкой новых решений, и с обновлением уже используемых. Не последнюю роль играет и цена, которая привязана к курсу доллара США: очевидно, что из-за ослабления позиций рубля к этой валюте накладные расходы банков на информационную безопасность в последние два года существенно возросли. Так что мотивация имеется.

Но при этом мы должны учитывать другое: в полном объеме уйти от использования иностранных ИТ-решений не удастся. У наших разработчиков много интересных идей и стартапов, но для того, чтобы реализовать хоть сколько-нибудь эффективно работающую систему, причем работающую в масштабах крупного банка, этого пока недостаточно. Решения замечательные, идеи отличные – но на практике выходит, что на нашей структуре они либо не работают вообще, либо работают неэффективно.

NBJ: А в принципе по каким критериям целесообразно выбирать решения, когда речь идет об информационной безопасности банков?

Д. СЛОБОДЕНЮК: Я думаю, общих рецептов здесь не существует, но для банков есть то, что можно назвать святым для всех. Это в первую очередь соответствие предложенных решений рекомендациям СТО БР ИББС. Что же касается всего остального, то надо понимать, что замена уже используемого решения – это, безусловно, трудоемкий процесс. Во-первых, персонал привык к обслуживанию одной системы, во-вторых, на это нужен бюджет и время. Если банк все же принимал решение по замене системы защиты, то, естественно, нужно проводить «пилоты» и смотреть, насколько новое решение удовлетворяет потребностям банка.

NBJ: Такие риски могут быть минимизированы в случае создания тестовых сред.

Д. СЛОБОДЕНЮК: Совершенно верно, тестовые среды нужны. Есть решения, которые можно пилотировать одновременно, – например, защиту от целенаправленных атак, так активно обсуждаемых сегодня. Это позволяет клиенту оценить работу двух систем и выбрать то решение, которое больше соответствует его ожиданиям и поставленным целям. Нужно понимать, что любая внедренная система требует качественной техподдержки и своевременных обновлений. Например, два года назад мы развернули в Альфа-Банке систему защиты от таргетированных угроз. Но это не значит, что она не должна регулярно обновляться. Мы контролируем работу системы и «прикручиваем» или изменяем некоторые вещи, потому что жить на одних и тех же реалиях нельзя. Угрозы меняются, появляются новые, и необходимо качественно им противодействовать.

А. ОМЕЛЬЧЕНКО: Я бы хотел добавить в наше обсуждение философскую нотку. Стопроцентной безопасности не существует, бесполезно пытаться достичь этого идеала, и поэтому, выбирая решение, необходимо четко определить для себя как модель угроз, так и модель нарушителя – то есть ответить себе на вопрос, от чего именно мы собираемся защищаться, используя данное решение. Когда ответ получен, уже можно переходить к техническим аспектам и смотреть, какое решение является более эффективным, а какое – менее, как осуществляется процесс сопровождения и т.д. И повторю то, что я говорил раньше: главным слабым звеном остается человек, и если мы не урегулировали человеческий фактор, не построили правильно процессы, то решение работать не будет. Даже если оно теоретически является замечательным и очень эффективным.

Ю. МАЛИНИН: Разбор инцидентов в банковских организациях и проверочные мероприятия, проводимые Банком России, показывают, что компетенция и квалификация персонала служб обеспечения информационной безопасности банков находятся на достаточно низком уровне. О чем в конце прошлого года и начале этого года было официально заявлено соответственно уполномоченными лицами ЦБ РФ – в частности, это звучало в рамках форума Банка России «Финнополис» в Казани, на международном форуме в Москве AntiFraud Russia, на Магнитогорском банковском форуме и на других отраслевых мероприятиях.

Для преодоления сложившейся ситуации и преломления ее в более положительное русло Банк России инициировал разработку рекомендаций по стандартизации, в которых были бы отражены минимальные и необходимые квалификационные требования для персонала служб обеспечения информационной безопасности банков. Этот документ разработан, и в настоящее время проходит публичное обсуждение, проект размещен на странице первого подкомитета ТК 122 «Безопасность финансовых (банковских) операций». Предполагается, что по завершении публичного обсуждения данные рекомендации будут введены в действие. И в первую очередь пользователями этого документа будут руководители соответствующих подразделений банков и отделы кадров. Они должны понимать, какие конкретно требуются компетенции, знания, опыт и навыки, для того чтобы деятельность этих специалистов была эффективной и результативной в соответствии не только с требованиями регуляторов, но и с целями деятельности бизнеса данной организации. Эти требования предполагается распространить и на некредитные финансовые организации. В свою очередь, это говорит о том, что для всех организаций кредитно-финансовой сферы РФ будут приняты единые требования в части компетенций и квалификации персонала по обеспечению безопасности.

Наша Академия (Академия информационных систем. – Прим. ред.) поддерживала и всячески способствовала этому процессу, начиная с первых редакций стандартов Центрального банка. Нами были разработаны специализированные курсы, на которых преподавателями выступали самые авторитетные и компетентные эксперты, в том числе и Центрального банка, которые «из первых уст» поясняли, откуда те или иные требования проистекают. Однако в силу ряда обстоятельств в 2011–2012 годах интерес к обучению спал, все заменилось «бумажной» безопасностью, что сказалось на состоянии обеспечения информационной безопасности банков. Мы имеем печальную картину неуклонного роста воровства, мошенничества и зачастую неэффективность служб безопасности банков в противодействии как внутренним, так и внешним злоумышленным операциям.

NBJ: Наша беседа подходит к концу, и мы хотели бы предложить всем участникам нашего круглого стола подвести итог сказанному здесь и высказать свои прогнозы.

Д. СЛОБОДЕНЮК: Необходимо все время держать руку на пульсе и исходить из того, что злоумышленники – люди умные. Биться в стену напролом они не станут. Им интереснее и менее затратно рыть подкопы под эту стену или перелетать ее на аэроплане. Иными словами, делать какие-либо прогнозы в данном контексте бессмысленно. Нужно исходить из того, что там, где мы предоставим качественную защиту, атак будет осуществляться значительно меньше. А дальше наблюдать за злоумышленниками, оперативно обновляя и добавляя новые решения в развернутые системы.

А. ОМЕЛЬЧЕНКО: Наверное, самый важный вывод, который можно сделать: технологии развиваются, злоумышленники всегда будут искать и находить в них бреши, а мы будем противодействовать попыткам преступников воспользоваться «дырами» в системах безопасности. Что касается угроз, то они остаются прежними: хищение средств со счетов клиентов, хищение средств у банков, попытки дестабилизировать работу банковских систем. Изменяются только способы реализации атак и подходы к их осуществлению. И от нас требуется как раз адекватно реагировать на эти изменения.

IMG_5751.jpg

Перейти к списку статей
qrcode
ARinteg Вконтакте   Дзен ARinteg   Arinteg Telegram