12 декабря 2019, 18:29
Количество просмотров 570

Вячеслав Касимов, МКБ: Банки научились эффективно противостоять внешним угрозам. Но расслабляться рано!

Об основных трендах информационной безопасности (ИБ) в банковском секторе, взаимодействии банков с регулятором и эффективном выстраивании отношений ИБ с ИТ-подразделением банка, а также о том, к каким новым угрозам банкам следует готовиться в ближайшей перспективе, журнал «ПЛАС» беседует с Вячеславом Касимовым, директором департамента информационной без­опасности Московского кредитного банка (МКБ).
Вячеслав Касимов, МКБ: Банки научились эффективно противостоять внешним угрозам. Но расслабляться рано!

ПЛАС: Насколько эффективно банки сегодня научились защищать свой периметр и реагировать на угрозы?

В. Касимов: Все зависит от каждого конкретного банка. Мы, например, этому научились. Большинство крупных банков тоже справляются. Но если говорить о системе в  целом, то есть еще много проблем. Еле-еле справились с волной атак через почту, а на пороге – атаки через веб-публикации и подключения третьих сторон. Что будет дальше – остается только теоретизировать, но на практике справляться с такими угрозами умеют лишь единицы банков.

ПЛАС: В какой мере действующее законодательство закрывает основные задачи по ИБ? Необходимо ли принимать какие-либо дополнительные законы, обеспечивающие регулирование в этом направлении?

В. Касимов: Если брать методологию, которая заложена в нормативных документах, то в целом она закрывает текущие потребности по правовому регулированию. Другой вопрос, что сама структура документов не самая простая. Примером здесь могут быть те же требования в части критической информационной инфраструктуры, защиты и обработки персональных данных, ГОСТ, созданный по инициативе Банка России. Наличие стандартов, конечно, лучше, чем их отсутствие, но необходимо доработать стилистику их изложения и постараться минимизировать количество документов, которые банкам необходимо учитывать при исполнении требований регуляторов.

В своей работе мы используем рискоориентированный подход и в первую очередь оцениваем риски от реализации тех или иных угроз. В этом контексте регуляторные требования сегодня достаточно просто закрыть – минимум на 90%. Оставшиеся 10% требований регуляторов требуют осмысления и отдельных процедур для их исполнения. С другой стороны, требования регулятора – это еще один пункт для проверки, насколько корректно мы оценили те или иные риски. И я могу отметить, что ни одной ситуации, когда бы мы не попадали со своими оценками в какие-то корректные рамки, заданные регулятором, пока не было зафиксировано.

ПЛАС: Насколько эффективно налажен сегодня информационный обмен между регуляторами, банками и другими участниками рынка?

В своей работе мы используем рискоориентированный подход и в первую очередь оцениваем риски от реализации тех или иных угроз

В. Касимов: Все разговоры о том, что взаимодействия нет, – отговорки в пользу слабых. Любой операторский труд сегодня можно автоматизировать. Существует два подхода к интеграции систем: первый – классический, когда две системы будут друг с другом взаимодействовать напрямую или через некоторую шину. Второй – если все же такой возможности не существует, интеграцию можно реализовать, по сути, на роботе, эмулируя деятельность человека. И на том этапе, когда интеграцию с тем же ФинЦЕРТом нельзя было сделать, используя первый подход, можно было реализовать интеграцию на роботах.

С нашей точки зрения, взаимодействие с регулятором в целом осуществляется в правильном конструктивном ключе. Есть некоторые вопросы, связанные с использованием поступающей из ЦБ информации. Как  к ней относиться? Как к некому абсолюту, которому нужно непреклонно верить, либо как к дополнительному параметру, с помощью которого можно самостоятельно оценивать, происходит ли что-то плохое или нет? Мы в МКБ практикуем второй подход. Именно в такой концепции мы живем и выстраиваем наше взаимодействие с регулятором.

Вячеслав Касимов, МКБ: Банки научились эффективно противостоять внешним угрозам. Но расслабляться рано! - рис.1

ПЛАС: Почему не все участники рынка вовлечены в процесс по обмену информации, а те, кто участвует, не всегда охотно делятся информацией об инцидентах, которые у них происходят?

В. Касимов: С одной стороны, срабатывает психологический фактор. Точно так же как далеко не каждый человек склонен признавать свои ошибки, банку сложно признаваться в том, что у него произошел инцидент. С другой стороны, достаточной зрелостью обладают сегодня лишь ведущие технологичные банки. Небольшие кредитные организации, которые по объективным причинам не имеют возможности выделить необходимые ресурсы для обеспечения ИБ и адекватной обработки инцидентов, испытывают определенные сложности. В том числе и поэтому у них взаимодействие с регулятором находится на некоем зачаточном уровне или даже пока вовсе отсутствует.

ПЛАС: Наряду с ФинЦЕРТом свою собственную систему по обмену информацией о рисках ИБ создали Ассоциация банков России и BI.ZONE. Насколько разнообразие таких систем помогает или, напротив, мешает банкам противостоять преступникам?

В. Касимов: Если в будущем для взаимодействия будет создан некий типовой интерфейс, тогда чем больше будет таких систем, тем лучше. Пока же у каждой организации свои интерфейсы, порядки и особенности, что усложняет процесс интеграции и приводит к дополнительным трудозатратам на нее.

Вячеслав Касимов, МКБ: Банки научились эффективно противостоять внешним угрозам. Но расслабляться рано! - рис.2

ПЛАС: Насколько для нашего рынка релевантен действующий в Европе GDPR?  Какие элементы этого регламента были бы полезны в рамках российской действительности?

В. Касимов: В целом GDPR выполнен в той же стилистике, что и 152-ФЗ о персональных данных. Однако он более интересен с точки зрения подхода к обеспечению безопасности, подразумевающего два глобальных и очень правильных принципа: Security by Default и Security by Design. Это означает, что любые процессы и продукты, которые подразумевают обработку персональных данных граждан, должны быть по умолчанию безопасными, и выстроены таким образом, чтобы оставаться таковыми вне зависимости от того, какие изменения происходят в рамках жизненного цикла процессов и продуктов. В российском законодательстве таких требований нет, и, на мой взгляд, это серьезное упущение.

ПЛАС: Какой вам видится оптимальная схема взаимодействия  между внутренними структурами банка, которая может обеспечивать и защиту банковской информации, и конфиденциальность клиентской базы?

Чтобы не стать жертвой кибермошенников, клиентам банков следует придерживаться основного правила – никому не верить

В. Касимов: С точки зрения процессов в МКБ уже выстроена достаточно внятная структура. Департамент информационной безопасности взаимодействует как с бизнес-подразделениями, так и с ИТ-блоком на всем протяжении возникающих задач, начиная со стадии их постановки. Это означает, что два замечательных принципа, определенных в том же GDPR, автоматически выполняются для всего, что создается в МКБ. И это делать достаточно просто, когда информационная безопасность не прибегает с требованиями, которые присущи только людям с основательными деменциями или явными признаками надвинувшегося делирия, как случается в некоторых организациях, а бизнес и ИТ воспринимает здраво требуемое просто потому, что не требуют выполнять откровенный бред, с одной стороны, и приветствуется обсуждение предлагаемого – с другой.

ПЛАС: Наряду с внутрибанковскими разработками за последнее время кредитным организациям предложено к внедрению несколько глобальных технологических решений, таких как Единая биометрическая система и Система быстрых платежей. Насколько реализация такого рода проектов осложняет работу подразделений банка, отвечающих за обеспечение ИБ?

В. Касимов: Система быстрых платежей достаточно легко имплементируется в банковские системы. По сути, вводятся новые идентификаторы, которые необходимо корректно обрабатывать при реализации, что особых сложностей обычно не вызывает. Чего нельзя сказать о Единой биометрической системе, здесь появляются значительные статьи расходов на приобретение сертифицированных средств защиты информации, трудозатраты на их имплементацию высоки, а эффект ничтожен. Помимо стандартного набора мер по обеспечению защищенности данных необходимо предпринимать дополнительные меры, которые рекомендованы регуляторами. Естественно, вендоры пытаются воспользоваться сложившейся ситуацией и держат высокую цену на свои решения. Поэтому здесь присутствуют сложности, в первую очередь, экономического плана.

ПЛАС: Каким образом выстроено в МКБ взаимодействие ИБ- и ИТ-департаментов? Как часто новые решения не получают «зеленый свет» от подразделения по безопасности? И как обычно решаются подобные вопросы?

В. Касимов: Исторически у нас с ИТ сложились очень дружеские взаимоотношения. Мы не соперники, а партнеры, и всегда готовы прийти друг другу на выручку. Я искренне призываю весь рынок к такому взаимодействию, потому что это, наверное, единственная модель, когда и ИТ, и в особенности ИБ являются успешными подразделениями. В случаях, когда все же возникают какие-либо спорные моменты, наши аналитики ищут work-around решения, способные сохранить основной функционал продукта или процесса и при этом сделать реализацию максимально безопасной. Еще ни разу не было ситуации, чтобы мы не находили общего языка и не выработали схему, при которой тот или иной продукт или процесс не был реализован.

Вячеслав Касимов, МКБ: Банки научились эффективно противостоять внешним угрозам. Но расслабляться рано! - рис.3

ПЛАС: Насколько сегодня актуален для банковского сектора фишинг, и какими средствами с ним можно эффективно бороться? Если раньше основной проблемой для банков был скимминг, то в настоящее время лидирующие позиции заняла социальная инженерия. Чем обусловлен ее выход на первые роли?

В. Касимов: Скимминг все больше теряет свою эффективность в качестве инструмента мошенничества ввиду того, что злоумышленники пока так и не нашли способа копировать информацию с чипа. Зато в 2019 году буйным цветом расцвел фишинг. Это, в первую очередь, связано с тем, что в этом случае достаточно сложно предложить какие-либо технические меры по защите клиента. По сути, он сам выдает злоумышленникам всю необходимую информацию для того, чтобы они от его имени совершили несанкционированный платеж или активировали интернет-банк. Единственная действенная мера защиты от подобных воздействий на клиентов – антифрод-мониторинг, но и он далеко не всегда справляется.

Социальная инженерия – это предыстория к фишингу. Если фишинг в чистом виде – техническое в целом мероприятие, которое используется совместно с социальной инженерией, то сама по себе социальная инженерия – просто коммуникация с клиентом без какой-то специфической технической составляющей.

ПЛАС: Какие шаги необходимо предпринимать клиенту в случае обнаружения описанной проблемы?

В. Касимов: Чтобы не стать жертвой кибермошенников, клиентам банков следует придерживаться основного правила – никому не верить. Если какой-то сайт говорит, что у вас проблема с компьютером и для того, чтобы ее решить, вам необходимо установить некую программу, не верьте!

Если вам звонит или пишет «сотрудник банка» и просит назвать номер вашей карты, не верьте! Банк знает номер вашей карты. Более того, банк никогда не будет узнавать у клиента номер ПИН-кода или одноразового SMS-пароля для доступа в интернет-банк, ведь суть этого взаимодействия как раз и заключается в том, что клиенту необходимо этот пароль ввести, а банку – проверить его подлинность. Даже если вам кажется, что звонят из банка, попросите внутренний номер сотрудника и перезвоните ему. Если с вами говорит злоумышленник, то он просто повесит трубку.

Все операционные системы, которые используются для платежей, вне зависимости от их производителя необходимо регулярно обновлять. Это крайне важно. При этом если ОС подвержена воздействию вирусов, например, мы говорим про Windows, то на нее необходимо дополнительно установить регулярно обновляемый лицензионный антивирус.

Даже если вам кажется, что звонят из банка, попросите внутренний номер сотрудника и перезвоните ему

На смартфоны и другие мобильные устройства нельзя устанавливать приложения из непроверенных источников, кроме магазинов приложений производителя, App Store и Play Market, например. Если приложение кажется вам подозрительным, то его лучше не ставить. Примерами могут выступать некий интернет-банк с откровенно низким количеством загрузок и непохожим на банк производителем. Такой достаточно простой набор рекомендаций позволяет предотвратить большинство потенциальных угроз для клиентов.

ПЛАС: Насколько высока сейчас техническая угроза ИБ банков? Почему мы больше не слышим о таких громких инцидентах с вирусами-шифровальщиками, как WannaCry, Petya?

В. Касимов: Эти инциденты оказали стимулирующее воздействие не только на банки, но и на организации, для которых вопросы ИБ никогда не стояли на первом месте. На рынке сегодня представлено достаточно решений, которые позволяют идентифицировать и заблокировать деятельность шифровальщиков.

Наиболее сильное воздействие с точки зрения выделения ресурсов на ИБ в банках и крупном бизнесе оказала волна хищений в банках, которая имела место в 2015–2017 гг., когда злоумышленники получали удаленный доступ через АБС, процессинг или SWIFT и списывали денежные средства на заранее подготовленные мошеннические счета. Причем проникновение в инфраструктуру банков было технически прекрасно отработано. Но с этими угрозами банки научились справляться.

В ближайшее время совершенно точно можно ожидать новой волны аналогичных хищений, но проникновение уже будет осуществляться через веб-сайты, сервисы для подачи кредитных, депозитных, сервисных заявок, порталы для получения каких-то банковских услуг, второстепенные сервисы, предназначенные для внутренних нужд, либо через подключения к банкам третьих лиц. Если злоумышленники смогут взломать инфраструктуру партнера, теоретически они могут получить доступ и к инфраструктуре банка. Поэтому, несмотря на временное затишье, банкам нельзя останавливаться на достигнутом – необходимо всегда быть начеку.

Вячеслав Касимов, МКБ: Банки научились эффективно противостоять внешним угрозам. Но расслабляться рано! - рис.4

ПЛАС: Какой комплекс мер предпринимает МКБ для решения проблемы человеческого фактора в сфере безопасности?

В. Касимов: В сериале «Мистер Робот» есть замечательная сцена, когда один из членов хакерской группировки показывает фотографию с шестью сотрудниками на входе в главный офис «корпорации зла» и задает вопрос своим подельникам о том, сколько уязвимостей они на ней видят? В ответ он слышит справедливую оценку: «Как минимум шесть!». Поэтому как бы ни старались подразделения ИБ и ИТ, сотрудники, которые имеют доступ к системам и могут осуществлять там какие-либо критичные операции, по-прежнему остаются серьезной уязвимостью.

Прекрасно понимая это, мы проводим многоступенчатое обучение, которое включает традиционные инструктажи и тесты, а также внезапные практические проверки, когда сотрудники получают письма, имитирующие письма злоумышленников, в которых содержится некое вложение. Первая волна такого обучения была проведена весной, и откровенно говоря, результаты не порадовали. Но подобные инструменты являются наглядными, и поэтому наиболее эффективными. Сотрудники, которые открыли вложения или перешли по ссылкам, прошли дополнительный курс и сдали обязательное тестирование. Данный инструмент доказал свою эффективность и существенно повысил уровень осведомленности персонала по обеспечению ИБ. Что приятно, результаты не заставили себя долго ждать: минимум раз в неделю я вижу обращения работников в силу должности далеких от информационной безопасности, которые добросовестно запрашивают проверку отдельных писем на наличие вредоносов перед тем, как их открывать.

ПЛАС: Почему число попыток совершения мошеннических операций постоянно растет, несмотря на то, что системы становятся более производительными и эффективными? Какие угрозы будут актуальны для банков в ближайшие годы?

В. Касимов: Эффективность растет не только у банков, но и у преступности. «Бизнес» киберпреступности сильно диверсифицирован и делится на несколько направлений. Одни заражают ИТ-инфраструктуру клиентов, другие выполняют разведывательные действия, передают информацию третьим лицам, которые, в свою очередь, нанимают четвертых, чтобы совершить преступление и распределить деньги по дропперам. По сути, это некая гонка вооружений, в которой у банков шансов победить немного: для банков защититься – не основной бизнес, в отличие от потребности украсть – у противодействующей стороны. Банковский бизнес вполне естественно выделяет меньше средств на ИБ, чем киберпреступность на преодоление защиты. Да и маржинальность правонарушений в области ИТ неимоверно высока. Поэтому только комплексные меры, эшелонированный подход к защите и соблюдение честной экономической эффективности мер защиты позволяют банкам обеспечивать информационную безопасность на должном уровне.

Кроме уже отмеченных угроз – атак через веб-аппликации или подключение третьих сторон (партнеров и контрагентов), я бы спрогнозировал увеличение количества инцидентов, связанных с хищениями денежных средств у клиентов, в том числе с использованием социальной инженерии. По-прежнему будет процветать фишинг. Также мне что-то подсказывает, что клиентские данные будут дорожать на черных рынках. Поэтому для банков не будет лишним сосредоточиться на том, чтобы обеспечить защищенность имеющихся у них данных.

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube