105
Андрей Курило: «Требования к ИБ нужно повышать – отступать некуда»
предложил рассказать Андрею Курило,
председателю Комитета НСФР по информационной безопасности.
ПЛАС: На XI Уральском форуме «Информационная безопасность финансовой сферы» зампред ЦБ Василий Поздышев заявил, что о регулировании в области информационной безопасности банков в мире задумались только пять лет назад, до того внимание уделялось лишь бизнес-процессам. Почему на эту проблему так долго не обращали внимание?
А. Курило: Вопросами обеспечения информационной безопасности (ранее монопольно использовался термин «защита информации») специалисты занимаются с момента появления первого технического средства передачи и обработки информации, то есть очень давно. А ощущение того, что вопросы информационной безопасности связаны и влияют на качество бизнес-процессов и наоборот, действительно пришло примерно 5–8 лет назад. Некоторый толчок к работе в этом направлении дал вирус Stuxnet. Он был совместно разработан американскими и израильскими спецслужбами и использован в 2010 году для того, чтобы нанести ущерб иранской ядерной программе. Считается, что этот вирус нарушил работу свыше 1000 центрифуг для обогащения урана, то есть он выполнял не шпионскую, а диверсионную функцию.
После этого во всем мире начали прикидывать, какое количество технологий и процессов зависит от компьютеров, и не находятся ли они все потенциально под угрозой. В том числе об этом задумались и банки, включая крупнейшие в мире. Банки провели ревизию своего программного обеспечения и обнаружили, что у них далеко не все гладко, потому что уже появились такие угрозы, на которые их системы изначально просто не были рассчитаны.
Если детализировать вопросы банков по информационной безопасности, то сейчас все большую озабоченность вызывает задача обеспечения устойчивости деятельности организации в условиях воздействия на ее телекоммуникационную инфраструктуру. Как отмечал на Уральском форуме 2019 Артем Сычев (первый замдиректора Департамента информационной безопасности Банка России. – Ред.), эта проблема называется киберустойчивость, т. е. способность системы функционировать в условиях атаки на нее. Стало понятным, что, во-первых, систему надо правильно построить, чтобы она отражала известные угрозы. А во-вторых, надо понять, правильно ли она эти угрозы отражает. Потому что построить систему кибербезопасности – это одно, а поддерживать ее эффективность во время всего срока эксплуатации – совсем другое. Сегодня Банк России считает необходимым ввести регулярное тестирование банковских систем информационной безопасности. Если оно будет правильно выстроено, то это поможет банкам самим понять, насколько эффективно работают их системы отражения атак и насколько качественно они поддерживают уровень безопасности внутри системы.
Андрей Курило
Председатель Национального совета финансового рынка, исполнительный директор компании «РНТ». Изобретатель, член-корреспондент Международной академии информатизации, кандидат технических наук, доцент. Занимал пост зам. начальника главного управления информационной безопасности и защиты информации Банка России (1997–2012 гг.), участвовал в разработке основополагающих законов и документов в сфере информационной безопасности, в том числе Доктрины информационной безопасности Российской Федерации.
Свою деятельность в Банке России начал в 1997 году, имея за плечами опыт работы в центральном аппарате Государственной технической комиссии СССР, где при его участии были разработаны первые нормативные документы по защите от несанкционированного доступа, а также сформулированы базовые принципы лицензирования и сертификации деятельности по производству технических средств безопасности, в том числе для защиты информации. В 1993 году был прикомандирован к Совету безопасности РФ, где три года занимал должность секретаря Межведомственной комиссии по информационной безопасности.
Под руководством А. Курило в главном управлении безопасности и защиты информации Банка России начались работы по формулировке целей и задач управления, структурной перестройке, а также формированию коллектива специалистов, были разработаны и усовершенствованы стандарты информационной безопасности, адаптированные для кредитно-финансовых организаций, в том числе первый отраслевой стандарт СТО БР ИББС, создано отраслевое сообщество ABISS.
ПЛАС: Насколько в целом, на ваш взгляд, эффективна система кибертестирования? Ведь, как известно, генералы всегда готовятся к уже прошедшей войне.
А. Курило: Когда генералы готовят армию к войне, они проводят учения. Но подготовке к любому учению предшествует определенная теоретическая проработка, обработка данных средств разведки, знание состояния войск, уровня их боевой подготовки, планирование операций. Таким образом, в ходе учения моделируются боевые действия с армией противника, как мы ее себе представляем. То же самое киберучения – мы пытаемся узнать, готовы ли мы отразить угрозу, которая пойдет с «той» стороны, понять, как будет вести себя система при отражении атаки или развитии этой атаки уже через брешь в защите, внутри системы, какие действия могут быть совершены в будущем. Я не стал бы заглядывать в будущее на пять лет, но если взять горизонт в два года, то здесь уже нам вполне понятно, чего ждать. Потому что ландшафт угроз меняется довольно медленно. Есть определенная динамика, но в целом его можно считать на этом отрезке времени более или менее постоянным.
Фокус в том, что с точки зрения технологий взлома все уже давно придумано, меняются лишь способы реализации. Новые устройства могут предоставить мошенникам дополнительные возможности, если система безопасности не настроена на отражение атак с использованием новых технологий. Да и сама система постоянно усложняется, или, как говорят специалисты в области информационной безопасности, «растет площадь атаки». Взять хотя бы историю 2016 года, когда мошенники начали списывать деньги с корсчетов банков, открытых в ЦБ РФ. Эти атаки базировались на том, что в настройках системы безопасности средств, которые взаимодействовали с ЦБ – автоматизированное рабочее место (АРМ КБР) для обмена электронными сообщениями с платежной системой Банка России, – были выставлены упрощенные настройки. Отмечу, что у АРМ КБР есть четыре варианта настройки: первый – самый простой, режим автоматического шлюза, а четвертый – самый сложный, но и самый правильный. Ряд банков из-за лени специалистов реализовали первый вариант настройки АРМа – режим автоматического шлюза. При таком варианте все документы, которые кладутся изнутри во входной каталог, в том числе и платежные, автоматически подписываются и отправляются в ЦБ.
Технология, которую в этом случае применяли преступники, давно не является секретом. Это специально написанный вирус, который пересылается с письмом ничего не значащего содержания. Как только кто-то в том или ином банке раскрыл это письмо, вирус активизировался и начал работать. А антивирус его не поймал просто потому, что он ловит только те вредоносные программы, которые есть в его базе данных. Следовательно, если вирус написан специально для конкретного банка, поймать на входе его не получится. Вообще, работа антивирусных систем имеет эффективность в районе 30%.
Таким образом, нужны системы защиты нового класса, т. н. системы обнаружения атак, а основная работа в области обеспечения информационной безопасности банка должна вестись не столько с железом и софтом, сколько с людьми. Потому что «бардак», процветающий среди персонала, может перевесить любую самую сложную систему защиты. Ведь сотрудники банков могли использовать более сложные настройки, но, судя по результатам, понадеялись, что и самого простого уровня безопасности будет достаточно. К чести Банка России, этот негативный процесс был подавлен достаточно быстро, путем принятия ряда оперативных мер и принятия специального нормативного акта – Положения Банка России 552-П, которое исключило упрощенный вариант настроек АРМа. После чего такого рода хищения прекратились.
ПЛАС: Может ли в этом вопросе помочь ужесточение регулирования со стороны ЦБ?
А. Курило: Проблема ужесточения требований и норм регулирования со стороны Банка России – это очень сложный и неоднозначный вопрос для всех. Сегодня одна из главных проблем банковской системы – бюрократия. К примеру, на одного сотрудника, выдающего кредиты, приходится 3–5 сотрудников, составляющих отчеты. И с ростом цифровизации эта нагрузка не снижается, потому что появляются новые направления.
Систему организации информационной безопасности эта проблема тоже не миновала.
Но если вернуться к вопросам информационной безопасности, то мы видим, что требования ужесточаются, и это мировой тренд. Однако сегодня они, объективно говоря, находятся на минимально возможном уровне, поскольку могли бы быть гораздо жестче. А уж ниже того, что есть сегодня, просто нельзя опускаться.
Проблема заключается в том, что банк неоднороден и у него внутри есть много систем управления и контроля, а также различных подразделений. При этом служба ИБ в пределах собственной ответственности и полномочий может реализовать лишь порядка 30% от всех необходимых требований по безопасности технического и организационного характера. Все остальные требования реализуются другими подразделениями.
Департамент безопасности пишет для них нормативные документы, добивается их согласования, доводит до исполнителей. Но когда их начинают реализовывать ИТ, клиентская служба, бэк-офис и т. д., возникают проблемы. Если вы зайдете в банк и спросите, сколько у них документов по информационной безопасности, вам назовут полторы сотни. И все это должно быть выполнено. А вот убедиться в том, что все исполняется правильно, должна служба ИБ. Возникает цикл проверки, в котором участвуют безопасность, ИТ, внутренний контроль, внутренний аудит, надзор со стороны Банка России и еще аудиторы – шесть структур! И организация их взаимодействия – большая и сложная проблема руководства банка.
ПЛАС: Какой вы видите выход из этого замкнутого круга?
А. Курило: Чтобы справиться с этой всевозрастающей нагрузкой, стоило бы снять с банков несвойственные им функции. Например, очень большой объем работ в сфере операционной деятельности, ИТ, PR, безопасности, кадровой работы можно отдать на аутсорсинг, конечно, при соблюдении определенных условий и правильно заключенных договоров, предусматривающих взаимную ответственность. Особенно от перегрузки несвойственными задачами страдают небольшие кредитные организации. Но пока практическая реализация такой возможности представляется столь же призрачной, как и вероятность отказа от бумажного документооборота. При этом электронный документооборот сегодня существует и занимает немалую долю в бюрократической системе не только банка, но и страны в целом.
ПЛАС: Электронный документооборот внедряется не первый десяток лет, а заметного прогресса не видно. Сможет он когда-нибудь полностью заменить бумажный?
А. Курило: Очевидно, что оптимистичный сценарий быстрого перехода на электронный документооборот сейчас заменяется пессимистичным. Тут не последнюю роль играет психологический фактор. Представьте себе бабушку, у которой из всей собственности – сберкнижка и документ на квартиру. Как ей объяснить, что бумага больше не нужна и все будет надежно храниться в цифровом виде где-то на сайте? Она скажет: «дайте мне настоящий бумажный документ с печатью, а храните потом где хотите». Кроме того, есть области, где без бумаги, наверное, пока и не обойтись. Другой вопрос, что нужно вести параллельно бумажный и электронный документооборот, без разрывов и перехода из одного в другой. Именно это есть самая большая проблема и головная боль. Думаю, что ключевая задача – создание хранилищ для обеспечения длительного хранения электронных документов. Тогда можно будет легко найти документ и выдать его бумажную версию там, где это требуется. И такая работа постепенно делается.
ПЛАС: Двадцать с лишним лет назад, когда в России появилась электронно-цифровая
подпись, говорили, что она решит все проблемы с переходом на электронный документооборот. Почему этого не произошло?
А. Курило: Чтобы получить электронно-цифровую подпись, надо сразу заплатить, а потом еще ежегодно оплачивать сертификат. Юридические лица очень широко используют этот механизм. В их жизни уже произошел качественный скачок. А с физическими лицами ситуация иная. Если человеку она нужна раз в год, то он просто не будет с этим связываться. Проблему могла бы решить облачная цифровая подпись, но и с ней все не так просто, хотя сейчас делается попытка законодательно решить эту задачу.
Для хранения многих цифровых документов можно использовать технологию блокчейн. Сегодня это модное слово, но вообще-то система распределенных реестров применяется уже лет сорок. Основная сильная сторона блокчейна заключается в построении и защите целостности цепочек блоков информации с помощью хэш-функции. Получается цепочка связанных между собой данных, в которую ретроспективно нельзя внести изменения, то есть она защищена от подделки. Однако ее можно разрушить, и тогда вся информация будет утеряна. Поэтому такие цепочки требуют серьезной защиты. При этом цепочка постоянно растет, а стандарты шифрования со временем устаревают, просто потому, что растет быстродействие компьютеров, совершенствуются способы взлома. И получается, что в какой-то момент надо перешифровать всю цепочку данных, а там могут быть уже терабайты информации. И еще все эти терабайты надо как-то надежно обработать и потом хранить. И все это должно происходить в течение многих десятков, а то и сотен лет. Пока эта проблема нигде в мире не нашла приемлемого решения.
ПЛАС: Сегодня считается, что большие базы данных – это не столько проблемы, сколько возможности. Ваше мнение на этот счет?
А. Курило: Не все так однозначно. Ведение баз данных вышло на уровень самостоятельной индустрии и активно используется как государственными и коммерческими структурами, так и криминальными. И пополняются они зачастую уже с использованием механизмов Больших данных. Поэтому проблема защиты баз данных, владения ими, доступа к данным вообще стоит особенно остро. Исторический пример – с того момента, когда в конце XIX века начала развиваться дактилоскопия, Интерпол стал вести базу данных отпечатков пальцев преступников. Во время Второй мировой войной Интерпол предоставил доступ к этой базе данных гестапо, которое активно использовало ее для охоты за противниками режима. Из-за этого Интерпол как международная полицейская организация утратил доверие государств и смог восстановить его только через 20 лет после окончания войны. Хотя, казалось бы, большую часть той базы данных составляли отпечатки пальцев уже умерших людей. Этот пример показывает, что сохранность баз данных, особенно содержащих персональные данные, – вопрос очень чувствительный.
ПЛАС: Тем не менее прогресс не остановить. В обществе есть запрос на перевод большинства операций в онлайн, поскольку массовому потребителю становятся доступны все более сложные технологии.
А. Курило: Действительно, до начала эры смартфонов такие технологии, как распознавание по отпечатку пальцев или радужной оболочке глаза, были очень дорогими, доступными по большей части только военным. Сегодня они у каждого второго буквально лежат в кармане. Люди все больше избалованы техническим прогрессом, они хотят, чтобы все происходило быстрее и проще. В этом смысле биометрия – хороший выход. И в тех случаях, когда нет критической необходимости обеспечивать высокую надежность аутентификации, она неплохо работает. Сегодня это модный тренд, тем более что научно-технический прогресс предложил бизнесу несколько более-менее приличных алгоритмов распознавания.
Другое дело, когда речь заходит о безопасности финансовых транзакций – тут у специалистов возникают споры и сомнения. Отдельно распознавание по голосу не дает хорошего процента распознавания, по радужке глаза – также. Попробовали совместить эти параметры – результат получился более-менее приличный, но неизвестно, достаточный ли. Работы идут. Будущее покажет.
ПЛАС: Получается, что с точки зрения надежности и безопасности к биометрии есть серьезные вопросы?
А. Курило: В принципе, биометрия – это обычная аутентификация, вместо ввода логина и пароля. Другое дело, что для уверенного использования этого метода идентификации клиента теми же банками требуется, чтобы надежность распознавания по биометрическим данным приближалась к 100%. При этом процесс не должен занимать много времени и казаться сложным. Очевидно, что если потребуется сканировать пальцы, ладонь, ухо, радужку, стопу, и на это нужно будет потратить полчаса, клиент просто развернется и уйдет.
В случае с биометрическими данными есть еще и проблема их актуализации – голос с возрастом меняется, лицо тоже. Все это надо где-то хранить, периодически актуализировать, шифровать, поддерживать каналы связи с этим хранилищем или хранилищами, если используется система распределенных реестров, шифровать эти каналы связи. И это гораздо более широкая и сложная задача, чем само биометрическое распознавание.
ПЛАС: Однако в России государство запустило и продолжает развивать Единую биометрическую систему – насколько в целом может быть эффективен этот проект, учитывая все вами сказанное?
А. Курило: При условии надежной работы этой системы она может стать универсальным средством идентификации – и не только в банковской системе. Но резко растут и требования к надежности хранения этих данных. Защите такой информации от утечки и неправомерного использования уделяется большое внимание. Что сделать, чтобы данные нельзя было украсть? Надо, например, разделить информацию на части, так, чтобы получение доступа к любой из них по отдельности было бессмысленно. А при необходимости все части информации должны быстро собраться вместе и потом снова рассыпаться, после проведения идентификации. Тут, конечно, возникает вопрос огромной конструкции, которая должна очень быстро работать с огромными массивами данных. При этом база будет расти, а вместе с ней и риски. Но здесь нам на помощь могут прийти новые технологии. Кто скажет, что будет изобретено в ближайшие пять-десять лет?
