722
Кибербезопасность в России и в «Мире». Что стоит за «пятью девятками»?
ПЛАС: Какие актуальные направления противодействия киберкриминалу в банковской сфере вы можете сегодня выделить?
А. Гутник: Я выделил бы здесь два направления: атаки, нацеленные непосредственно на организацию, на учреждение, на банк, и атаки, направленные на клиента банка.
Если говорить про атаки на банки, к сожалению, то, что мы сегодня видим, соответствует общемировым трендам. Выделю три основных киберриска при атаке на банковский ИТ-периметр. На текущий момент угроза номер один — это криптовымогатели, использующие вирусы- шифровальщики. Злоумышленники с помощью тех или иных приемов внедряют в программное обеспечение компании или банка вирусный код, который, в свою очередь, шифрует различные элементы инфраструктуры, базы данных и т. п. Для восстановления полноценной работы ИТ-систем есть два варианта. Первый — заплатить вымогателям огромную сумму в криптовалюте, чтобы они расшифровали поврежденные данные, после чего компания или банк смогли бы продолжить свою деятельность. Помимо дороговизны он также отличается серьезным риском быть обманутыми преступниками. Другой вариант — попытаться каким-либо образом восстановить утерянные данные из бэкапов, которые были ранее созданы. В любом случае придется столкнуться с потерей огромного количества финансовых и интеллектуальных ресурсов, которые необходимо потратить либо на выкуп, либо на восстановление работы программного обеспечения и необходимой для деятельности компании актуальной базы данных.
Второй тип атак связан с тем, что злоумышленники могут находить уязвимости и «дыры» в программном обеспечении банков. Благодаря им они могут проникнуть либо в инфраструктуру банка, либо каким-то образом повлиять на легитимность транзакций, например, получить доступ к системам ДБО и к критичным данным клиентов банка.
Ну и, наконец, третий тренд, который начал явно выделяться на фоне других с августа 2021 года, — мощные массовые DDOS-атаки на финтех- сектор России в целом, которые ощутили на себе многие организации. Информация о такого рода атаках активно циркулирует в инфопространстве. Аналогичные масштабные DDOS-атаки мы испытывали и на структуре НСПК. Например, мы зафиксировали на себе атаку, которая длилась около 9 часов — для сравнения, продолжительность аналогичных атак на других участников рынка в большинстве случаев исчислялась минутами. При этом мы эти 9 часов не просто противостояли атаке — все наши системы функционировали штатно, и пользователи не ощутили каких-либо неудобств. Возвращаясь к данному инциденту, необходимо подчеркнуть, что мы имеем дело с реальным негативным трендом. В то же время в целом мы видим снижение активности киберпреступников по кредитно- финансовому сектору России, хотя атаки продолжаются, пусть и в меньшем объеме.
Если же говорить про атаки, направленные на клиентов банков, то в первую очередь это так называемая социнженерия. К сожалению, ничего не меняется: самое слабое звено — это люди. И целые мошеннические группировки как раз нацелены на использование социальной инженерии, вводя в заблуждение клиентов из числа физлиц и за счет этого получая доступ к их аккаунтам в системах ДБО либо вынуждая их самостоятельно переводить собственные средства на счета злоумышленников под предлогом якобы грозящей счету опасности, возможности значительно увеличить имеющиеся средства и т. п. Успешным атакам на клиентов способствуют и всевозможные уязвимости в ДБО клиентов банков. Такие вещи, к сожалению, по-прежнему встречаются.
Мы видим, что банки сегодня уделяют много внимания вопросам безопасности и активно работают над предотвращением вышеперечисленных угроз.
ПЛАС: Какую роль и какое место вы отводите НСПК как оператору ПС «Мир» в этом процессе?
А. Гутник: Конечно, мы не стоим в стороне. Если говорить про те же DDOS-атаки, то мы активно помогаем участникам рынка справиться с ними, если им требуется наша помощь. У нас разработаны весьма жесткие требования к участникам ПС «Мир» в части организации работ по противодействию киберугрозам, четкое выполнение которых позволяет защитить себя от этих рисков.
Если говорить про конкретные уязвимости в ДБО, то все они носят единичный характер.
ПЛАС: Какие стратегические задачи стоят перед управлением безопасностью НСПК? И как оно изменилось под влиянием внешних факторов?
А. Гутник: Самая главная наша задача — это возможность противостоять современным угрозам. Очень важно выделять для себя наиболее важные риски и в полной мере активно им противодействовать. По сути, первая задача является сугубо технологической и сводится к возможности находить лучшие решения из имеющихся и оперативно внедрять их, чтобы противодействие действительно носило превентивный характер. Так, у нас создана собственная лаборатория кибербезопасности. Это некий полигон, «песочница», в которой мы очень быстро можем развертывать различные современные решения в области кибербезопасности, тестировать их, сравнивать, проводить какие-то синтетические атаки, для того чтобы понять, насколько эффективно работает наша система защиты.
Второе, не менее важное направление, это Threat Intelligence (TI) — знания об угрозах, полученные в результате анализа и интерпретации данных. Иными словами, фактически TI является сервисом информирования об угрозах и предназначен для оперативного реагирования на инциденты и их эффективного расследования. Речь идет как раз об анализе практически всего глобального инфопотока, для того чтобы осуществлять выявление наиболее существенных интеллектуальных угроз и далее проецировать их «на себя» с целью понимания — актуальны они для нас, нашей инфраструктуры, или нет. И, соответственно, в случае признания актуальными возникает понимание необходимости бороться с ними.
Третье направление — это люди. Сейчас в сфере кибербезопасности очень мало высококвалифицированных специалистов. За них идет жесткая борьба на рынке. Соответственно, мы со своей стороны ищем лучшие кадры либо воспитываем их у себя.
ПЛАС: Какие технологические подходы и решения использует НСПК с целью обеспечения кибербезопасности?
А. Гутник: Существует большое количество вендоров, готовых предложить нам то или иное рабочее решение под ключ. Но в целом мы идем по пути собственной разработки. У нас масштабная R&D-команда, благодаря которой большинство решений, которые мы используем на текущий момент, являются нашими собственными разработками. Если говорить про ПС «Мир» — мы достаточно давно разрабатываем различные нефинансовые сервисы для участников национальной платежной системы «Мир», как и в целом для кредитно- финансовых организаций в России. Например, мы разработали и используем усиленный протокол аутентификации MirAccept 2.0, который сейчас активно внедряем на платежном рынке России. Он позволяет на порядок снизить риски для банков и для их клиентов, выявив нелегитимную операцию превентивно, еще до момента совершения. Также в рамках платежной системы «Мир» выделю разработанный нами Сервис принятия решений (СПР). Он дает возможность подключенным к нему банкам оперативно понять, насколько безопасна та или иная операция электронной коммерции. И если мы определим, что операция безопасна, банк может провести ее, даже не запрашивая SMS-подтверждения у клиента. Это позволяет банку не только экономить на рассылке SMS-уведомлений, но и повысить конверсию в сегменте интернет- платежей.
ПЛАС: Вы разработали два сервиса — CryptoMIR и CryptoMIR СБП. В чем заключается их актуальность для рынка?
А. Гутник: Ни для кого не секрет, что в платежной индустрии используется очень много самых различных криптографических решений, в том числе они применяются на различных этапах взаимодействия между участниками и оператором платежной системы «Мир». Различные криптографические ключи используются при проведении всевозможных платежей, а также в системе электронного документооборота. Все это обуславливает чрезмерно высокую операционную нагрузку на банки, включая необходимость выявления и исправления ошибок в уже выпущенных сертификатах, их оперативное обновление, ошибки, связанные с человеческим фактором, и т. п. Для того чтобы позволить банку избежать этих проблем и сэкономить на операционных расходах, мы разработали два сервиса: один для ПС «Мир», который получил название CryptoMIR, и CryptoMIR СБП для Системы быстрых платежей соответственно. Это веб-сервисы для банков, которые позволяют в автоматизированном режиме с удобным интерфейсом как выпускать новые сертификаты, так и отслеживать их срок действия. Иными словами, если система замечает, что сертификат скоро перестанет работать, в банк будут направлены соответствующие уведомления о том, что сертификат необходимо перевыпустить. И банк с помощью тех же сервисов сможет перевыпустить его практически моментально, без вынужденной приостановки тех или иных операционных процессов.
Наша задача в отношении кибербезопасности НСПК заключается в том, чтобы обеспечивать те самые «пять девяток» киберустойчивости нашей инфраструктуры, чтобы компания могла работать бесперебойно. Второй момент — все операции, которые совершают наши клиенты из числа банков, а также клиенты этих банков, должны быть максимально безопасны.
С этой целью у нас создан свой собственный центр реагирования на киберугрозы — SOC (Security Operations Center), который работает в режиме 24 7 365. В SOC у нас задействована большая команда специалистов, которые обеспечивают три линии защиты. Их стратегическая задача — моментально понимать те угрозы, которые перед нами появляются, и превентивно на них реагировать. Наша команда SOC — это высококвалифицированные специалисты, которые делают все для того, чтобы наша компания бесперебойно и максимально безопасно функционировала.
ПЛАС: Как в целом выглядит сегодня периметр ИТ-безопасности в НСПК?
А. Гутник: Компания НСПК — это механизм с очень сложным ИТ-ландшафтом. У нас огромное количество ЦОДов, а также систем, которые в этих дата-центрах работают. И одна из задач обеспечения кибербезопасности — перманентно мониторить и анализировать всю возможную информацию из каждого ЦОДа, из каждой системы для того, чтобы своевременно выявлять атаку на самой ранней ее стадии. У нас есть Security Data Lake — разработанная нами система на базе opensource- решений — озеро данных, куда сливаются информационные потоки из нашего огромного и сложного ИТ-ландшафта. Такой подход дает нам в моменте понимание, что именно происходит внутри нашего ИТ-ландшафта.
Дополнительно мы запустили масштабную платформу управления уязвимостями. Эта система позволяет нам понимать те актуальные угрозы информационной, кибербезопасности, которые фиксируются во всем мире.
ПЛАС: Как обеспечена безопасность платежной системы «Мир»? Есть ли здесь какие-либо принципиальные отличия от международных платежных систем?
А. Гутник: Стоит выделить два направления защиты. Первое — это технологии платежной системы «Мир», которые мы используем. Второе — это банковская экосистема, в которую входят банки — участники ПС. Если говорить о технологии, наша система является достаточно молодой в сравнении с системами зарубежных коллег. Это дает нам возможность использовать самые передовые современные решения. В отличие от других платежных систем у нас нет необходимости поддерживать унаследованные со временем механизмы. И, что самое важное, в момент проектирования и построения нашей платежной системы «Мир» сразу закладывались механизмы безопасности с учетом самых современных угроз.
Для обеспечения безопасности национальной платежной системы нами активно применяются стандарты безопасности международной индустрии платежных карт. Кроме того, мы сами участвуем в разработке и совершенствовании этих стандартов, включая стандарты PCI, чтобы в их развитии учитывались особенности российского рынка и платежной системы «Мир». В целом такие подходы позволяют обеспечить ИБ во всей платежной системе на каждом уровне. Поэтому держатели карт «Мир» могут быть уверены, расплачиваясь в любой торгово-сервисной точке, что их платеж будет проведен максимально безопасно, а данные клиента — надежно защищены.
ПЛАС: Какие перед НСПК и платежной системой «Мир» стоят планы по дальнейшему развитию мер безопасности?
А. Гутник: В первую очередь, как я уже говорил, это дальнейшее повышение качества анализа тех актуальных угроз, которые существуют в мире. И, соответственно, выстраивание современных систем превентивного ответа на всевозможные угрозы.
С точки зрения технологий мы нацелены на постоянное их совершенствование. Перед нами стоят задачи намного шире, чем перед любым банком. Мы должны создавать и задавать тренды в этой области, помогая участникам системы правильно выстраивать стратегические подходы к обеспечению безопасности.
Также в наших планах — внедрение риск-ориентированного подхода в определении угроз информационной безопасности. Мы как оператор платежной системы «Мир» разрабатываем требования по управлению рисками по инфобезопасности для участников ПС, то есть для банков. И после того как подходы и требования будут утверждены, мы со своей стороны будем контролировать их выполнение со стороны банков.
