Вячеслав
Яшкин

управляющий директор Ак Барс Банка
© ComNews
13.10.2021

Тема обеспечения информационной безопасности в финансовом секторе, к большому сожалению профильных специалистов, что называется, на слуху. Риск столкнуться с мошенничеством для клиентов, проявлениями киберпреступности или злоупотреблениями собственных сотрудников для учреждений сейчас велик, как никогда. Существенно увеличилась и цена всяческого рода сбоев в работе ИТ-инфраструктуры, когда даже минутный простой приводит к миллионным убыткам. Но при этом ресурсы, которые банки и финансовые компании могут выделить для противодействия тем, кто находится на темной стороне, весьма конечны.

О том, как работать в таких условиях, идет много разговоров на разных форумах. Не стал исключением и Международный форум Kazan Digital Week – 2021, который проходил 21–24 сентября текущего года, одним из организаторов которого выступил Ак Барс Банк. Тема кибербезопасности там также поднималась, причем не только в профильной секции. В рамках направления "Экосистема финтех" также прошла сессия, посвященная информационной безопасности, где автор этих строк - управляющий директор Ак Барс Банка Вячеслав Яшкин был одним из модераторов.

Автоматизация и интеграция

На разных форумах, так или иначе связанных с темой информационной безопасности, уже не первый год говорят о том, что в условиях дефицита кадров необходимо использовать средства автоматизации. Например, для поиска незакрытых уязвимостей. Данная задача крайне актуальна, в том числе и для нашего банка. Поиск и устранение потенциальных прорех в защите – весомая часть нашей работы. На нашей секции своим богатым опытом поделился основатель ScanFactory Владимир Иванов. По его мнению, перед ИБ-службами стоит задача выявлять не только уязвимости ИТ-инфраструктуры и web-приложений, но и "слабые" пароли сотрудников или утечки учетных записей сторонних ресурсов, причем в условиях, когда инфраструктура меняется буквально каждый день. При использовании традиционной модели эта задача нерешаема в принципе.

Выходом является использование автоматизированных инструментов, один из которых и предлагает ScanFactory. В ней сочетается система роботизации, использование которой ускоряет процесс на порядок, и 15 сканеров безопасности. Главным достоинством такой роботизированной платформы является то, что средства автоматизации позволяют строить цепочки уязвимостей, комбинируя работу разных сканеров, что раньше могли делать только люди. По результатам формируется единый отчет. Однако такую систему нельзя считать панацеей. От фишинга или использования манипулятивных технологий данный инструмент не спасет, равно как и от атак изнутри, на которые, по данным целого ряда исследований, приходится до 90% всех инцидентов в финансовом секторе. Также, как показывает и опыт Ак Барс Банка, отчеты, которые формируют сканеры уязвимостей, понятны только специалистам, и чтобы их правильно интерпретировать, нужен квалифицированный специалист, собственный или сотрудник аутсорсинговой компании. Но в случае аутсорсинга нужно выработать соглашение об уровне сервиса и добиваться от оператора его исполнения, а с этим, как показывает наш, да и не только наш опыт, все очень непросто.

Генеральный директор "Пазл Системс" Альберт Баязитов напомнил о том, что количество систем, которые установлены в компаниях, за последние пять лет как минимум утроилось. Остро встала задача внести в них все действующие в компании правила и политики. При этом нужно идти дальше, создавая своего рода интеграционную шину, которая объединила бы все решения и системы, чтобы все они могли обмениваться данными, в том числе об угрозах. Так появится твердая почва для построения плодотворного сотрудничества бизнеса и ИБ, которое должно заменить конфронтацию, которая часто имеет место. И наш опыт показывает, что нужно не противостоять бизнесу, а играть на его стороне. ИБ не должно быть диктатором и ограничителем свободы. Именно такой подход мы используем в наших проектах с 2014 года.

На развилке трех дорог

По мнению ИО руководителя Центра информационной безопасности Университета Иннополис Александра Комара, существует как минимум три подхода к обеспечению информационной безопасности в компаниях. В одном случае ставка делается на так называемую "бумажную безопасность" – комплексе мер, который обеспечивал бы формальное соблюдение требований регуляторов, при этом приоритет отдается созданию комплекта документации, внедрение разного рода защитных систем производится в минимальном объеме. Кто-то делает ставку на внедрение технических средств. Есть и такие, кто считает приоритетной развитие программ повышения осведомленности, поскольку главным вектором атаки злоумышленников являются фишинг и использование методов социальной инженерии, против которых практически любые технические средства малоэффективны. И в целом уровень квалификации средних пользователей в области безопасности очень низок.

Но ИБ – это комплекс мер, где важно все. Все же, как отметил бизнес-партнер по безопасности "Тинькофф Банка" Никита Мохнаткин, работать с людьми надо больше, чем с техническими средствами. Безопасность связана с большим количеством компромиссов, и для повышения уровня защищенности приходится чем-то жертвовать, в частности, удобством, на что далеко не все готовы идти. При этом внедрение технических средств может еще более снизить удобство без повышения реальной защищенности. А "слабым звеном" оказывается какой-нибудь сотрудник технической поддержки, который поддался манипуляциям с помощью социальной инженерии и предоставил злоумышленнику удаленный доступ. В целом в неподготовленной компании на методы социальной инженерии поддаются до 40% персонала. И такого рода инциденты имели место в реальной жизни. Причем технические средства, призванные защитить от такого рода атак, дают большое количество ложных срабатываний, в итоге происходит замедление бизнес-процессов. Помогают только регулярные тренинги, несмотря на их дороговизну и трудоемкость.

Еще более радикально настроен директор департамента операционных рисков и информационной безопасности "Московской биржи" Сергей Демидов. По его оценке, те, кто работает в сфере кибербезопасности, перестали успевать за требованиями бизнеса. Еще два года назад мало кто знал про платформы-акселераторы, а сейчас они стали мейнстримом. Активизировалось и использование облачных сервисов. Иначе традиционным банкам и биржам невозможно конкурировать с финтех-компаниями. И конкуренция будет еще больше подстегивать бизнес, и темпы роста изменений будут только нарастать. В таких условиях роль руководителя ИБ-службы (CISO) будет сводиться к роли консультанта, а все функции ИБ-подразделения будут сосредоточены в больших облачных экосистемах вроде Google, AWS, Ростелеком или Яндекс. И некоторые уже сейчас активно двигаются в этом направлении. Это будет фазовым переходом в новое состояние ИТ и ИБ, и данный процесс будет идти ближайшие годы, причем тот, кто сделает это первым, получит большое конкурентное преимущество. По моему мнению, однако, как и в случае аутсорсинга, будут сложности с соблюдением соглашений об уровне сервиса. Большой вопрос – обеспечение непрерывности бизнес-процессов, хотя, как показывает практика, начинают появляться различные лайфхаки. Например, у Uber за каждый микросервис отвечает минимум двое, которые находятся в разных полушариях, чтобы обеспечивать работу в режиме 24/7.

В таких условиях, по мнению Сергея Демидова, вкладываться в новые локальные средства защиты уже поздно. Информационную культуру в таких условиях, безусловно, нужно повышать. Но абсолютным приоритетом должна стать безопасная разработка.

По оценке менеджера по методологии информационной безопасности Дирекции по безопасности "Группы М.Видео.Эльдорадо" Павла Рудакова, в крупных и большинстве средних компаний уже эксплуатируется более-менее полный набор технических средств защиты. Но при этом уровень знаний среднего пользователя о нормах цифровой гигиены остается ниже, чем того требует сложившаяся обстановка. И эту явную дыру надо закрывать.

Архитектор систем безопасности Check Point Software Technologies Антон Разумов обратил внимание на то, что знания о политиках безопасности, которые доводят до сотрудников в обязательном порядке, даже если работник добросовестно с ними ознакомился, со временем уходят или теряют актуальность. Поэтому, в любом случае, их необходимо со временем обновлять. Например, нужно не просто блокировать те или иные ресурсы, а доводить до людей информацию о том, что можно и что нельзя оставлять на тех или иных ресурсах, например, в соцсетях, при обращении к ним. Для этого нужно просто изменить уведомление в системах. Политики должны быть гибче. Например, доступ к социальным сетям или видеохостингам нужно не наглухо блокировать, а требовать обоснования для того, зачем это нужно. Бизнес-процессы компании не должен останавливаться из-за того, что кто-то не смог вовремя посмотреть обучающий ролик.

Как показывает реальная практика, такие меры будет эффективнее, чем полностью перекрывать доступ. Пользователи, что подтверждается, ведут себя куда осмотрительнее. То же самое с потенциально опасными вложениями. Если пользователь не может объяснить, зачем ему нужен прикрепленный документ в письме от неизвестного отправителя, то в следующий раз он просто не будет открывать такие письма. И в осуществлении этих мер будут помогать технические средства, которые просто нужно соответствующим образом настроить. Но при этом нельзя полагаться ни на одну только технику, как и на одни только меры по обеспечению осведомленности. Как подчеркнул Антон Разумов, в ходе киберучений практически всегда оказывается, что те, кого считали вполне надежными, переходили по потенциально опасным ссылкам. Причем, как подчеркнул Сергей Демидов, доля тех, кто открывал фишинговые сообщения достигает 50%, причем пользователи не обращают внимания на грубые ошибки. Это показали недавно проведенные киберучения.

По оценке Альберта Баязитова, перед ИБ стоит задача встроить меры поддержания цифровой гигиены в режим повседневной работы. Того требуют современные условия, когда значительная часть сотрудников, до 40%, работает удаленно и, соответственно, сетевой периметр исчез. И рассчитывать на то, что все сотрудники вернутся в офисы, нельзя. Удаленный режим позволяет существенно снизить затраты. Не менее остро стоить проблема внедрения методологий безопасной разработки, причем интегрированная безопасность должна стать приоритетом, возможно, в ущерб удобству использования. Но не стоит забывать и о технических средствах. К примеру, правильно выстроенная система назначения прав пользователей позволит полностью исключить инциденты, когда оператор службы техподдержки открыл удаленный доступ злоумышленнику. Впрочем, в ходе обсуждения предлагались и другие варианты, например, внедрить систему многофакторной аутентификации с использованием аппаратных токенов, или вообще заменить операторов-людей на голосовых роботов.

И, по моему мнению, сотрудники должны вырабатывать полезные привычки по части цифровой гигиены и поддержания норм информационной безопасности в процессе работы. Причем, в идеале, эти нормы должны быть доведены до уровня инстинктов, только так можно добиться их неукоснительного соблюдения. Но задача эта сложна, причем ее решение намного сложнее, чем кажется на первый взгляд. Ведь нужно обеспечить не только процесс обучения, но и постоянного контроля соблюдения всех этих норм. Оптимально если процесс будет встроен во все системы, что называется, by design. Не менее важен и вопрос ответственности в том случае, если инцидент произошел. Хотя этот вопрос также, как показало обсуждение на форуме, не имеет однозначного универсального ответа. Где-то это сотрудник, где-то владелец бизнес-процесса или продукта, где-то разработчик, возможно, и на службе информационной безопасности.

Дополнительно Ак Барс Банк постоянно развивает тему технических средств защиты, собственную разработку антифрод системы, биометрическую систему Face2, платформу управления рисками информационной безопасности, которые стоят на страже, помогают развивать компетенции сотрудников и автоматизировать процессы.

Также необходимо просвещать не только сотрудников, но и клиентов, что является частью большой работы в направлении устойчивого развития. "Не оставляйте личные данные и фотографии в облаке в открытом виде. Достаточно создать запароленный архив, что позволяет сделать любая программа для архивации. Можно также использовать домашнее хранилище NAS, имеющее доступ к интернету через шифрованный канал и систему защиты от атак извне. Это означает, что система блокирует нарушителя, если он пытается подобрать пароль и информирует вас, с какого IP-адреса это произошло" – такие рекомендации, например, мы в Ак Барс Банке даем своим клиентам и сотрудникам. Также мы рекомендуем использовать средства проверки входящих звонков, которые реально помогают защититься от телефонных мошенничеств. Но все же задача просвещения клиентов и помощи им современными техническими средствами куда более сложна и многогранна, чем обучение собственных сотрудников.