Безопасность – это сочетание осведомленности персонала и готовности к оперативному выявлению угроз

13 февраля 2020 16:34

Два эксперта – заместитель начальника Управления информационной безопасности ПАО «Московский Индустриальный банк» (ПАО «МИнБанк») Александр Шмелев и начальник Отдела защиты пластиковых карт ПАО «Московский Индустриальный банк» (ПАО «МИнБанк») Олег Тарасов в интервью журналу «Банковские технологии» ответили на ряд вопросов, раскрывающих их понимание основных тенденций ИБ банковской отрасли, перспективных технологий развития. Эксперты также обозначили, каких законодательных и регуляторных инициатив ожидает банковское сообщество в наступившем году.

«Банковские технологии»: Ситуация в сфере кибербезопасности банковской отрасли остается неизменной или претерпевает существенные изменения, как бы вы ее охарактеризовали на начало 2020 года? О каких текущих трендах можно говорить в наступившем году?

Александр Шмелев: Ситуация в сфере информационной безопасности постоянно меняется – некоторые тенденции прошлых лет, конечно, сохраняются, но регулярно появляются новые.

На рынке кибербезопасности мы наблюдаем стабильный рост, темпы которого сопоставимы с аналогичными рынкам Digital и IT. Всё больше руководителей осознают важность информационной защиты и готовы вкладывать деньги в её обеспечение. В исследовании Positive Technologies приводятся данные о росте на 20% бюджетов на ИБ в 2019 году. Эта динамика сохранится, рынок будет расти. Уже сейчас 5% российских компаний планируют увеличение бюджета по этим статьям. Вероятно, что окончательная цифра будет существенно больше. По прогнозам экспертов, к 2025 году глобальный рынок программного обеспечения для ИБ достигнет 300,32 млрд долларов США (в 2017 году этот показатель составлял 139,67 млрд долларов США).

Сейчас большинство банков готовы к эффективному предотвращению масштабных атак, поэтому хакеры сосредоточились на менее защищенных отраслях, например, госсекторе. При сокращении общего числа атак на финансовые организации количество прямых целевых атак остается на прежнем уровне.

Олег Тарасов: Эксперты отмечают рост числа преступлений, связанных с бесконтактными платежами. Обычно речь идет о транзакциях ниже лимитов CVM (Cardholder verification method), когда клиенту не требуется вводить PIN-код для подтверждения операции. Также быстрое развитие систем бесконтактной оплаты и онлайн-банкинга повышает риск мошеннических операций, так как увеличивается количество лиц с правом доступа к той или иной информации о клиентах.

В 2020 году злоумышленники продолжат совершенствовать методы кибератак. Фейковые и вредоносные программы в официальных магазинах приложений, уязвимости, связанные с работой RDS (Remote Desktop Services) и RDP (Remote Desktop Protocol), атаки на умные устройства – одни из ключевых вызовов, с которыми придется столкнуться специалистам по информационной безопасности. Ландшафт киберугроз постоянно меняется, преступники находят все более хитроумные способы обхода систем безопасности банка. Следующий год, к сожалению, не станет исключением.

«Б. Т.»: Такие технологии, как блокчейн, VR, ИИ, роботы, которые считаются достаточно новыми, имеют определенные шансы на использование в киберзащите банков. Что вы об этом думаете?

А.Ш.: Технологии имеют высокий потенциал внедрения в нашей сфере деятельности, сложно выделить какое-то одно решение. Например, уже сейчас в целях обеспечения безопасности банками используется инновационная технология распознавания лиц (биометрия), разрабатывается программное обеспечение для служб ИБ с элементами искусственного интеллекта. Блокчейн обеспечивает прозрачность и открытость проводимых транзакций.

Указанные технологии обладают колоссальным потенциалом, но необходимо помнить, что они могут нанести серьезный вред. Это и кибератаки с использованием ИИ, и угрозы взлома роботов, и многие другие примеры. Поэтому специалистам важно правильно оценивать не только выгоды от внедрения инноваций, но и возможные негативные последствия.

Есть и другие риски от внедрения современных технологий в системы безопасности банков. Зачастую организации не хватает кадровых или инфраструктурных ресурсов для использования цифровых решений. Так, например, 34% сотрудников не желают осваивать технологии ИИ или приобретать новые навыки. При этом компании ощущают серьезную нехватку кадров, имеющих достаточный уровень компетенций в сфере информационной безопасности. Помимо этого, сохраняется вопрос окупаемости затрат при внедрении инновационных инструментов, не решены многие вопросы правового регулирования использования технологий.

«Б. Т.»: А каких законодательных и регуляторных инициатив и последствий от их принятия вы ожидаете в 2020 году?

О.Т.: Мы ожидаем решительных действий – не только со стороны регуляторов в лице Банка России и Федеральной службы безопасности, но и Национальной системы платежных карт (НСПК), компаний MasterCard и Visa – по целому ряду вопросов регламентирующего порядка, в том числе помогающих противодействовать новым подходам в социальной инженерии.

А.Ш.: Запуск системы обмена данными между кредитными организациями, Банком России и Росфинмониторингом информации о неблагонадежных клиентах стал важным шагом в борьбе с социальной инженерией, который, как мы прогнозируем, в этом году начнет приносить ощутимые результаты.

Также эксперты предлагают расширить перечень статей Уголовного кодекса, предусматривающих наказание за правонарушения в сфере информационных технологий и защиты информации.

В настоящее время большой проблемой является отсутствие регламентов и нормативных актов по использованию технологий, в том числе и в сфере безопасности, на законодательном уровне (искусственный интеллект, блокчейн, открытые API, биометрия). В целом, я считаю, начинать нужно с анализа международного опыта. При этом не обязательно ориентироваться только на опыт американских или западноевропейских коллег. Например, интересные кейсы в этой сфере реализованы на территории Белоруссии. Но здесь важно соблюсти баланс. Поскольку любое законодательное ограничение способно привести к снижению потенциала от использования технологий.

В этой связи интересен опыт Израиля, где в 2010 году профессором Ицхаком Бен-Исраэлем был сформулирован подход к кибербезопасности. Ученый выступал за построение киберэкосистемы, доктринальный подход тогда не возобладал. Причиной такого выбора явилось осознание того, что технологии постоянно развиваются и государство не в состоянии адаптироваться достаточно быстро, поэтому разумно объединить всех участников рынка.

«Б. Т.»: Какова, на ваш взгляд, наиболее эффективная практика борьбы с социальной инженерией?

А.Ш.: Полагаю, что единственным эффективным способом защиты от киберпреступников остается регулярное обучение персонала. Но и обучение не является панацеей, так как любой человек может допустить ошибку, если он утомлен или перегружен работой. К тому же людям становится все труднее обнаружить угрозу в условиях применения преступниками современных технологических устройств. Поэтому основная часть таких тренингов должна быть направлена на повышение осведомленности о методах злоумышленников.

Но настоящая безопасность возможна лишь в сочетании осведомленности персонала и готовности к оперативному выявлению угроз. Исследования в значительной степени подтверждают эту точку зрения. Так, например, компания Computer Services, Inc. (CSI) в своем отчете приводит такие данные – 8 из 10 респондентов будут использовать обучение для борьбы с социальной инженерией, а 7 из 10 в своей работе планируют проводить тестирование на проникновение (penetration testing) и на регулярной основе анализировать риски.

«Б. Т.»: Давайте вернемся к вопросу о технологиях. Какие инновационные способы обеспечения информационной безопасности являются перспективными, по вашему мнению?

О.Т.: В настоящее время рано судить об эффективности для ИБ тех или иных технологических решений, необходимо наработать опыт использования этих инструментов. Перспективные направления, которые мы выделяем сейчас, это искусственный интеллект, машинное обучение, блокчейн и смарт-контракты, большие данные, открытые API.

«Б. Т.»: Каковы угрозы открытому API и наиболее действенные методы обеспечения безопасности в открытых API?

А.Ш.: Внедрение Open API стало одним из самых значимых событий для финансовой отрасли и будет способствовать появлению на рынке новых банковских продуктов. Кредитные организации открытие API-интерфейсов больше не воспринимают как навязанное регулятором требование, для них это новая возможность для внедрения инноваций и конкурирования с другими игроками.

Но не нужно забывать о безопасности, так как доверие к финансовой отрасли является важным элементом, который необходимо поддерживать. Ключевым моментом внедрения Open API должна стать скоординированная совместная деятельность правительства и регулирующих органов по созданию целостной нормативной системы для обмена данными. Сейчас передача данных все еще находится в нерегулируемом пространстве и не покрывается какой-либо защитой. В российской концепции внедрения Open API вопросам информационной безопасности посвящен целый раздел, где, в частности, говорится о выпуске стандарта с требованиями по защите передаваемой информации.

Open API помогают построить цифровую экосистему вокруг банка и партнеров, причем последние часто не имеют достаточных ресурсов для обеспечения безопасности, что создает дополнительные риски для кредитных организаций.

«Б. Т.»: Каковы должны быть метрики информационной безопасности, чтобы показать эффективность работы CISO бизнесу?

А.Ш.: Известно, что безопасность и бизнес пока говорят на разных языках. Понятные топ-менеджменту банка метрики ИБ являются тем фактором, который позволяет обеим сторонам понять друг друга и прийти к консенсусу. Ключевая проблема как раз и заключается в поиске и представлении метрик.

Службами ИБ основное внимание уделяется техническим показателям, большинство из которых представлены в недоступных для понимая бизнес-лидерам форматах. Хорошие метрики должны быть привязаны к финансовым показателям, эффективность демонстрироваться с течением времени, а также представлена возможность проследить тренды применительно к бизнесу.

Я думаю, что именно сотрудникам ИБ необходимо научиться понимать бизнес, уметь четко формулировать необходимость применения тех или иных мер безопасности с точки зрения миссии и целей бизнеса.

«Б. Т.»: Что вы понимаете под киберкультурой? Каким элементам при ее формировании необходимо уделить первичное внимание?

А.Ш.: В моем понимании, культура кибербезопасности – это прежде всего культура рабочего места, в которой каждый сотрудник осведомлен о поведении в области безопасности. К сожалению, многие организации не имеют даже намеченного плана или политики по формированию такой культуры. Но, как говорил американский экономист Питер Друкер: культура съедает стратегию на завтрак (culture eats strategy for breakfast).

В процессе формирования киберкультуры центральное место отводится обучению безопасности всех сотрудников, а также участию руководства в разработке политики безопасности. Не нужно пренебрегать и опытом коллег по отрасли, например, можно изучить кейсы лауреатов премии Национальной ассоциации государственных служащих по вопросам информации (НАСИО).

Создание здоровой киберкультуры внутри каждой организации – это не разовый проект на 1-2 года. Это задача, которая всегда будет стоять перед организацией и требовать индивидуальных решений при любых изменениях внутри компании.

Беседовал Андрей Табашников

Журнал «Банковские технологии», №1, 2020.



© 2020 БАНКОВСКИЕ ТЕХНОЛОГИИ
Первое издание на российском рынке, посвященное информационным технологиям для банков.
Москва, Проспект Мира, д.3, корп. 1
+7 (495) 120-81-42
[email protected]

Свидетельство СМИ ФС77-39103 от 11 марта 2010 года.
По вопросам сайта просим обращаться к администрации сайта: [email protected].
При использовании материалов необходимо давать ссылку на www.banktech.ru.