Михаил Иванов, Росбанк
CNews: Какие основные тренды в банковской ИБ-индустрии вы бы отметили в 2019 году?
Михаил Иванов: Основной тренд наметился еще в прошлом году, он связан с регулированием сферы информационной безопасности. В последние два года существенно выросло количество нормативных актов в области ИБ и, соответственно, различных требований по ИБ. Был выпущен новый ГОСТ Р 57580.1-2017, появилась нормативная база по работе с Единой биометрической системой, внесены поправки в Положение Банка России 382-П, впервые утверждено требование к внешним аудитам ИБ. ЦБ продолжает выпускать положения, относящиеся к ИБ, а СТО БР ИББС, наоборот, стал окончательно неактуальным. По сути, произошло не только количественное, но и качественное изменение требований ИБ, в результате чего банки стали еще более зарегулированной отраслью.
CNews: Какие угрозы вышли на первый план?
Михаил Иванов: Для банков традиционно актуальны три типа угроз: прерывание бизнес-процессов (business interruption), утечка данных (data leakage) и прямая кража денег (transactional e-fraud). Все остальное — это вариации того, как эти угрозы могут реализовываться — из-за внутренних или внешних нарушителей, через технические уязвимости или организационные недоработки. В 2019 году клиенты многих крупных банков подверглись массированной атаке с использованием социальной инженерии. Злоумышленники успешно адаптировались и сумели придумать методы обхода существующих мер и технических средств противодействия мошенничеству. Детальный анализ атаки показывает, что в информационной безопасности появились новые вызовы, связанные с двусторонней аутентификацией «банк-клиент» и «клиент-банк», которые требуют разработки новых подходов.
CNews: Какие технологические решения, на ваш взгляд, помогают банкам оставаться защищенными?
Михаил Иванов: Прежде всего, это средства обеспечения сетевой безопасности, решения для сегментации сети, защиты периметра и противодействия фишинговым атакам. Под последними я подразумеваю все, что не дает злоумышленникам доставлять вредоносный код конечным пользователям: антивирусы, «песочницы», правильно настроенные прокси-серверы и так далее. И, конечно же, крупным банкам просто необходимы SIEM-системы и построенные на их основе центры мониторинга и реагирования на инциденты ИБ (Security Operation Center, SOC). Все сильнее набирают популярность средства защиты, использующие поведенческий анализ (SUBA/UBA).
Подчеркну, что эффективность решений определяется не только их надежностью, но и экономической целесообразностью, а также правильностью интеграции в ИБ-архитектуру банка.
CNews: Как вы считаете, можно ли вообще говорить о российском банковском секторе, как о защищенном? СМИ регулярно сообщаются об утечках персональных данных, новых схемах мошенничества.
Михаил Иванов: Безусловно, все зависит от конкретной организации и конкретного случая. Важно понимать, что абсолютной защиты не бывает. В условиях стремительного развития ИТ непрерывно появляются новые уязвимости, функция ИБ находится в «догоняющей» позиции. На мой взгляд, сегодня крайне важно найти новые, проактивные подходы к ИБ, позволяющие предсказывать вектор развития ИТ и заранее защищаться от будущих, неизвестных угроз. Это актуально не только для банков, но и для всей отрасли ИБ в целом. Также стоит отметить, что уровень защищенности зависит от самого слабого звена в цепи защиты. Если рассматривать утечки данных, то в подавляющем большинстве случаев они происходят не в банках, ответственно подходящих к вопросам защиты персональной информации, а на стороне подрядчиков, участвующих в обработке клиентских данных в рамках банковских процессов. Если же рассматривать мошеннические атаки с использованием социальной инженерии, то атакуют самое слабое звено — клиента, а не сам банк, который существенно больше защищен.
Для Росбанка защита клиентских данных и банковских систем — ключевой приоритет, мы уделяем данному вопросу самое пристальное внимание и всегда оперативно реагируем на возникающие внешние угрозы.
CNews: Как обеспечить информационную безопасность при M&A-сделках? На что вы ориентировались при присоединении банка «ДельтаКредит» к Росбанку?
Михаил Иванов: Эту задачу можно разделить на две части — организационную и техническую. Что касается первой, прежде всего, необходимо централизовать функцию безопасности. При этом важно обеспечить преемственность дел, сохранить текущие инициативы в области ИБ, сделать так, чтобы новая централизованная команда понимала особенности архитектуры, знала обо всех активах, возможных уязвимостях и критических точках инфраструктуры.
Что касается технической составляющей (если объединяются инфраструктуры), необходимо обеспечить выравнивание требований ИБ. Это нужно сделать для нивелирования фактора «самого слабого звена», взяв за основу более высокие требования и распространив их на новую, объединенную инфраструктуру с учетом принципов риск-ориентированности и экономической целесообразности.
Поскольку между банками группы Росбанк (после присоединения банка «ДельтаКредит» в группу входят Росбанк и Русфинанс Банк) существует глубокая синергия, мы смогли успешно и в короткие сроки реализовать обе задачи в рамках процесса присоединения.
CNews: Как банку удается балансировать между необходимостью выполнения требований регуляторов, поддержкой бизнес-процессов и реальной безопасностью в условиях постоянного увеличения требований к банкам в части ИБ со стороны ЦБ и появления закона о безопасности критической информационной инфраструктуры (КИИ)?
Михаил Иванов: Это действительно непростая задача для всех банков, особенно крупных, с большой распределенной инфраструктурой и собственными подразделениями, отвечающими за разработку и внедрение технологий. С одной стороны, постоянно увеличивается количество требований регуляторов, с другой — непрерывно растет запрос бизнес-подразделений (к которым, с определенной точки зрения, можно отнести и ИТ-службу) на качество сервиса, предоставляемого службой ИБ. Они требуют увеличения скорости протекания процессов и надежности защиты. Это — процесный вопрос, касающийся всех участников: бизнеса, ИТ и ИБ. Нужно по-настоящему погружаться в продукты и сервисы компании, придерживаться descriptive, а не prescriptive подхода, поэтому мне ближе BSIMM (framework DevSecOps), чем OpenSAMM в безопасной разработке.
На мой взгляд, сейчас происходит переосмысление роли ИБ в CI/CD (концепция непрерывной интеграции и доставки готового бизнес-продукта), и поэтому появляются satellite или security champions — разработчики, специалисты по тестированию, архитекторы, не являющиеся экспертами в ИБ, но заинтересованные в выпуске безопасного и качественного бизнес-продукта. При этом, конечно, требования законодательства для нас являются первоочередным фактором, что признается и ИТ, и бизнесом. Поэтому, в том числе для ускорения адаптации и применения требований ИБ, и используются новые программные платформы и автоматизация. Например, с помощью SGRC-технологии можно построить или обновить модель угроз, карту рисков, план по митигации практически сразу после обновления требований ИБ.
Да и в целом все большую значимость приобретают системы автоматизации и роботизации (SOAR, SGRC и т. д.) для обеспечения процессов информационной безопасности.
CNews: В целом нагрузка по части ИБ от ЦБ, на ваш взгляд, высока? Чрезмерно высока?
Михаил Иванов: Нагрузка действительно высокая, но не в плохом смысле этого слова — именно такой она и должна быть. ЦБ следит за ситуацией на вверенном ему участке, и мы хорошо видим, что в сферах, где по исторически сложившимся причинам нет отраслевого регулятора, вопросам информационной безопасности уделяется значительно меньше внимания, чем в банках. Поэтому — да, нагрузка высока, и информационная безопасность, как сервис, работает 24/7.
CNews: Во многих банках говорят о недостатке кадров для ИБ-департаментов. Росбанк столкнулся с этой проблемой?
Михаил Иванов: Кадровый голод в ИБ — тенденция всех последних лет. Наши особенности, — например, такие проекты, как присоединение банка «ДельтаКредит» в 2019 году, наличие собственной разработки, построение in-house SOC — требуют большого количества ИБ-специалистов, которых крайне сложно найти на рынке. Это серьезный вызов, с которым мы сталкиваемся каждый день. К ряду задач мы активно подключаем наших партнеров. Например, это касается вопросов, связанных со сложной, «умной» системной интеграцией. В этих случаях важно обратиться к партнеру, имеющему опыт и положительные референсы по внедрению необходимых решений. То же самое можно сказать о консалтинге. Являясь сторонниками получения независимой оценки наших усилий, мы регулярно проводим внешние аудиты. Узких специалистов, занимающихся операционной деятельностью по информационной безопасности, мы активно взращиваем внутри благодаря сбалансированным программам обучения.
CNews: Как вы считаете, банки могут конкурировать в наборе кадров в ИБ с интеграторами, вендорами и стартапами? Если да, то за счет чего?
Михаил Иванов: Всем нам непросто конкурировать друг с другом, ведь в каждом из представленных направлений деятельности есть компании, предлагающие достойные условия, в том числе молодым специалистам. Если говорить, например, об интеграторах, то они работают по проектной схеме: специалисты приходят в организацию, делают проект — он может быть коротким или очень длительным — но потом они уходят и приступают к следующему проекту. В банке же ты можешь профессионально расти и развиваться, постоянно внося свой вклад в построение системы безопасности. Здесь, конечно, многое зависит от характера соискателя, но это наше серьезное конкурентное преимущество — мы можем предложить ему долгосрочное развитие по выбранному им направлению. Фактически за несколько лет у нас можно стать уникальным специалистом с международным опытом, который дает взаимодействие с материнской структурой Societe Generale. Приходя на определенный участок или направление, сотрудник ИБ в Росбанке или Русфинанс Банке развивает это направление с участием коллег, после чего часто становится его основным владельцем. Поэтому в ИБ банка есть возможность сделать карьеру и получить навыки, которые не может предложить ни один вендор или интегратор.