Вход Регистрация
Подписка

ИБ в банках: с оглядкой на регуляторов

03.07.2017

29 июня 2017 года в Москве журнал «Банковское обозрение» провел II практическую конференцию «Информационная безопасность в финансах: регулирование, экспертиза, кейсы». Партнером мероприятия стала компания SearchInform

 

Модератором конференции выступил Эльман Мехтиев, исполнительный вице-президент Ассоциации российских банков (АРБ). Ему удалось быстро погрузить собравшихся в атмосферу дискуссии, напомнив, что мир ИБ, с одной стороны, всегда славился тем, что, будучи вершиной Hi-Tech, притягивал к себе, как магнит, таких гениев, как Евгений Касперский или Джон Ма́кафи. А с другой стороны, в век тотального проникновения интернета, сотовой связи во все слои населения, возможность легкого незаконного обогащения стала лакомым куском для мошенников всех мастей.

К сожалению, банки, выводя свои бизнес-процессы в Интернет вплоть до полного отказа от собственной физической инфраструктуры, обгоняя при этом регуляторов, сталкиваются с инфраструктурными проблемами. Что греха таить, в час «X» (вирусы «Петя», «Ваня» и т.д.) кредитные учреждения вынуждены обращаться за экстренной помощью к коллегам по цеху: нет в каждом банке Касперского! Почему? Сила «темной стороны» заключается, в том, что все «легальные» (описанные политикой безопасности компании) бизнес-процессы можно, например, подделать. Легко и просто! Как? И какова должна быть в этой ситуации роль регуляторов? Об этом и было предложено подискутировать экспертам.

SIEM и DLP: не вместо, а вместе

В первой секции конференции под названием «Регулирование и новые/старые проблемы и вызовы» выступили Андрей Бухтияров, главный архитектор и разработчик ЧатБанк от Совкомбанка, Евгений Ким, старший менеджер отдела по управлению информационными технологиями и IT-рисками компании Ernst & Young (EY), Алексей Голенищев, директор дирекции мониторинга электронного бизнеса Альфа-Банка, Сергей Демидов, директор департамента операционных рисков, ИБ и непрерывности бизнеса «Московской Биржи», Евгений Матюшёнок, заместитель коммерческого директора SearchInform, а также Александр Мец, руководитель направления бизнес решений корпорации Samsung.

В первом докладе конференции «Управление информационной безопасностью. Практические аспекты на примере Совкомбанка» Андрей Бухтияров высказал свое мнение, что цель хакеров – деньги, а не PR. Отсюда распространенная иллюзия банкиров: «Разумный баланс удобства и безопасности». Такого баланса не существует. Банк либо защищен, либо уязвим. Для хакера такой баланс означает «незащищенный банк». В русле этой концепции спикер рассказал об истории создания «Интернет-Банка с самым большим в России количеством элементов безопасности», а также технических компонентах решения, которые позволяют ему утверждать это столь амбициозно.

Евгений Ким напомнил о «Новых требованиях EEA (European Economic Area) в области обработки и защиты персональных данных (General Data Protection Regulation – GDPR)». Развитие информационных технологий и переход бизнеса в цифровое пространство потребовали пересмотра регуляторных требований Европейского Союза к обработке и защите персональных данных. Как результат в 2016 году был выпущен General Data Protection Regulation (GDPR), который заменит требования Директивы 95/46/ЕС. Новое законодательство вступит в силу с 25 мая 2018 года.

GDPR увеличивает максимальный штраф за несоответствие до 20 миллионов евро или 4% глобального годового оборота компании за предыдущий период (выбор в пользу большей суммы). Требования GDPR будут применимы к операторам и процессорам ПДн, находящимся внутри ЕЕА (European Economic Area: страны ЕС плюс Норвегия, Исландия и Лихтенштейн), вне зависимости от места непосредственной обработки ПДн. Для операторов ПДн, находящихся вне EEA, требования будут применимы в случае, если оператор предлагает товары или услуги для граждан ЕС или если обработка ПДн выполняется с целью мониторинга действий владельцев персональных данных, находящихся внутри ЕС.

В своем содержательном докладе «Угрозы повседневной «цифровой жизни» и как с ними бороться» Алексей Голенищев заострил внимание на том, что не только вредоносное ПО может стать причиной проблем у клиентов банков. Метод основан на использовании слабостей людей и является крайне эффективным. Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. Злоумышленник может позвонить клиенту банка под видом сотрудника технической службы и узнать логин вместе паролем, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит. Самое сильное оружие в этом случае — приятный голос и актерские способности злоумышленника. В подтверждение этих слов спикер привел массу примеров из практики Альфа-Банка.

Сергей Демидов с презентацией «Московская Биржа» — «Требования к информационной безопасности для финтехов» вызвал целую дискуссию в зале. Для начала он напомнил цитату Эльвиры Набиуллиной, председателя Банка России: «Пока финтехнологии не так масштабны — мы должны дать им возможность развиваться. Нам пока сложно понять, какие риски эти технологии несут, и понять это мы можем лишь вместе с рынком, поэтому ЦБ будет изучать опыт передовых регуляторов мира, например Сингапура». Однако в ряде своих тезисов эксперт усомнился в целесообразности существующих подходов к регулированию некоторых видов деятельности финтехов, а банкиров призвал не бояться работать со стартапами, благо у нас в стране есть примеры положительного опыта выстраивания отношений с ними.

Евгений Матюшёнок, заместитель коммерческого директора компании SearchInform, партнера конференции, в презентации «Симбиоз DLP и SIEM. Комплексный подход к обеспечению информационной безопасности», представил позицию компании: «SIEM и DLP: не вместо, а вместе». Совместное использование DLP и SIEM позволяет вывести расследования инцидентов на новый уровень за счет уникальных технологий контентного анализа, предоставления неопровержимых доказательств нарушений, наличия архива перехваченной информации, а также функционирование практически в режиме реального времени. DLP

-система «КИБ СёрчИнформ» состоит из модулей, каждый из которых контролирует свой канал передачи информации. Система показывает, какой путь проходят данные, и делает прозрачными все коммуникации. «СёрчИнформ SIEM» собирает и автоматически анализирует события различных корпоративных систем с целью выявления угроз и нарушений политик информационной безопасности. По одному событию не всегда можно судить об инциденте. Например, неудачная авторизация может быть просто случайностью, но три и более попыток могут говорить о подборе. Чтобы распознавать действительно критичные инциденты, «СёрчИнформ SIEM» работает по правилам, которые содержат целый перечень условий и учитывают самые разные сценарии действий.

Создавая ПО, в компании тщательно учитывался опыт финансовой отрасли и создавалась система, которая максимально преднастроена и работает фактически «из коробки». При этом свободно настраивать систему и работать с ней может любой ИБ-специалист, без специальных знаний по программированию или написанию корреляционных правил.

Александр Мец в завершающей сессию докладов презентации «Применение биометрических технологий в информационной безопасности платежных сервисов Samsung» подробно рассказал о технологии Fast IDentity Online (FIDO), инновационном методе для аутентификации пользователя на основе уникальных неизменяемых биологических признаков. FIDO обеспечивает безопасность для всех мобильных банковских услуг, включая управление учетными записями, запросы, переводы, кредиты и депозиты. А SDS FIDO позволяет заменить или совершенствовать традиционные способы аутентификации, такие как ID и пароли, с помощью биометрической идентификации. Но FIDO — это не только технология, это и международный альянс, который объединяет более 150 компаний и занимается разработкой стандартов строгой аутентификации для доступа к онлайн-ресурсам и т.д.

Только не спит «контроль»

Финалом сессии стала панельная дискуссия: «Расходы на банковскую безопасность и доходность банковского бизнеса. Где искать золотую середину?» Эльман Мехтиев, задавая ее тон, напомнил об избитой фразе: «Либо безопасность есть, либо ее нет», после чего привел и другое распространенное мнение: «Если безопасность мешает бизнесу, то нужна ли она вообще?». В рамках этих полярных мнений Алексей Голенищев, Сергей Демидов, а также Сергей Золотухин, менеджер по развитию компании Group-IB, Александр Виноградов, руководитель службы ИБ Руссобанка, и Алексей Поспелов, начальник управления методологии и стандартизации ИБ Банка России, искали «золотую середину».

То, что найти ее крайне трудно, а в ряде случае, попросту невозможно, стало понятно довольно быстро. И, как это не парадоксально, оба приведенных модератором тезиса, имеют право на жизнь. По мнению Алексея Голенищева выход нужно искать не в крайностях, а в их балансе: IT-систем со 100%-ной безопасностью нет в природе, но зарабатывать деньги при этом как-то нужно. Бизнесу и его клиентам требуется работать с решениями просто и понятно, а как сильно будут закручены гайки зависит от позиции риск-менеджмента, конкретного набора предлагаемых банком услуг и, естественно, требований регуляторов. В итоге конкретный ИБ-бюджет при этом будет определяться ответом на вопрос: «Сколько мы потратим на безопасность и сколько потеряем в случае того или иного инцидента?».

Но у подобного подхода есть и обратная сторона. На начальном этапе работы злоумышленники, мошенники, инсайдеры и т.д. только присматриваются, не сильно «щипают» банкиров в поиске их уязвимостей и оценке потенциальной добычи, усыпляя и службу ИБ, и топ-менеджмент. А потом в один прекрасный день, внедрять реальную ИБ уже поздно: нет ни денег, нет ни клиентов, не ни лицензии. Поэтому в зрелом банке, по мнению, Алексея Голенищева, защищая ИБ-бюджет, следует делать упор на то, сколько банк потеряет, если откажется от внедрения того или иного решения. Департаменты «контроля и аудита», естественно, при этом не спят!

По мнению Александра Виноградова, у кредитных организаций меньшего масштаба, нежели Альфа-Банк, существуют свои специфические проблемы и особенности. Во главу угла при выделении бюджетов на ИБ часто в первую очередь ставится то, а прописаны ли соответствующие требования безопасности в тех или иных руководящих документах? Хотя конструктивный диалог с топ-менеджментом можно и нужно выстраивать. Сергей Демидов продолжил эту тему и предположил, что любые инвестиции по рассматриваемому направлению необходимо соотносить с теми рисками, которые актуальны для конкретного банка. Поэтому проблема наличия и качества доказательной базы при защите бюджетов ни в коем случае не должна уходить на второй план. Необходимо, прежде всего, инвестировать в свое время, что бы потом простым языком обосновать свои запросы на основе стратегии, которая в свою очередь основана на тех трендах, на основании действия которых движется весь остальной мир. Но, в любом случае, KPI «безопасников» должны совпадать с целями компании в целом.

Сергей Золотухин отметил, что видит проблематику дискуссии в целом сходным образом с коллегами по панельной дискуссии. Однако, будучи представителем высокотехнологичной компании, провайдера целого ряда ИБ-сервисов, Group-IB вынуждена «смотреть глубже» и старается больше говорить об «угрозоориентированном» подходе. Понимая, какие угрозы актуальны сегодня, можно сделать довольно точный прогноз о том, какие системы информационной безопасности будут актуальны завтра. А имея возможность заглянуть чуть-чуть вперед, появляется вариативность осознанного выбора наиболее подходящих средств защиты.

Отвечая на вопрос модератора о балансе «стимулирующего и ненаказывающего регулирования», по словам Алексея Поспелова, ЦБ не ставит своей целью никого наказать, но призывает всех участников рынка адекватно оценивать криминогенную обстановку в стране. Призывает ЦБ и не просто оценивать ущерб в той или иной сумме, но и учитывать то, сколько из нее криминал пускает на собственное техническое перевооружение и т.д., отрываясь в технологической гонке от некоторых участников финансового рынка. А еще существует финансирование терроризма и т.д. Поэтому Банк России, видя реальную ситуацию, и выставляет именно те требования, которые есть сейчас, при этом ни коим образом не вмешивается в бюджетную политику своих подопечных.

Цифровые сущности на подходе

Вторая секция «Информационная безопасность — практические аспекты» была наполнена докладами Григория Сальникова, компания РТЛабс, Алексея Плешкова, независимого эксперта, Владимира Сабылина, руководителя проектов по работе с корпоративным сегментом Ростелекома, Артема Синицына, руководителя программ информационной безопасности в Центральной и Восточной Европе корпорации Microsoft и Сергея Золотухина. После кофе-брейка собравшимся были представлены презентации Сергея Антоняна, руководителя направления исследований финансовых технологий НАФИ, Олега Бакшинского, руководителя направления Security Intelligence, IBM Россия и СНГ, Ивана Пискунова, руководитель отдела информационной безопасности в группе компаний «Русские Башни»

Григорий Сальников в докладе «Национальная биометрическая платформа и удаленная индентификация» продолжил тему, начатую представителем компании Samsung, и рассказал о текущем состоянии дел в создании государственной биометрической платформы, развитии существующей платформы ЕСИА и пилотном проекте по биометрической идентификации для банков. Спикер напомнил: «Использование ЕСИА и Биометрии позволит гражданину получить кредит, открыть вклад, осуществить перевод в любом банке без его посещения». Да, не всё гладко в этом проекте. В сессии вопросов к докладу об этом было подробно рассказано.

Владимир Сабылин в докладе «DDoS: старое, но проверенное оружие – риски недооценки» остановился на услуге аутсорсинга защиты от DDoS-атак, предоставляемого Ростелекомом, базирующегося на крупнейшей в Европе инсталляции операторского комплекса защиты ARBOR PEAKFLOW. Сергей Антонян в презентации «Готовы ли Ваши клиенты противостоять информационным угрозам?» предпринял попытку заглянуть за традиционный периметр информационной безопасности. Что происходит там? Как клиенты относятся к ИБ, готовы ли они противостоять угрозам? Как одно из наблюдений спикер отметил, что «Не понимая возможных угроз, люди выкладывают все больше персональной информации о себе в сети. Здесь работает серьезный психологический фактор — в сети люди создают альтернативную «идеальную картину Мира», которая для них может иметь очень большое значение, иногда вызывая зависимость». Более подробные данные можно будет узнать из большого исследовательского спецпроекта, который НАФИ планирует презентовать на мировой арене этой осенью.

Алексей Плешков также получил возможность в рамках конференции привести свое независимое мнение: «Вызовы 2017 года: как защитить организацию от актуальных угроз информационной безопасности». На первое место в своей пятерке вызовов ИБ им была поставлена «защита терминальных устройств». На втором месте — «профилактика распространения вредоносного программного обеспечения». Далее: «повышение защищенности рабочих мест SWIFT», а также «выполнение обязательных требований регулятора». Замыкает список «противодействие целевым атакам (APT)».

Тему APT далее подробно развил Сергей Золотухин в выступлении «APT (Advanced Persistent Threat): жизнь богаче схем — как защититься от уникальной атаки». На примере эволюции этих специфических атак, начиная с 2013 года и действий группировки Anunak вплоть до наших дней и группы Cobalt, автор доклада показал, что многие компании просто покупают решения по безопасности и чувствуют себя защищенными, перекладывая ответственность на вендора. Однако когда нет процедуры реагирования на инцидент, хакерам требуется до 10 минут для получения полного контроля над корпоративной сетью. Далее Иван Пискунов в докладе «Антифрод системы: правовые и технические аспекты, перспективы и кейсы» рассказал о «старой» и «новой» школах борьбы с карточным фродом, а также подробно остановился на действующем законодательстве, касающемся данной проблематики.

Безусловно, украшением этой части конференции стали выступления Артема Синицына, руководителя программ информационной безопасности в Центральной и Восточной Европе корпорации Microsoft «Построение эффективной защиты от атак АPT на ключевых фронтах» и Олега Бакшинского, руководителя направления Security Intelligence, IBM Россия и СНГ «UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в действиях авторизованного пользователя».

По мнению представителя Microsoft, современная стратегия ИБ должна строиться на трех основных элементах: защита, обнаружение и реагирование. Под полноценной «Защитой» теперь подразумеваем покрытие всех хостов и устройств от сенсоров интернета вещей до высокопроизводительных кластеров в датацентрах. Для полномасштабного обнаружения должны использоваться узкоспециализированные индикаторы поведенческого анализа и алгоритмы машинного обучения. А для эффективного реагирования необходимо закрыть все разрывы между обнаружением атаки и ответным действием.

«У большинства компаний есть проблема нехватки данных. У нас нет такой проблемы. Наша проблема: наоборот — колоссальные объемы данных получаемые из огромного числа различных источников. Проблема заключается в укрощении Big Data (Azure Data Lake + Azure ML) и эффективном использовании в части противодействия APT», — посетовал спикер.

Доклад эксперта из IBM же был посвящен развенчанию мифов о волшебстве новомодной технологии UEBA (поведенческая аналитика в части ИБ). По мнению Олега Бакшинского, активная раскрутка на рынке решений с этим функционалом, не более чем очередной PR-пузырь. Что касается самой IBM, то на ее сайте можно свободно скачать соответствующие утилиты. Но эксперты предупреждают, UEBA вряд ли «взлетит» в какой либо компании, если не будет любой из трех компонент: четкой и структурированной системы идентификации пользователей (User Identity System (clean and structured)), источников данных (Data sources / Inventory of critical logs) и аналитиков, знающих, как устроен это бизнес (Security Analysts / People with organizational knowledge). При этом не стоит забывать, что в аббревиатуре UEBA вторая буква «E» (Entity) означает не только человека, но и любую цифровую сущность. А с этим все довольно сложно и печально.

«Золотой ключик» или тонкий расчетc

Деловая программа конференции завершилась панельной дискуссией «Инсайдерские угрозы: есть ли универсальный «золотой ключик»? Вирусы WannaCry, «Петя», «Миша» и прочие ужастики приходят и уходят, а собственный персонал всегда находится в офисе, чего можно ожидать от некоторых сотрудников в самый неподходящий момент, можно проиллюстрировать простой фразой: «Самое слабое звено информационной безопасности — это люди». Так как же можно снизить влияние этого риска информационной безопасности? Ответ именно на этот вопрос модератор Эльман Мехтиев задавал своим гостям: Артему Синицыну, Олегу Бакшинскому и Ивану Пискунову.

Представитель Microsoft, прежде всего, напомнил, что инсайдеры внутри компании отнюдь не одиноки и не заперты внутри банка за периметром безопасности. Виной тому и мобильная революция, и наличие контрагентов, которые есть у любой компании. Поэтому проблему обеспечения безопасности чувствительной для бизнеса информации надо переносить с уровня периметра к точке «рождения» этих данных и ее автору, который лучше всех знает, к какому уровню защиты лучше всего ее отнести. DLP-система призвана защищать каналы распространения, а не классифицировать вместо человека данные по степени их критичности, доля ложных срабатываний этих систем по всему миру тому подтверждение. Хотя искусственный интеллект, возможно, в будущем и как-то поможет исправить ситуацию, но не сегодня. Поэтому DLP-система или еще что-то, это не «золотой ключик» или «серебряная пуля», а банкирам нужно уделять большее внимание «цифровой гигиене».

Олег Бакшинский, в целом соглашаясь с коллегой, советует: «Строить что-то нужно от бизнеса». Если банк для себя определяет, что потери в том или ином направлении бизнеса невелики, и он может себе их позволить, то зачем ему, например, антифрод-система. Если банк знает, какие существуют данные, утечка которых может стоить ему потери репутации и т.д., а также знает, где именно эти данные находятся, то можно утверждать, что в 90% случаев банк сможет сам себя защитить. В этом и может заключаться «тонкий расчет». Но, при этом, по утверждению, Сергея Золотухина, нужно четко представлять себе портрет потенциального инсайдера и на основе этой информации очертить круг задач.

Иван Пискунов, завершая дискуссию, вновь напомнил о рискориентированном подходе в информационной безопасности, когда риск можно либо принять, либо научиться им управлять. Нужно понимать, какие существуют информационные активы, какие с ними связаны риски и какие в связи с этим мероприятия можно предпринять. Статистика говорит, что в 70% случаев утечки данных происходят вследствие воздействия человеческого фактора. Поэтому основные усилия необходимо проявлять именно работе с людьми.


 


 


 


 


 


 


 


 


 


 


 


 


 


 




03.07.2017
Эта статья была разослана 1347 on-line подписчикам bosfera.ru
Материалы альянса финансовых медиа:
Разговоры финансистов

АДРЕСА БЛАГОТВОРИТЕЛЬНОСТИ
Перейти в Раздел
Вверх