Финансовая сфера

Банковское обозрение


  • Сергей Лебедь (Сбербанк): «Бумажная» безопасность — это не про нас
17.08.2016 Интервью

Сергей Лебедь (Сбербанк): «Бумажная» безопасность — это не про нас

Традиционно с точки зрения информационной безопасности банковский сектор считался закрытым. Практически любая информация на эту тему часто воспринимается, как подарок киберкриминалу. Обычно известно лишь, что ИБ в банках есть, что рынок регулирует ЦБ своими нормативными актами, а также что в штате банков есть директор по ИБ в комплекте с коллекцией всяческих дипломов и актов соответствия на стене в кабинете. О тенденциях на рынке ИБ, а также их практическом применении удалось побеседовать с представителем крупнейшего банка страны Сергеем Лебедем, руководителем службы информационной безопасности Сбербанка


— В мае этого года зампред Сбербанка Станислав Кузнецов презентовал журналистам Операционный центр информационной безопасности (SOC). Что это такое?

— В Сбербанке, когда говорят о SOC, прежде всего подразумевают новые технологии и методы управления, которые позволяют значительно повысить эффективность противодействия информационным угрозам как сегодняшнего, так и завтрашнего дня. SOC — это не столько «железо» или софт, сколько процессы управления рисками, моделирования угроз и оперативной их обработки. Подобный менеджмент в области информационной безопасности позволяет бизнесу защитить все то, что представляет для него ценность: деньги клиентов, активы и бизнес-процессы, свою собственную деловую репутацию, в конце концов.

Предвосхищая вопрос о том, нужен ли SOC средним и малым банкам или только гигантам масштаба Сбербанка, отвечу так: SOC нужен тем кредитным организациям, которые способны внедрить качественную систему управления кибербезопасностью. С точки зрения «железа» разница лишь в размерах IT-инфраструктуры и степени учета специфики делового ландшафта конкретного банка. От этого будут зависеть требования по производительности и особенности интеграции разных компонентов. А вот сможет ли этот банк эффективно управлять всем этим, зависит от команды менеджеров, технической экспертизы и, главное, парадигмы управления бизнесом.

Будущее — за успешными моделями управления. Именно поэтому сейчас Сбербанк находится в процессе трансформации и своей структуры в целом, и подразделений, отвечающих за безопасность в частности, с тем чтобы и у менеджмента, и у акционеров было четкое понимание: какова отдача от этих структур, как их деятельность влияет на финансовые показатели Банка и безопасность клиентов. В этом контексте SOC является крайне важным инструментом для достижения поставленных задач в области кибербезопасности, обеспечивающим при этом абсолютно прозрачное протекание всех внутренних процессов.

— Что касается прозрачности в области ИБ: как найти золотую середину между паранойей и полной открытостью?

— Баланс отыскать непросто, но сделать это необходимо, особенно в отношении клиентов. С одной стороны, наличие лояльной, проинформированной о тех или иных событиях, касающихся кибербезопасности, клиентуры является неотъемлемой частью успеха любого банка. С другой стороны, неподготовленный клиент сам по себе представляет потенциальную угрозу. Человек всегда был самым слабым звеном в цикле обеспечения информационной безопасности. Практически не было успешных атак на банк, где бы не сработал пресловутый человеческой фактор.

Поэтому мы стараемся повысить уровень культуры кибербезопасности и у клиентов, и у сотрудников Банка: рассказываем о современных угрозах и о том, как обезопасить себя, близких, свои электронные кошельки и счета. На самом деле, это — банальные, но эффективные вещи, сродни гигиене. Другой частью нашей работы являются мероприятия, повышающие уровень защищенности наших приложений, устанавливаемых клиентами. Устройство, на котором установлен «Сбербанк Онлайн», является маленькой, но частью автоматизированной банковской системы (АБС), и мы защищаем ее. Конечно, люди обо всем этом должны быть в достаточной степени проинформированы.

— То есть вы фактически делаете клиента свои партнером?

— Безусловно! Более того, в нашем долгосрочном вИдении клиент Сбербанка представляется нам неким гражданином страны Сбербанк, где созданы лучшие условия. Сюда входят и высокий уровень защищенности, и особая забота о человеке и его деньгах, и гарантии того, что, если у человека случается какая-то проблема, ему окажут помощь. Это весьма амбициозная цель, но мы уверенно движемся вперед и хотим быть лидером, вовлекая в решение этой задачи и наших партнеров по рынку, и государственные структуры, и вузы.

— Не эту ли стратегию привезли топ-менеджеры Банка из недавней поездки в США?

— Данный визит скорее был необходим для сверки курсов, которыми идут крупнейшие банки планеты. Все началось гораздо раньше. В начале 2014 года у нас уже была утверждена стратегия развития Сбербанка на период с 2014 по 2018 год, где кибербезопасность была обозначена одним из приоритетных направлений.

Почему? Все просто и одновременно печально: за восемь — десять лет ситуация в области киберпреступности в банковской сфере драматически изменилась. Если, например, восемь лет назад 98% преступлений, связанных с мошенничеством, составляли грабежи и воровство наличных денег и только 2% приходилось на кибермошенничество, то сейчас ровно наоборот: 98% — это киберпреступления и только 2% приходится на все остальное.

Кроме того, эта тенденция каждый год неуклонно усиливается. Например, в 2015 году ЦБ зафиксировал около 32 тыс. попыток воровства денег у клиентов российских банков через электронные каналы. Если бы не противодействие служб информационной безопасности и правоохранителей, ущерб составил бы приблизительно 5 млрд рублей. По сравнению с 2014 годом — рост в 12 раз!

Что касается американского опыта, он только подтвердил то, что, если банк хочет развиваться, ему необходимо стать максимально оперативным и гибким, в том числе в области информационной безопасности. Иначе деньги будут зарабатывать не банкиры, а преступники.

— Как и куда уходят украденные деньги?

— По-разному. В основном на счета фирм и граждан — и потом обналичиваются по различным схемам. Это большой и хорошо налаженный подпольный международный «бизнес». Для «отлова» таких операций Сбербанк с 2015 года запустил единую систему противодействия мошенничеству, которая, надо отметить, весьма неплохо справляется со своими задачами: значительную часть мошеннических действий удается предотвратить. Система анализирует все транзакции, запускает соответствующие механизмы расследования при выявлении мошенничества, а мы уже направляем полученные материалы в правоохранительные органы.

— Вернемся к данным ЦБ. Вы могли бы уточнить, воруют равномерно по всей стране или какие-то банки атакуют чаще в силу каких-то причин?

— Ситуация с безопасностью в различных банках выглядит по-разному — собственно, по-разному их и атакуют. Иногда, надо признать, атаки бывают успешными.

Что касается конкретных данных, то с августа и до конца 2015 года в России были зафиксированы атаки на 21 банк, общая сумма ущерба около 2,5 млрд рублей. В 2016 году уже ограблено несколько банков, сумма ущерба превысила 0,5 млрд рублей. Методы хищения денежных средство со счетов банков совершенно разные, но в целом ситуация выглядит примерно так. Преступность переориентируется с эксплуатации уязвимостей устройств конечных пользователей, банкоматов, POS-терминалов на инфраструктуру банков. Причем атакуют не только банки: мировая статистика свидетельствует о том, то похожие атаки происходят в аэропортах, больницах, торговых сетях и много еще где.

При этом существуют и иные деяния киберкриминала, которые не приводят к краже денег напрямую, а воздействуют на работоспособность организации в целом. Это, например, DDoS-атаки. Именно поэтому Сбербанк реализует стратегию кибербезопасности на 2014–2018 годы, чтобы не дожидаться, когда в нашу дверь начнут ломиться бандиты, а бороться с преступниками в проактивном режиме, предотвращать уже сегодня угрозы завтрашнего дня.

— Как в этом вопросе ваша деятельность согласуется политикой «бумажной» безопасности ЦБ? Не ушел ли Сбербанк в отрыв?

— Я бы не сказал, что мы идем впереди регулятора. Мы с Банком России плотно взаимодействуем. Но позиция «соответствуешь бумажке — молодец», накрепко вбитая в былые времена в головы многих «безопасников», устарела. Нет такой бумажки, где бы описывалось то, что может случиться завтра, учитывая масштаб и технологическую оснащенность противника. Хотя такой подход по-прежнему имеет место, все зависит от того, для чего банку нужна система безопасности…

Коллекция соответствующих дипломов и грамот на стене в кабинете — тоже вариант, но при этом решается совсем другая задача. Наша же задача — защитить интересы клиентов и Банка. Как я говорил ранее, необходимо получить измеримый результат этой деятельности.

— Рискну предположить, что именно эта проактивная стратегия стала толчком к многомиллиардным инвестициям Банка в ИБ. Как утверждался бюджет на ее развитие?

— Безусловно, да! И дело было в развитии не только направления информационной безопасности, но и Банка в целом. Во-первых, Сбербанк видел и видит себя через несколько лет не просто банком, а большой IT-компанией, которая в том числе предоставляет и финансовые услуги.

Во-вторых, Сбербанк несет огромную социальную ответственность. Множество клиентов Банка относятся к незащищенным слоям населения — это пенсионеры, инвалиды, простые граждане нашей страны, которые ничего не знают о кибербезопасности. Это те люди, до которых достаточно тяжело достучаться в образовательном плане; работая с ними, необходимо потратить много усилий для формирования киберкультуры. Для чего? А для того чтобы люди сами могли понять, когда их пытаются обмануть.

Сбербанк как ведущий банк страны просто вынужден соответствовать высокой планке ответственности. Поэтому никто не стоял у дверей руководителей с проектами бюджетов и т.д. Решение было принято одно для всех: о Стратегии развития Банка в целом и подразделения ИБ в частности, так как защита клиентов признана приоритетным направлением для инвестиций.

— Как вы говорили, все это было до поездки делегации Банка в США?

— Верно. Поездка в Америку состоялась в этом году, когда все ключевые решения уже были приняты. Целью было уточнить, правильным ли курсом мы идем? Оказалось, что правильным. Оказалось, что те идеи, которые мы хотим реализовать в Банке, соответствуют лучшим практикам, которых придерживаются мировые лидеры в области кибербезопасности — те, на которых нам хотелось бы равняться.

Самой полезной целью посещения США, по нашему общему мнению, было как раз посмотреть, как эти идеи реализованы на практике. И здесь наша делегация увидела множество интереснейших вещей. Прежде всего — как реализована модель управления SOC. Не то, как устроена «железная» часть центров, в том числе SIEM (Security information and event management — объединение двух терминов, обозначающих область применения ПО), а как реализована модель управления.

Что нам было сказано и показано? Во-первых, что миссия современного SOC — выявлять угрозы, которые имеют значение для организации, для банка и т.д. Эти угрозы должны быть не какими-то гипотетическими, а конкретными и выявляемыми. Во-вторых, в SOC должны обрабатываться угрозы, которые влияют на бизнес. Речь идет прежде всего о наборах связок «угроза — риск», которые присущи конкретному бизнесу на самом деле, а не в теории.

Поэтому процесс строительства SOC и его эксплуатация представляют собой как раз практическое воплощение процесса моделирования этих самых угроз и рисков на основе постоянного добавления новых источников данных о них, обучения персонала, построения и верификации моделей и много чего еще.

Что касается вопроса о том, где мы берем модели угроз для SOC, то их создают наши специалисты, которые в нем работают. Это профессионалы высокого уровня, знающие свое дело. Он глубоко погружены в практику методов атак на сами банки и на их клиентов.

Благодаря этому всем тем, кто решил купить на черном рынке какой-то «набор юного (не очень) хакера», мы советуем, хорошо подумать, стоит ли испытывать его на практике. А более серьезные угрозы, например DDoS-атаки, все же лучше предотвращать совместными усилиями заинтересованных сторон..

— Станислав Кузнецов в ходе своей презентации 10 июня 2016 года в SOC-центре Сбербанка в Москве показывал графики и диаграммы, охватывающие вcю Россию, и не только. Откуда берется информация для этого?

— Если говорить «не только о России», то был показан «весь мир в разрезе» с точки зрения заражений клиентских устройств. Сбербанк — единственный банк, который внедрил в собственное мобильное приложение защитную систему Лаборатории Касперского — по сути, антивирус.

Теперь любое мобильное устройство на базе операционной системы Android с приложением Сбербанка не только защищено от вредоносных программ, но и является бесценным источником данных для SIEM, а судя по картам, показанным на дашбордах, клиенты Сбербанка путешествуют по всему миру.

Что касается всего остального, то у Сбербанка, в принципе, достаточно своей собственной информации. Сам же Центр работает на пяти площадках: в Санкт-Петербурге, Самаре, Екатеринбурге, Новосибирске с головным отделением в Москве. К SIEM подключено около 18 тыс. устройств безопасности, что позволяет отслеживать в режиме онлайн функционирование около 300 тыс. элементов инфраструктуры. В Центре сейчас работает около сотни сотрудников, в день регистрируется и, главное, расследуется порядка 200 событий информационной безопасности.

Наш следующий шаг в развитии SOC — это покрытие не только самого Банка, но и всех наших дочерних подразделений, в том числе дочерних банков. На ближайшую перспективу мы планируем подключить к системе фрод-мониторинга наш Банк в Хорватии. В ближайшее время Центр перейдет на новую технологию работы с использованием Big Data и Machine Learning.

Что касается наименований поставщиков «железа» и программного обеспечения SIEM и SOC, то это — мультивендорное решение на основе продуктов как отечественного происхождения, так и зарубежных. Консультантом по реализации проекта выступила компания IBM, заключившая в декабре 2015 года контракт со Сбербанком. В целом, в 2015 году на все программы по кибербезопасности Сбербанк потратил около 1,5 млрд рублей.

— Но ведь невозможно быть изолированной «тихой гаванью» в бурном море киберпреступности. Необходима кооперация, не правда ли?

— Абсолютно верно. Мы активно взаимодействуем с Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере главного управления безопасности и защиты информации Банка России (FinСERT). Мало того, мы хотим включиться в его работу более тесным образом. Сбербанк наладил систему эффективного взаимодействия с правоохранительными органами и планирует еще активнее развивать это сотрудничество, обмениваясь данными об атаках с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Кроме того, мы планируем наладить взаимодействие и с сотовыми операторами, у которых много ценных данных.

Это касается работы внутри России. Но ведь Сбербанк — международная организация, поэтому мы активно изучаем локальное законодательство в странах нашего присутствия и соответствуем ему. У нас есть отдел информационной безопасности в дочерних и зависимых обществах, который в том числе курирует заграничные банки. Там свои уровни взаимодействия с заинтересованными организациями. Так что мы вовсе не одни в этом мире, мы ощущаем себя полноправной и открытой частью глобального сообщества.

— Но ведь геополитические риски никто не отменял?

— C точки зрения геополитических рисков мы находимся в одной лодке со множеством организаций. Например, многое из программного обеспечения, которое используется в Банке, особенно в области инфраструктурных решений (например, операционные системы, базы данных, HR- и CRM-системы), — от зарубежных производителей. Есть ли там какие-то проблемы с безопасностью, наверняка не знает никто. Поэтому люди со склонностью к паранойе так любят порассуждать, что с точки зрения атаки на инфраструктуру банка проще, наверное, атаковать какое-то его подразделение, которое находится за рубежом, например в одной из стран, входящих или собирающихся вступить в блок НАТО.

Но люди прагматичные предпочитают управлять реальными рисками, а не гипотетическими. А чтобы эти риски не переросли в реальное воплощение, есть механизмы управления ими. Например, самое радикальное средство — «рубильник» с помощью которого можно в крайнем случае отключить проблемный участок. Это во-первых.

Во-вторых, мы, собственно, для управления рисками и осуществляем мониторинг инфраструктуры как наших подразделений, так и дочерних обществ и банков. Благодаря этому мы знаем, что именно там происходит, можем замерить их уровень защищенности, то есть держим руку на пульсе. Поэтому я и сказал, что следующий уровень развития SOC — повышение уровня защищенности наших «дочек».

— Какие методы используются в борьбе с внутренними нарушителями, так называемыми инсайдерами?

— Безусловно, внутренние нарушители есть в любой организации. Мы, конечно, хотели бы, чтобы их не было и чтобы число сотрудников, которые совершают какие-то нарушения по незнанию или по недоразумению, было равно нулю. Мы очень озабочены этой проблемой. Буду откровенным, в нашей стратегии информационной безопасности она обозначена одной из приоритетных. Ее решение: повышение культуры сотрудников. Для этого разрабатываются обучающие программы, проводится множество мероприятий, что, безусловно, дает положительные результаты.

Сотрудники, когда устраиваются на работу, в том числе знакомятся с внутренними нормативными документами по информационной безопасности. В этих документах написано, что в Банке существует специализированная система безопасности, что действия персонала в IT-системах отслеживаются и что если сотрудник совершит какие-то действия, которые могут быть расценены либо как мошеннические, либо как попытки несанкционированного доступа, то эти действия будут обнаружены и будет проведено служебное расследование. Это один из ответов на предыдущий вопрос о степени информационной открытости Банка.

— А что происходит после того, как киберпреступник вычислен?

— Развею расхожий миф: на самом деле Банк не занимается «отловом и примерным наказанием» киберпреступников. Банк обеспечивает защиту интересов — своих и клиентов. Вот в этом направлении деятельности мы можем помочь правоохранительным органам в проведении расследования путем подготовки каких-то материалов и иного взаимодействия с ними. Но самим «отловом» киберпреступников, конечно, занимаются правоохранительные органы — это их прямая обязанность.

Если киберпреступники воруют деньги у клиентов Сбербанка или каким-то образом совершают противоправные действия против самого Банка либо его дочерних банков, мы, обнаружив это, готовим материалы, выгружаем соответствующие данные из наших систем противодействия мошенничеству, обнаружения и защиты, которые построены у нас в рамках SOC, и передаем эти данные в правоохранительные органы. Дальше, если это необходимо, мы участвуем в сопровождении этого процесса.

— В чем тогда смысл проактивной защиты, если вы говорите пока более о real-time мониторинге?

— Смысл проактивной защиты заключается в том, чтобы уметь прогнозировать, как будут развиваться направления атак, исходя из информации о развитии технологий и возможностей злоумышленников. Если пять лет назад само понятие «компьютерный преступник» было редко употребляемым и сравнимым с каким-то заоблачным злодеем из голливудских фильмов, который что-то делает в «матрице», или каким-то подпольщиком, который сидит в подземном бункере и ломает компьютерные сети, то сейчас это не так.

Все это стало бизнесом, хоть и подпольным, но бизнесом, где многое продается и покупается. Организовать DDoS-атаку на банк стоит конкретных денег, ценник можно посмотреть на соответствующих сайтах в теневом Интернете. Расценки постоянно снижаются, а мощность воздействия растет. Там же можно купить и фальшивые паспорта, и услуги по теневой обналичке денег. Выжить в этих условиях можно, только идя на шаг (а лучше на два) впереди криминала. Для этого и нужна проактивная защита.

— А с DDoS-атаками как Сбербанку удается бороться?

— У нас есть трехуровневая эшелонированная система защиты от DDoS-атак. Мы еженедельно фиксируем как минимум одну мощную атаку. В 2015 году таких атак на нас было всего 55, а за первые полгода 2016-го их уже было около 57. Рост — в два раза.

Это еще раз подтверждает тезис о том, что киберпреступность наступает семимильными шагами. Стоимость технологий, которые доступны преступникам, существенно снижается, сама же доступность увеличивается, поэтому DDoS-атаки сейчас можно легко организовать за относительно небольшие деньги. И скиммеры нынче стоят очень дешево, а теневые разработчики новых технологий, позволяющие снимать деньги с пластиковых карт, в том числе бесконтактных, все новыми способами, не устают удивлять как скоростью «вывода на рынок» своих продуктов, так качеством работы.

— Наверняка крупным достижением взаимной работы «безопасников» стала история с троянцем Lurk?

— Операция правоохранителей по нейтрализации группировки Lurk достойна включения в учебники по противодействию организованной преступности в сети. В ходе масштабной спецоперации было задержано 50 человек. Но проблем еще много, например недочеты в действующем законодательстве. Поэтому Сбербанк в активном взаимодействии с другими банками, МВД и ЦБ пытается совместными усилиями внести изменения в Уголовный кодекс. Есть основания полагать, что успешно. Недавно прошла новость по телевидению о том, что Госдума собирается рассмотреть эту законодательную инициативу.

Какие там новеллы? Прежде всего, мы предлагаем ввести новую статью: «Хищение денежных средств с банковского счета», а статьи «Мошенничество с использованием кредитных карт» и «Мошенничество в сфере компьютерной информации» предлагаем исключить вовсе. Новая статья о хищении с банковского счета включает в себя всю необходимую конкретизацию для этих видов преступлений, направленных на хищение денег именно с банковских счетов. После внесения изменений все то, что мы говорили о Lurk, будет классифицироваться как хищение, а не как мошенничество, поэтому будет совершенно другая ответственность. Конкретные сроки «посадок» фигурантов я не назову, но ответственность однозначно будет ужесточена.

Кроме того, существует множество фактов противоправной социальной инженерии, которая проходит мимо правоохранительных органов, потому что люди, прежде всего из социально незащищенных слоев населения, склонны верить идеально подготовленным бандитам и разглашают им и персональные данные, и сведения, содержащие банковскую тайну, — что угодно. Фактически это обман, но в терминологии статьи 183 Уголовного кодекса («Незаконное получение и разглашение сведений, составляющих коммерческую, банковскую тайну») именно слова «обман» нет. Это в нынешние времена совершенно недопустимо.

Когда поправки в УК состоятся, правоохранительным органам станет легче возбуждать уголовные дела против таких «умельцев», а эффективность расследования уголовных дел и, вообще, противодействие киберпреступности, как мы ожидаем, значительно повысятся. Банковское (и не только) сообщество сможет вздохнуть свободнее.

— Вождь народов утверждал, что кадры решают всё. Как служба ИБ Сбербанка решает эту проблему? Не скучно ли работать у вас?

— В условиях постоянных изменений, которые происходят в Сбербанке, скучно не бывает никому, я вас уверяю, тем более техническим специалистам. А вот их как раз и не хватает в первую очередь. Как я уже отмечал, Сбербанк видит себя продвинутой IT-компанией с банковской лицензией. Мы ищем людей на рынке, за что рынок на нас порой косо смотрит. Но так получилось, что в недалеком прошлом все хотели стать юристами и финансистами, а востребованными оказались прежде всего люди инженерных специальностей, способные вывести современный банкинг но новый уровень. Поэтому мы уже начали плотно работать с ведущими вузами страны, организуем практику студентов в Банке, принимаем участие в государственных экзаменационных комиссиях, читаем лекции, предлагаем темы дипломных работ, ищем таланты среди юных специалистов.

Сбербанк выступает спонсором различных студенческих мероприятий и олимпиад по информационной безопасности, а в этом году мы организуем цикл мастер-классов от практиков — наших сотрудников, где в том числе и я буду проводить часть занятий. Упор будем делать именно на практике.

— Не могли бы обрисовать портрет тех гениев, которых Станислав Кузнецов, как он обещал на подписании Соглашения с вузами, готов взять в штат Банка прямо с первого курса?

— Мы ищем людей, которым интересны современные подходы в информационной безопасности. Тех, кто имеет желание и потенциал дополнить в будущем наши компетенции и кого нам очень не хватает. Это математики, которые могут строить различные математические модели для противодействия мошенничеству. Это технические специалисты, которые знают не только, как работает «железка», но и почему она работает. Это люди, которые могут писать грамотно документацию и описывать процессы, составлять метрики. Это люди, которые могут проанализировать код программного продукта на предмет его безопасности.

Иными словами, нас интересуют те компетенции, которые уже есть у мировых лидеров, но, к сожалению, очень слабо развиты в России. Для того чтобы Банку быть лидером в области кибербезопасности, эти компетенции нам жизненно необходимы. Именно поэтому мы приняли решение не только «шерстить» открытый рынок, но и выращивать носителей таких компетенций у себя внутри.

— На каком этапе этого пути вы находитесь? Каков интерес у вузов?

— Мы сейчас только в самом начале этого пути, примерно на уровне глобального Соглашения с вузами. Тем не менее это недавнее Соглашение закрепляет за Банком роль стратегического партнера — прежде всего в области подготовки молодых специалистов, благодаря чему мы надеемся сформировать мощный кадровый резерв. В связи с этим Сбербанк позиционирует себя как целевого работодателя для студентов и абитуриентов. Это то, что касается Банка.

Что касается вузов, то, во-первых, они получают доступ к компетенциям специалистов Банка (мастер-классы в том числе). Во-вторых, учебные заведения получают возможность дополнительного финансирования в рамках научно-исследовательской деятельности и в рамках спонсорской благотворительной помощи.

В перспективе, возможно, мы откроем свою кафедру по подготовке специалистов именно наших профилей и, безусловно, будем приглашать к сотрудничеству вендоров, которые представлены в банке, чтобы они учили своим технологиям тех людей, которых мы потом возьмем для кадрового резерва. Это перспективное направление!

— Не могу не спросить про «СберТех». Как удается этой крупной молодой софтверной компании не наступать на старые грабли и писать «правильный, не дырявый» код?

— В структуре службы кибербезопасности Банка есть специальное подразделение, которое называется «Отдел информационной безопасности в IT-проектах». Так вот, в этом отделе специалисты, которые отвечают за безопасность, находятся в командах-разработчиках. Они находятся там постоянно и принимают участие в процессах разработки. Благодаря этому они, во-первых, в курсе того, что происходит, во-вторых, могут активно вносить свои пожелания, требования, комментарии, проверять их выполнение на практике. Только так достигается эффект безопасного программирования.

Естественно, у нас есть инструменты, с помощью которых мы организуем тестирование программных продуктов. Конечно же, существуют процедуры, которые описывают, как это тестирование должно быть организовано. Есть процедуры исправления ошибок, и, естественно, есть процедуры, связанные с тестированием предварительного кода, который потом будет отправлен в «продакшн».

— Работы, одним словом, хватает…

— Работы нам хватает с избытком, но работа очень интересная. И, уж поверьте, тот, кто говорит, что в Сбербанке скучно, абсолютно не прав. В Сбербанке очень интересно!






Новости Новости Релизы
Сейчас на главной

ПЕРЕЙТИ НА ГЛАВНУЮ