О необходимости продолжения работ по реализации значительного количества инфраструктурах проектов, курируемых Банком России и Минцифры, на Уральском форуме «Кибербезопасность в финансах» говорилось довольно много. Однако о практических аспектах обеспечения их безопасности обстоятельного разговора еще не было. Поэтому в зале, в котором проходила сессия «Национальные цифровые проекты и информационная безопасность», свободных мест не оказалось.

Модератором сессии выступила Ольга Скоробогатова, первый заместитель председателя Банка России. К участию в качестве спикеров она пригласила Германа Зубарева, заместителя председателя Банка России; Владимира Комлева, председателя правления, генерального директора НСПК; Дмитрия Гадаря, вице-президента, директора департамента информационной безопасности Тинькофф Банка; Дмитрия Зауэрса, заместителя председателя правления Газпромбанка, а также Дениса Баранова, генерального директора компании Positive Technologies.

Ольга Скоробогатова, (Банк России). Фото: Уральский форум «Кибербезопасность в финансах»

Модератор решила не ограничиваться обсуждением исключительно проектов Банка России, а посмотреть на проблему шире: «Мне кажется, что сегодня на повестку дня выходит еще один острый вопрос. Как нам как стране не утратить темпы нашего общего цифрового развития, сделав при этом безопасность более безопасной? Как научиться предвидеть все возможные риски, о реализации которых мечтают недоброжелатели нашей страны? Для меня это будет фокусом сегодняшней дискуссии. А нам всем надо попытаться “совместить несовместимое“, и, как в той пословице, “Вы не ошибетесь, если сделаете все правильно”».

Как правильно?

Первым слово получил Денис Баранов, единственный участник «панели», представляющий небанковский сектор, в силу чего способный дать наиболее объективную картину происходящего в периоде времени, как выразилась модератор, «от до и по сейчас», имея в виду события 24 февраля 2022 года как точку отсчета.

По данным Positive Technologies, в 2019 году на финансовый сектор приходилось до 8% случаев всех взломов на территории нашей страны. За 2022 год этот показатель снизился до 4%.

Денис Баранов (Positive Technologies). Фото: Уральский форум «Кибербезопасность в финансах»

«Правильным будет не обманывать самих себя наличием иллюзорной безопасности. Начиная со всем известного момента Х большинство атак проводились хакерами на дилетантском уровне, которые до последнего времени ограничивались лишь масштабом и внешними эффектами. Сегодня мы видим, что появились группировки, которые работают гораздо более системно. Их целью является нанесение неприемлемого ущерба в конкретном месте в нужное время. Поэтому нам надо обозначить те узлы инфраструктуры, причинение которым недопустимого ущерба является критическим событием», — дал свою первую рекомендацию Денис Баранов.

В рамках финансового рынка, включая его инфраструктурные сервисы, таким событием может стать, например, паралич платежной системы или глобальный сбой. Учитывая повышенный уровень защищенности ядра системы, мы можем ожидать атак со стороны периферийных участников рынка, у которых практически всегда имеются уязвимости. Другой путь атак — распространение вредоносного кода через третьи стороны (Supply Chain) или Open API.

«Нам нужно будет заняться системным анализом того, какие события считать недопустимыми для всей отрасли целиком и какие транслируются на каждый банк и ниже, вплоть до каждого его подрядчика. Реакция Банка России должна быть жесткой — отключать атакованные банки от общей системы ради ее сохранения как таковой. При этом необходимо обеспечить оперативное информирование об инцидентах и их тщательное расследование», — резюмировал Денис Баранов.

А что же банки и регулятор?

Ольга Скоробогатова поддержала идею по установлению нормативных требований к процессу выявления того, какие подрядчики, включая IT-компании, участвуют в технологических цепочках участников финансового рыка. А вот предложения по составлению списка событий, которые являются критичными в целом для финансовой отрасли, а также по созданию платформы для обмена информацией по инцидентам она адресовала Герману Зубареву.

Герман Зубарев (Банк России). Фото: Уральский форум «Кибербезопасность в финансах»

Что касается первого вопроса, по мнению спикера, представители финансовой отрасли уже мысленно согласились с необходимостью принятия федерального закона, регулирующего аутсорсинг. Но это мнение пока не трансформировалось в какие-то конкретные действия. Причина — в том, что не все понимают, в чем будет плюс, а в чем минус, привнесет ли новое регулирование избыточные требования, не появится ли дублирование функций и т.д.

А что касается составления списка критичных событий, пока такая системная работа ведется регулятором и отраслевым комитетом совместно с Минцифры только в области импортозамещения. С точки зрения выявления критичных бизнес-процессов работа только начинается. У России есть шанс стать здесь мировым лидером, так как никто этим не занимался. Однако при ограниченности ресурсов и понимании того, что защитить все невозможно, следует пока ограничиться наиболее значимым направлением — защитой платежной системы.

Владимир Комлев (НСПК). Фото: Уральский форум «Кибербезопасность в финансах»

Владимир Комлев, получивший далее слово, назвал важнейший приоритет для функционирования НСПК — клиенты должны получать привычный им уровень платежных сервисов в любых условиях. Как этого добиться? Требуется максимальная адаптивность и нахождение нестандартных ответов на самые неожиданные векторы атак, включая DDoS и способы их реализации. После перечисления технических тонкостей Владимир Комлев все же назвал ключевой механизм обеспечения ИБ в компании: ядро IT-системы компании выполнено по принципу «security by design», т.е. безопасность должна стать неотъемлемой частью системы, ее нужно интегрировать во все компоненты, в обязательном порядке рассматривать все потенциальные уязвимости и внедрять зарекомендовавшие себя решения.

Дмитрий Гадарь (Тинькофф Банк). Фото: Уральский форум «Кибербезопасность в финансах»

Дмитрий Гадарь поддержал коллегу и привел примеры использования этого принципа на примере контактного центра банка. Смысл — в следующем: архитектурно все сделано так, что при всем желании оператор не сможет стать тем самым пресловутым слабым фактором, который обрушит суперзащищенную систему в целом. При этом не требуется каких-либо навороченных накладных ИБ-решений, поскольку система защищена «от рождения». Поэтому невозможны нарушения режима ИБ контактного центра банка, как и бессмысленно ломать и воровать платежные данные в НСПК, поскольку через пять минут они станут бесполезными для злоумышленников. Но за всем этим должна стоять культура ИБ внутри компаний, а ее выстраивание, к сожалению, — дело не одного дня. В итоге Дмитрий Гадарь был приглашен модератором в ЦБ для проведения мастер-классов в качестве эксперта по этому процессу.

Дмитрий Зауэрс (Газпромбанк). Фото: Уральский форум «Кибербезопасность в финансах»

В финале основной части сессии Дмитрий Зауэрс объединил в одном выступлении проблему поиска критичных бизнес-процессов банка с рисками, связанными с импортозамещением. Один из важнейших клиентских сервисов Газпромбанка — процессинг. Поэтому в банке идет масштабный проект по переводу его IT-инфраструктуры, включая банкоматы, на отечественное ПО и «железо» на базе процессоров «Эльбрус». Важно, что банк готов помочь масштабировать решение на весь финансовый сектор, сократив тем самым соответствующие риски для отрасли в целом, не допустив отключения банков от платежной инфраструктуры страны. И это правильно!