2022 год выдался для банковских «безопасников» противоречивым и турбулентным. С одной стороны, ИБ в целом — наиболее технологически независимая отрасль отечественной экономики, а с другой — это не всегда спасает, например, от DDoS-атак, утечек конфиденциальных данных или негативного влияния на банковский бизнес умышленных и случайных фактов воздействия пресловутого человеческого фактора, включая саботаж и социальную инженерию. Это, если говорить о противоречивости. Турбулентность же вызвана ураганом кибератак на финансовые институты, а также уходом западных вендоров.

А кто же был по ту сторону баррикад? Совет безопасности РФ в январе 2023 года дал четкий ответ на этот вопрос: «Ситуация в прошлом году характеризовалась существенным возрастанием масштаба и интенсивности деструктивного информационно-технического воздействия на информационную инфраструктуру страны, осуществляемого специальными службами иностранных государств и международными преступными сообществами».

Об импортозамещении

Как уже отмечалось, решения для ИБ у нас в во многом отечественные и по разным оценкам закрывают до 90% требуемого функционала. Это в среднем. Но, с учетом специфики крупных финансовых организаций и тех условий, в которых оказались банкиры после февраля 2022 года, приходится констатировать, что все не так радужно.

Так, в конце июня Алексей Войлуков, вице-президент АБР, в интервью «Б.О» по итогам заседания Ассоциации, посвященной вопросам кибербезопасности, отметил: «Основные сложности возникают при импортозамещении вычислительных систем и сетевого оборудования. Отечественных аналогов, применяемых для банковских систем, сейчас нет».

В частности, по его словам, оказался крайне актуальным вопрос создания межсетевых экранов экспертного уровня (NGFW). Российские разработки межсетевых экранов формально закрывают базовые требования к функционалу, но реализовать с их помощью привычные для банковского сектора комплексные задачи не представляется возможным. Если перевести эти слова в привычные для банкиров термины, то к концу 2022 года выяснилось, что необходимые инвестиции в создание отечественного NGFW для высоконагруженных финансовых систем составляют около 750 млн рублей. Именно такой бюджет озвучила компания Positive Technologies, которая занимается разработкой собственного межсетевого экрана. Выпуск первой коммерческой версии намечен только на конец 2023 года.

При этом речь идет о создании исключительно ПО, про «железную» компоненту пока конкретики никто не озвучивает. Серьезные инвестиции в R&D в NGFW осуществляют компании UserGate, InfoWatch ARMA и другие.

Об отраслевой специфике

Почему так дорого и нельзя ли в решениях классов NGFW, DLP и Cloud Security использовать open-source, удешевив разработку? Иван Чернов, менеджер по развитию UserGate, объяснил в интервью «Б.О», почему это тупиковый путь: «Многие разработчики в начале своего развития в качестве основы решений имеют системы с открытым кодом. Такой подход оправдан на начальных этапах, мы тоже начинали с этого много лет назад, но быстро поняли, что продукты, разработанные с использованием такого подхода, могут содержать серьезные ограничения, неприемлемые для зрелых решений. Среди этих ограничений — проблемы, связанные со стабильностью и непредсказуемостью работы при масштабировании системы или росте инфраструктуры, ограничения в производительности. Главная же проблема связана с наличием уязвимостей в открытом исходном коде. В проектах используются целые цепочки сторонних зависимостей и библиотек, для которых крайне сложно провести аудит безопасности».

Добавим еще то, что от отдельно стоящего технологически независимого NGFW толку не так много. Любому банку требуется экосистема продуктов кибербезопасности, которая содержит необходимые инструменты для комплексной защиты современной финансовой IT-инфраструктуры.

Подобный подход поможет соблюсти требования нового ГОСТ Р 57580.1-2017 и пока еще действующих норм PCI DSS, а также помочь при сборе и передаче информации об инцидентах ИБ через ФинЦЕРТ в НКЦКИ. Кроме того, станет технически реализуемым выполнение Указа Президента РФ № 250 в области предоставления удаленного доступа ФСБ для мониторинга информационных систем кредитных организаций.

Поэтому вполне вероятно, что создание 10% недостающего функционала средств отечественных ИБ будет затратным и сложным вызовом для всей финансовой отрасли.

Нормативное регулирование

«С начала 2022 года вступило в силу Положение Банка России № 716-П по управлению операционными рисками. Суть документа заключается в том, что банки должны оценивать риски, в том числе риски ИБ, а также резервировать собственные средства на случай их реализации. Но в реальности к отчетности банков по этому положению много вопросов», — рассказала «Б.О» Анастасия Харыбина, председатель Ассоциации АБИСС.

Помимо этого в октябре 2022 года вступили в силу положения Банка России № 787-П и № 779-П по операционной надежности (для кредитных и некредитных финансовых организаций), что делает процесс управления операционными рисками идеологически связанным с обеспечением операционной надежности.

В результате на фоне внешних потрясений финансисты столкнулись с ситуацией, когда им нужно было перестраивать часть внутренних процессов и встраивать их в общую систему управления операционными рисками. Плюс к этому Банк России требует подтверждать безопасность не только средств защиты информации, но и прикладного ПО, которое обеспечивает проведение платежей. До последнего времени это требование обеспечивалось анализом уязвимостей ПО (ОУД 4). Сейчас же большинство банков склоняются к внедрению процессов безопасной разработки ПО (БРПО), благодаря чему минимизируется вероятность появления уязвимостей во всем жизненном цикле ПО за счет периодического проведения проверок безопасности.

Отдельного внимания заслуживает законотворчество о защите персональных данных и борьбе с социальной инженерией с использованием подменных телефонных номеров.

Какие кейсы можно выделить?

Все перечисленное выше определило состав кейсов, которые приведены в таблице «Б.О» «202 проекта в 2022 году» (см. в этом номере). Из них можно выделить следующие:

• МКБ стал полноценным участником среды открытых банковских интерфейсов и получил опыт работы со стандартом безопасности Банка России СТО БР ФАПИ.СЕК-1.6-2020;
• Почта Банк внедрил защиту от биометрических мошенничеств с использованием готовых фотографий и изображений с экранов мобильных устройств. Алгоритмы Liveness от VisionLabs проверяют, действительно ли человек находится перед камерой, а не его изображение;
• РСХБ завершил уникальный по своим масштабам и срокам реализации проект по внедрению DLP-системы от компании Zecurion.

Что будет дальше? Атаки на банковский сектор продолжатся. Это значит, что с новой силой будут проводиться технологические и научные изыскания в области ИБ. Для этого нужны профессиональные кадры, нужно собственное «железо». А Банк России и другие регуляторы наверняка приготовили что-то новое в области регулирования, в частности в области цифрового рубля, Open API, биометрии, антифрода, а также защиты объектов критической информационной инфраструктуры.