Банковское обозрение

Финансовая сфера

20.02.2019 Аналитика
Нужны новые умы и идеи

Менеджмент в России традиционно — не самое сильное направление подготовки. Этот факт, помноженный на проблему с образованием в ИБ, делает область кибербезопасности действительно одной из самых сложных. Об этом и многом другом «Б.О» рассказал Сергей Лебедь, руководитель Службы кибербезопасности Сбербанка


Сергей Лебедь
Руководитель службы кибербезопасности
Сбербанк России
Вадим Ференец
Обозреватель
Банковское обозрение

Сергей Лебедь, Сбербанк. Фото: Сбербанк — Сергей, вы утверждаете, что один из основных трендов мошенничества против клиентов Сбербанка — социальная инженерия. Как она эволюционирует и как меняется процесс управления снижением этой угрозы?

— Да, это так. Но при этом сразу хочу подчеркнуть, что речь идет не только о Сбербанке: сегодня социальная инженерия — один из основных рисков для каждого из нас. Что касается Сбербанка, то доля социальной инженерии в общем объеме мошенничества, который мы фиксируем, выросла до 81%. Мы видим три основные причины этого.

Во-первых, сегодня крупные компании достаточно эффективно пресекают атаки с применением сложных хакерских инструментов. Соответственно доля таких атак в общем объеме мошенничества снижается.

Во-вторых, «традиционная» преступность перешла в киберпространство, в котором ее привлекают анонимность, трансграничность, относительная простота организации преступной деятельности. «Традиционная» преступность не владеет сложными специализированными инструментами, зато в полной мере обладает навыками шантажа, подлога, обмана, которые использует теперь и в киберпространстве.

В-третьих, наши граждане по-прежнему очень доверчивы, и ими легко манипулировать с помощью звонков или СМС-сообщений от имени госструктур и крупных финансовых учреждений.

До недавнего времени процветала в основном социальная инженерия с «кражей личности», когда у клиента под различными предлогами выманивают конфиденциальную информацию: номера карт, одноразовые пароли, паспортные данные и прочее, а потом от его имени совершают несанкционированные операции в личном кабинете интернет-банка. Мы добились серьезных успехов в борьбе с этим видом мошенничества. Мошенники поняли, что ситуация изменилась, и применили другую тактику: начиная с 2017 года они предпочитают убеждать клиентов самостоятельно совершать перевод. Например, размещают объявление о продаже товара по привлекательной цене, добиваются перевода аванса или полной стоимости, а потом исчезают.

Но мы умеем защищать наших клиентов от подобных угроз — только за 2018 год нам удалось спасти 39,3 млрд рублей средств наших клиентов. Все технологии защиты раскрывать по понятным причинам не буду, но могу отметить наш основной инструмент: интеллектуальные системы выявления мошенничества, которые анализируют операции клиентов в режиме реального времени и блокируют подозрительные. Если у банка есть достаточные основания подозревать, что клиент совершил операцию под воздействием злоумышленников, наши фрод-верификаторы используют специальный скрипт разговора с клиентом, с помощью которого они изучают суть операции и предотвращают мошеннический перевод.

— Как можно остановить распространение социальной инженерии? Что здесь, на ваш взгляд, является главным?

— Ключевая проблема — низкий уровень киберкультуры в нашей стране. Понятие киберкультуры включает в себя знание правил кибербезопасности и следование им на уровне привычки. Но этим киберкультура, естественно, не ограничивается. Важно, чтобы общество в целом разделяло ценность этих знаний, чтобы была сформирована среда, в которой соблюдение соответствующих правил станет нормой. Понятно, что формирование такой среды — процесс небыстрый, но другого пути тотальная цифровизация нам не оставляет. Это не означает, что не существует быстрых решений, которые можно применять здесь и сейчас: пример с интеллектуальными системами фрод-мониторинга, который я привел, служит тому убедительным доказательством.

— С какими еще угрозами часто сталкиваются клиенты Сбербанка?

— По-прежнему актуальны вирусные атаки на клиентов через телефоны на платформе Android. К сожалению, модель безопасности этой платформы позволяет создавать вредоносный код, способный управлять телефоном, в том числе скрывая от клиента СМС-сообщения от банка. Этот код клиенты скачивают, когда переходят по ссылкам в фишинговых сообщениях. Но мы постоянно стараемся обезопасить своих клиентов. Во-первых, как я уже сказал, отслеживаем их операции и блокируем мошеннические. Во-вторых, в приложение «Сбербанк Онлайн» встроен антивирус Лаборатории Касперского. В-третьих, мы вместе с операторами связи и нашими партнерами блокируем вирусные рассылки, сомнительные сайты и центры управления зараженными телефонами.

— Насколько эффективно показал себя SOC Сбербанка? В каких направлениях идет его совершенствование?

— Наш SOC подтверждает свою необходимость каждый день в круглосуточном режиме. За 2018 год мы отразили 96 DDoS-атак, около 20 из них — атаки высокой мощности, что в два с лишним раза больше, чем в прошлом году.

Понятие киберкультуры включает в себя знание правил кибербезопасности и следование им на уровне привычки. Но этим киберкультура, естественно, не ограничивается

Ежедневно мы обрабатываем более 3 млрд событий, при этом несколько тысяч из них связаны с вредоносным ПО. В неделю мы и наши партнеры разделегируем несколько десятков фишинговых сайтов, а в квартал системы безопасности Сбербанка фиксируют около 150 тыс. попыток направления фишинговых писем сотрудникам Банка.

Сейчас мы ведем работы по внедрению новых систем кибербезопасности. В первую очередь — Threat Intelligence Platform, платформы автоматического сбора и обработки информации об угрозах, и Incident Response Platform, средства автоматизации задач реагирования. Они позволят нам не только на порядок повысить скорость реагирования, но и улучшить механизмы проактивной защиты.

Также не останавливается работа по совершенствованию процессов SOC — безусловно, есть зоны, требующие улучшения и повышения их качества, и я убежден, что в условиях развития технологий с обеих сторон, защиты и нападения, это процесс бесконечный.

— Для чего была создана и что представляет сейчас Лаборатория кибербезопасности? Она ближе к финтеху или это разработчик промышленных решений в области ИБ?

— Задачи нашей Лаборатории кибербезопасности — исследование, прототипирование и апробация прорывных профильных идей, концепций и технологий, которые помогут в решении актуальных проблем ИБ. Лаборатория — исследовательское подразделение, результаты ее успешных инициатив доводят до состояния промышленных решений проектный офис или продуктовые команды.

Лаборатория должна заглянуть за горизонт пять лет и далее, при этом мы обсуждаем и отрабатываем самые невероятные идеи.

— Видите ли вы значимые место и роль стартапов и финтехов в области информационной безопасности?

— Конечно, да! На рынке должны появляться новые умы и новые идеи! «Безопаснику» надо найти все уязвимости во всем ландшафте систем и технологий, в то время как злоумышленнику достаточно обнаружить лишь одну. Поэтому важен любой стартап, любой исследователь, который способен сократить этот гэп. Лаборатория кибербезопасности постоянно отслеживает профильные технологические стартапы как в нашей стране, так и за рубежом. Кроме того, у нас налажено взаимодействие с венчурным фондом Сбербанка, для которого кибербезопасность — один из технологических фокусов для инвестиций.

— Сбербанк развивает много программ в области подготовки ИБ-специалистов. Есть ли возможность тиражирования этого опыта на весь финансовый сектор?

— Мы реализуем комплексную программу, которая называется Академия кибербезопасности. В нашей Академии учат тому, как безопасно эксплуатировать и развивать информационные системы, внедрять новейшие технологии обеспечения безопасности, трансформировать культуру организации, интегрируя культуру кибербезопасности в ее «ДНК».

В ходе учений Red Team имитирует действия высококвалифицированных злоумышлеников, которые проводят комплексные атаки на инфраструктуру и бизнес-системы

Мы открыты для взаимодействия с внешним миром и уже сейчас активно делимся нашими знаниями и опытом: например, проводим открытые семинары.

Вместе с тем тиражирование опыта — не наша задача: мы хотим повысить грамотность как наших сотрудников, так и наших партнеров. Свою основную задачу видим в том, чтобы сформулировать требования к специалистам различного уровня и предложить возможности своей инфраструктуры для отработки этих знаний.

Для обсуждения сложившейся ситуации и доведения своего видения мы используем разные площадки: различные конференции, площадки ассоциаций и секций безопасности, площадки, предоставляемые в рамках программы «Цифровая экономика», и, конечно, наш Международный конгресс по кибербезопасности (ICC — International Cybersecurity Congress), где вопрос подготовки кадров был обозначен как один из наиболее проблемных.

Проблема подготовки кадров подтверждается и результатами независимых исследований, согласно которым мировой дефицит кадров по кибербезопасности к 2021 году составит 3,5 млн.

— Нехватка специалистов какого профиля в ИБ-отрасли сейчас наиболее остра? Почему это случилось? Можно ли преодолеть «идейное противостояние» IT и ИБ на уровне вуза?

— Вузы умеют готовить качественных специалистов в фундаментальных областях (математические методы и алгоритмы, криптография) или дают исключительно инженерную подготовку, необходимую для решения минимальных эксплуатационных задач. Технологии стремительно развиваются, и вузы просто не успевают за изменениями, а оторванные от практики академические знания ценности не имеют.

Другими словами, обучение по курсу информационной безо­пасности представлено в двух основных форматах: высшее образование, ориентированное на формирование «фундамента», и курсы вендоров средств защиты, которые обучают эксплуатации решений, но не позволяют выстроить единую стройную компетенцию. На мой взгляд, будущее за организациями, которые смогут привлечь, с одной стороны, передовых практиков, а с другой — лучших методистов из академической среды.

Думаю, что, в целом, противостояние ИБ и IT естественно — у этих служб разное целеполагание: обеспечение безопасности и предоставление удобных сервисов. Острота этого противостояния — вопрос грамотности и культуры организации. Что же касается вузов, то им необходимо понять, что «безопасник» без хорошей IT-подготовки — слабый «безопасник», а «айтишник», который ничего не знает про безопасность, — недоученный «айтишник».

— Вы не раз говорили, что менеджмент ИБ у нас тоже хромает. Есть ли подвижки в подготовке управленческих кадров?

— Менеджмент в России традиционно — не самое сильное направление подготовки. Эта проблема, помноженная на проблему с образованием в информационной безопасности, делает данную область действительно одной из самых сложных.

ICC-2018 — это только первый шаг. В 2019 году, 17–21 июня, Сбербанк впервые проведет в Москве Global Cyber Week — Неделю кибербезопасности

Менеджмент разделяют на две основные области управления: собственно управленческую и прикладную. При этом мы ожидаем, что у менеджера/эксперта данные области не только развиты достаточно хорошо, но еще и связаны друг с другом и со смежными областями знаний. Поэтому найти специалистов (как мы их называем, экспертов кибербезопасности), у которых помимо широких профессиональных знаний в области ИБ также развиты компетенции в таких областях, как менеджмент IT, менеджмент организации, проектное управление, — крайне тяжело. Чтобы стать таким специалистом, нужно в том числе обладать некоторыми способностями и иметь желание самостоятельно развиваться. Вот почему подобных специалистов на рынке практически нет.

— Не могли бы вы рассказать, что представляют собой командно-штабные учения, в которых участвует все руководство Сбербанка? Насколько они эффективны? Какова роль в учениях и тренировках представителей Red Team?

— Задача любого учения — быть готовым к отражению отработанного сценария в реальной жизненной ситуации. Командно-штабные учения являются ключевым этапом подготовки к реагированию на ЧС. Они агрегируют весь опыт, полученный ранее в ходе различных учений, которые проводятся в рамках обеспечения непрерывности бизнеса Банка. Каждое учение имеет два компонента: отработка и закрепление ранее проводимых сценариев и тренировка новых, ранее не отрабатывавшихся сценариев потенциальных угроз.

Результатом учений становится уточнение нормативных документов по реагированию на кризисные ситуации. Эта область управления хорошо известна как область управления непрерывностью бизнеса (BCM — business continuity management). В связи с повышением роли киберугроз BCM-планы уточняются в этом направлении. Например, один из сценариев — «хакерская атака» («массовое вирусное заражение»), в результате которой клиенты в ряде офисов сталкиваются с невозможностью проведения банковских операций. Задача — остановить и локализовать распространение вируса в корпоративной сети, отработать действия по восстановлению нормального функционирования Банка.

Командно-штабные учения позволяют отработать не только взаимодействие между подразделениями в целях непрерывного предоставления услуг нашим клиентам, но и взаимодействие со всеми нашими сотнями «цифровых» и «нецифровых» партнеров (государственными структурами, поставщиками IT-услуг и продуктов, аутсорсерами, партнерами по безопасности). Это один из самых эффективных методов практической тренировки, возможность в управляемых условиях, максимально приближенных к «боевым», отработать самые потенциально опасные сценарии.

В ходе учений Red Team имитирует действия высококвалифицированных злоумышлеников, которые проводят комплексные атаки на инфраструктуру и бизнес-системы. По результатам все участники, в большей степени IT- и бизнес-подразделения, получают большой объем информации к размышлению, что позволяет значительно повысить их готовность к реальным инцидентам.

— Насколько могло бы смягчить проблему ИБ более широкое проникновение в реальную жизнь концепции Security by design? Есть ли реальные примеры решений, построенных на базе этого принципа?

— Применение этой концепции позволяет сократить число «черных ящиков», то есть повысить прозрачность продуктов и процессов, что, безусловно, позитивно влияет на общий фон кибербезопасности. При этом у концепции Security by design есть еще более важное преимущество: она соответствует современным потребностям бизнеса в построении открытых систем. Сейчас, когда происходит взаимная тесная интеграция финтехов, банков, государства, потребителей и агрегаторов услуг, только открытые системы позволяют достичь должного уровня успеха. Чтобы построить открытый и при этом безопасный процесс, в нем с самого начала должен участвовать эксперт по кибербезопасности.

Что касается примеров, то по такому принципу построено любое современное решение, предлагаемое Сбербанком. В Службе кибербезопасности есть выделенное подразделение, которое вместе с бизнесом разрабатывает все продукты, и общается это подразделение на понятном бизнесу языке.

— Много споров об эффективности применения элементов искусственного интеллекта в области ИБ, антифрода и AML. Каково ваше мнение по этому поводу? Можно ли привести кейсы «за» и «против»?

— Считаю, что время споров по этому вопросу прошло: машинное обучение и искусственный интеллект уже доказали свою эффективность во множестве сфер, включая кибербезопасность. Понятно, что в небольшой организации выгоды от применения искусственного интеллекта могут быть меньше, чем затраты на его внедрение и сопровождение, или же в организации попросту может не быть данных или задач для его применения. Но если говорить о крупных организациях, тем более о Сбербанке с его клиентской базой и гигантской внутренней IT-инфраструктурой, то выбора, применять искусственный интеллект или не применять, просто нет. Его использование при обеспечении кибербезопасности Банка и его клиентов — необходимость для адекватного ответа на современные вызовы киберпреступности.

— Как вы оцениваете итоги International Cybersecurity Congress? Будет ли Сбербанк участвовать в организации Конгресса в этом году?

— Нашей главной задачей было создать площадку, которая консолидировала бы мировое сообщество в условиях растущих киберугроз. Нам удалось сформировать актуальную повестку и благодаря этому привлечь тысячи участников, сотни организаций из десятков стран.

Участники Конгресса пришли к нескольким важным выводам. Во-первых, потери мировой и российской экономики от киберпреступности продолжают постоянно расти. Уже сейчас они превышают 1 трлн долларов в год, а через несколько лет могут увеличиться в несколько раз. Во-вторых, кибербезопасность в своем развитии не успевает за технологиями, и этот разрыв создает новые угрозы. В-третьих, все острее кадровый вопрос — квалифицированные специалисты в области кибербезопасности — в дефиците. Еще одна большая проблема — безнаказанность, которую чувствуют киберпреступники. У них есть серьезное преимущество по сравнению со структурами, которые им противостоят: отсутствие национальных границ, которое позволяет им действовать на глобальном уровне. Кроме того, киберпреступления сложно доказать в суде, поэтому кибермошенникам часто удается уйти от ответственности. Путь успешной борьбы — эффективное международное сотрудничество.

Мы прекрасно понимаем, что Международный конгресс по кибербезопасности, прошедший в 2018 году, — это только первый шаг, и начатую работу нужно продолжать. В 2019 году, 17–21 июня, Сбербанк впервые проведет в Москве Global Cyber Week — Неделю кибербезопасности. Откроет Global Cyber Week техническая конференция по практической кибербезопасности OFFZONE. 19 июня состоится международный онлайн-тренинг по управлению рисками кибербезопасности, который позволит проверить уровень готовности крупнейших мировых финансовых и бизнес-компаний к отражению кибератак на их инфраструктуру. Конгресс станет ключевым мероприятием Global Cyber Week и пройдет 20–21 июня. Его участники — государственные деятели, ведущие предприниматели, лучшие аналитики — обсудят конкретные меры, которые позволят решить проблемы, выявленные в ходе предыдущего Конгресса.