Алексей Горелкин, генеральный директор компании Phishman

— Алексей, какие меры обеспечения ИБ удаленных сотрудников банков в период пандемии COVID-19 доказали свою эффективность, а какие с учетом новой геополитической обстановки следовало бы усилить как рядовым сотрудникам, так и финансовым организациям в целом?

— Пандемия показала очевидную большинству IT-специалистов вещь: технологически мы уже готовы к тому, чтобы большая часть корпоративных работ выполнялась дистанционно и не требовала физического присутствия в офисе.

В части обеспечения ИБ сотрудников на «удаленке» существуют социальные и технические меры. 

Что касается социальных мер, лучшее, что можно сейчас делать для сотрудников и для минимизации рисков, — это повышать уровень осознанности в киберсреде через обучение.

Службы ИБ ограничивают возможности злоумышленников, но противодействие злоумышленникам в первую очередь оказывают обычные сотрудники, и высокий уровень цифровой осознанности позволяет на этапе первого контакта справиться с 90% потенциальных проблем.

Среди технических мер безопасности за 10 лет новых решений не появилось. Успешную защиту от атак злоумышленников на удаленно работающих сотрудников по-прежнему можно реализовать исключительно при работе на корпоративных устройствах с предустановленными политиками, приложениями ИБ и VPN. Гарантировать защиту данных банка можно только через такие устройства.

Простой пример: используем VPN, но работаем с личного девайса, а не с корпоративного. Девайс оказывается зараженным и превращается в точку входа в инфраструктуру, так как не был защищен.

Даже если мы устанавливаем защиту на личные устройства сотрудников, они постоянно проявляют опасную инициативу и выгружают защитные программы. И, как правило, соглашаются отдать личные телефоны на настройку сотрудникам отдела ИБ, только если оставят за собой право устанавливать лишний, не связанный с работой софт, а это всегда проблемы и опять же потенциальные точки входа. 

Если говорить о нынешней геополитической ситуации, из-за которой, по сути, вместе с нацией «отменили» целую страну, на рынке сейчас некому доверять. Случаи, когда Open Source ПО превращается во вредителя при обновлении, когда отзывают купленные лицензии, когда перестают продавать или создаются условия для невыгодной покупки, стали чаще фиксироваться в практике и говорят сами за себя.

Как с этим бороться? Я рекомендую продолжать анализировать все события в инфраструктуре, развивать SOC и, конечно, инвестировать в безопасность: я имею в виду инвестиции в обычных сотрудников, а не только в работников отдела ИБ. Как оказалось, технические средства ИБ можно отнять, но знания и навыки сотрудников останутся. Поэтому продукты по повышению осознанности в киберсреде (security awareness) сейчас актуальны как никогда ранее.

— На фоне роста популярности VPN-сервисов появились случаи кражи персональных данных их операторами. Это исключение из правил или VPN для работы с соцсетями становится «дырой» в ИБ для обычных банковских приложений в смартфонах?

— Трафик от приложения к серверу — шифрованный. Даже если его записать, то мне неизвестны случаи, когда подобный трафик массово расшифровывали, к тому же у частных пользователей. Поэтому, с одной стороны, риск есть. С другой, даже если «слушать» весь трафик с устройства, то максимум можно будет узнать, на какие сайты этот пользователь ходит.

— Можно ли сейчас доверять иностранным соцсетям в плане ведения в них бизнеса и совершения там платежей?

— На то они и запрещенные в РФ, что бизнес там вести нельзя. Если вы совершите платеж, то это будет классифицироваться как поддержка экстремистской организации. В остальных социальных сетях как вчера, так и сегодня можно вести бизнес без новых примечаний. Также не будем забывать об отечественных платформах, которые стали достойной альтернативой. 

— Ранее для оценки защищенности платежной инфраструктуры использовались стандарты PCI DSS, ISO 27001. На что сейчас можно ориентироваться банкирам и торгово-сервисным предприятиям при угрозе кибератак? 

— Для платежных систем и банков много стандартов. Они как были, так и остаются. Есть международные стандарты, а есть стандарты РФ, к примеру ГОСТ Р 57580.1-2017.  

Если главная задача — безопасность, то стандарты не потеряли своей актуальности. Наличие сертификатов — тоже реальный и значимый показатель. Другое дело, что получить действующий международный сертификат может быть затруднительно или вообще нереально. Известны случаи, когда отзывали или останавливали действие международных сертификатов у физлиц и отзывали сертификаты технической поддержки у компаний. Поэтому получить одобрение «старшего брата» не выйдет, но это не значит, что аудиты и аудиторы куда-то пропали и они не помогут реальной, а не бумажной безопасности. Сейчас самое время сделать все максимально безопасным, так как окружающий мир стал крайне агрессивным.