В дискуссии участвовали такие эксперты отрасли, как Валерий Комаров, начальник отдела обеспечения осведомленности Управления информационной безопасности ДИТ г. Москвы; Сергей Белов, руководитель продуктовой безопасности Mail.ru; Олег Ковпак, директор по продуктам компании ID R&D; Андрей Курило, президент компании «Реальная безопасность»; Михаил Левашов, профессор НИУ ВШЭ; Александр Виноградов, консультант по ИБ Нефтепромбанка; Аркадий Затуловский, IT-директор Нордеа Банка (Nordea); Василий Окулесский, заместитель начальника службы ИБ банка «Возрождение»; Максим Степченков, гендиректор компании RuSIEM; Карл Сумманен, независимый эксперт; Николай Силин, эксперт Международного дискуссионного клуба «Валдай»; Виталий Матвиенко, начальник отдела ФЦНИВТ «СНПО «Элерон». Секцию вел Тимур Аитов, заместитель председателя комиссии по цифровым финансовым технологиям ТПП РФ, заместитель генерального директора ГК «Программный продукт».

Самый быстрый читатель в мире

После первого дня работы Форума и демонстрации кейсов по хакерским группировкам ни у кого не осталось сомнений: киберпреступный мир развивает свои технологии, ничуть не отставая от темпов «гражданской» цифровизации. Нет сомнений и в том, что банкам как для снижения репутационных рисков, так и под давлением регулятора волей-неволей придется создавать новые поколения систем безопасности ДБО. Но не отпугнет ли клиента излишняя забота о его безопасности, за которую придется платить усложнением интерфейса и дополнительными нажатиями на кнопки?

В острой полемике эксперты нащупывали баланс между безопасностью и удобством. Следует ли, создавая защиту от все более изощренных угроз, часть заботы о безопасности переложить на пользователя? Усложнять устройство интерфейса, усложнять процедуры взаимодействия с банком? Или безопасность — это целиком ответственность банка, и она должна быть зашита в приложение так, чтобы пользователь не знал об автоматически предотвращаемых угрозах? С одной стороны, продвинутый пользователь хотел бы сам настраивать лимиты кредитной карты, лимиты на операции по каналам ДБО, иметь возможность отключаться от активных операций, регулировать уровень защиты в зависимости от суммы платежа. С другой стороны, более 99% пользователей ничего знать об этом не хотят и в любом случае, выбирая между безопасностью и удобством, выберут удобство. С одной стороны, хотелось бы видеть пользователя более ответственным и грамотным в вопросах безопасности. С другой — российский пользователь имеет свою специфику и в массе своей таковым быть не желает. Бытует шутка, что наш читатель — самый быстрый читатель в мире: зазор между открытием файла с условием обслуживания и нажатием кнопки «согласен» — буквально одно мгновение.

В битве аргументов в ход пошли кейсы. Один банк, создав сверхзащищенную систему ДБО с усложненной процедурой идентификации/аутентификации, в результате потерял значительную часть клиентов. А один россиянин, посетив Австралию и пытаясь провести оттуда транзакцию по карте, был опознан системой безопасности своего банка как угроза и задержан полицией отеля. Сегодня даже сотрудники служб ИБ не всегда знают, какой банк обслуживает их зарплатную карту и на каком уровне решены там вопросы безопасности. А кто-то из присутствовавших пробовал убедить и приучить сотрудника, проводящего по 100 платежей в день, подтверждать не с помощью СМС, а с использованием второго фактора аутентификации?

Перевес в споре оказался в пользу тех, кто видит ответственность банка за ИБ, тем более что банки являются субъектами критической информационной инфраструктуры и ответственность за безопасность вменена им законодательно.

Все эксперты согласились: нужно думать о том, как воспитать клиента, повысить его осведомленность, его готовность к осознанному выбору. Однако в одночасье проблему не решить, а колеса бизнеса должны крутиться постоянно.

Эксперты отметили также, что к большим банкам клиенты обычно привязаны настолько, что информация об инцидентах и утечках на клиентскую лояльность сильно не влияет. Иное дело — малые банки, отказаться от услуг которых клиенту гораздо легче. По мере того, как киберпреступные посягательства будут становиться все более частыми и изощренными, конкуренция сама вытеснит с рынка малые банки с большим количеством инцидентов.

Бюро медвежьих услуг

Участники были единодушны во мнении, что ЦБ, ФСТЭК и другие госорганы должны активно участвовать в обеспечении информационной безопасности банковской сферы. Однако конкретные действия регуляторов вызвали острую критику многих участников дискуссии, особенно со стороны бизнеса. Практика показала, что выполнение всех требований Закона о защите персональных данных затратно и отвлекает много ресурсов, однако эффективность предусмотренных данных мер крайне низкая.

Один россиянин, посетив Австралию и пытаясь провести оттуда транзакцию по карте, был опознан системой безопасности своего банка как угроза и задержан полицией отеля

Еще один пример неэффективных решений «сверху»: в декабре 2019 года правительство опубликовало список компаний, которым было предписано перейти на отечественный софт. Никто не просчитал, однако, реалистичность выполнения задачи. Как, мог, например, Аэрофлот начать использовать 50% российского софта, при том что все тренажеры для подготовки пилотов были импортными?

Эксперты выразили обеспокоенность следующим обстоятельством. Требование ФСТЭК к обязательной сертификации программ ДБО означает, что сертифицировано должно быть и каждое обновление. При этом процедура сертификации занимает девять месяцев. начит, если с 1 июля ЦБ  начнет применять заявленные им жесткие меры к нарушителям, то рыночные позиции потеряют те банки, конкурентные преимущества которых строились на высокой скорости выпуска обновлений. Многим банкам придется уйти с рынка, а скромные по доходам банки ниже топ-200 будут полностью ликвидированы. Из обсуждения естественным образом вытекает ряд вопросов. Проводил ли ЦБ подобные прогнозные прикидки? Хватит ли у него политической воли до конца реализовать свое предупреждение? Готов ли он отвечать за социальные последствия?

Безопасная разработка и культурный код безопасности

Участники согласились с тем, что безопасностью приложения ДБО следует заниматься уже на самых ранних этапах проектирования или обновления сервиса. Это можно обеспечить участием специалистов по ИБ в работе кросс-функциональных продуктовых групп — используя получающий все большее распространение в мире принцип DevSecOps. В идеале же хотелось бы повысить ИБ-культуру самих разработчиков, чтобы «ИБ-специалист сидел внутри каждого». Сегодня традиции гибкой разработки во многих банках сложились так, что скрам-команды заточены на максимальную скорость, и дополнительное включение в их работу темы безопасности встречает сильное сопротивление. Можно ли внедрить ген безопасности в процесс гибкой разработки? Как показывает практика, например, Mail.ru, — можно. Но не приказами и не силовым нажимом. Необходимо встречаться, вести кропотливую просветительскую работу, демонстрировать конкретные инциденты — тогда сделать разработчиков союзниками служб ИБ можно за полгода. Такие примеры показывают, что в современных IT-компаниях и подразделениях в квалификации управленца все большую роль начинает играть искусство работать с корпоративной культурой, буквально — заниматься убеждением и воспитанием.

Вот некоторые из предложенных экспертами рекомендации для безопасной разработки:

• разработка обязательно должна включать в себя задачу защиты пользователя в ситуации, когда рабочее место уже скомпрометировано — похищены логин, пароль и т.п.;

• важно не только создать невзламываемый код, но и разработать безопасный порядок взаимодействия клиента с банком. Например, пользование Системой быстрых платежей построено таким образом, что с ее помощью можно постепенно собрать базу некоторых персональных клиентских данных и затем использовать ее для социальной инженерии.

Киберпреступный мир генерирует новые угрозы с невиданной быстротой, и нужно быть готовыми к тому, что обеспечить 100%-ную защиту в процессе разработки все равно не удастся. После передачи обновления или нового сервиса в эксплуатацию могут появляться новые угрозы, о которых не было известно на старте проекта. Эксперты обратили внимание на то, что российские банки не контролируют платформы «цифровых феодалов» (их СБУД, ОС, интеграционные платформы и т.п.), включая железо, на котором они реализованы.

Выполнение всех требований Закона о защите персональных данных затратно и отвлекает много ресурсов, однако эффективность предусмотренных данных мер крайне низкая

И здесь на выручку специалистам по безопасности должны прийти и уже приходят технологии машинного обучения (ML), позволяющие выявлять аномалии, т.е. отклонения от штатного поведения систем и штатного контента — в сети, на сайте, на устройстве пользователя. В простых случаях сигнал об аномалии запускает автоматический алгоритм распознавания и ликвидации угрозы, в более сложных — для анализа случившегося и принятия мер подключаются специалисты. При таком подходе не только выявляются новые виды попыток взлома, но и обнаруживается активизация вредоносного контента, занесенного в систему ранее и прячущегося до поры до времени в режиме «невидимки».

Кроме того, применение ML дает эффектный выход из ситуации, когда клиент не желает усложнять процедуры пользования ДБО ради безопасности. Проблема решается с помощью ML на основе поведенческих признаков: сначала нейросеть усваивает типовые паттерны работы клиента с интерфейсом, а потом начинает реагировать на поведенческие аномалии: непохожая стилистика нажатия на кнопки, непохожие временные интервалы. Близкая и уже реализованная идея — использовать идентификатор, подделать и имитировать который невозможно: не контролируемые человеком и характерные только для него рефлекторные реакции. Это позволяет решить проблему возможной подделки таких идентификаторов, как лицо, глаза, форма ушей и т.п.

О безопасности российского софта

В ходе дискуссии было высказано сомнение в безопасности продуктов, входящих в реестр российского ПО. Дело в том, что большинство разработчиков, в том числе разработчиков банковских продуктов и средств защиты информации, используют исходные коды библиотек Open Source. Но всегда ли они разбирают по косточкам сами исходные коды? Можем ли мы быть уверены в том, что в эти коды не зашита информационная угроза, что исходные коды библиотек создавались бескорыстно в интересах всего мира? Все эти вопросы необходимо принимать во внимание в отношении каждого продукта. Противоположная точка зрения — уверенность, что библиотеки Open Source создают прежде всего энтузиасты, участники исторически сложившегося неформального сообщества со своей этикой и своими традициями. В первую очередь разработчики создают коды для своих собственных нужд, а уже во вторую предоставляют их в открытый доступ. В библиотеках кодов находят много уязвимостей, и эти уязвимости устраняются силами самого же сообщества.

ИИ vs ИИ

Сегодня инновационными технологиями ML вооружаются не только службы ИБ, но и киберпреступники. Случаи атак с использованием искусственного интеллекта не так уж редки. Возможно, таких случаев даже больше, чем выявленных инцидентов. О фактах длительного скрытого присутствия злоумышленников в системах своих жертв подробно рассказывали на первом дне Инфофорума Игорь Ляпунов (Ростелеком) и Ильяс Киреев, менеджер компании Positive Technologies. На секции один из экспертов привел результаты анализа действий злоумышленников разной «квалификации» при атаках на ДБО. Те, что попроще, продолжают ломиться в систему даже после того, как выставлена блокировка. Более продвинутые останавливают атаки, а настоящие мастера используют ML-анализ системы защиты, на ходу перестраивают алгоритм, меняют способ атаки и, заходя на второй круг, успешно проникают через заслоны ИБ.

В частной беседе руководитель компании ID R&D презентовал для журнала «Банковское обозрение» материал о том, каким образом технологии машинного обучения могут позволить киберпреступникам взломать систему биометрической аутентификации.

Среди разнообразных типов атак на системы банков возможен и такой неочевидный вариант, как отравление баз данных. Вендоры, разрабатывающие биометрическую защиту, берут обычно информацию из Интернета. Но можно ли гарантировать, что злоумышленник не залил в Интернет свои фотографии, «отравленные» таким образом, что они научат биометрический алгоритм не угадывать его лицо? Теоретически такой вариант вполне возможен.

Кролики против удавов

Бизнес дистанционных услуг приобретает трансграничный характер. Как сказал один из экспертов, цифровая суверенность государств проходит уже не по пропаханным на земле границам, а по IP-адресами в наших гаджетах. В банковской отрасли все более заметным становится присутствие глобальных цифровых гигантов — Google, Amazon, Facebook Apple и др. Эти корпорации создают межстрановые платежные инфраструктуры и быстро наращивают количество пользователей. Фактически «цифровые феодалы» уже выполняют банковские функции, не считаясь при этом с местными законодательствами. В Европе они не соблюдают GDPR, в России, подпадая под критерий «ведение деятельности на территории страны» (язык, целевая аудитория и валюта), игнорируют российское законодательство и уходят от контроля регуляторов. В 2019 году они перехватили инициативу в создании инновационных платежных инструментов и теперь начинают навязывать свои решения правительствам. Каковы перспективы развития этого сюжета в России?

Как показывает пример Mail.Ru Group, необходимо вести кропотливую просветительскую работу, демонстрировать конкретные инциденты — тогда сделать разработчиков союзниками служб ИБ можно за полгода

Эксперты отметили, что, несмотря на перегибы российских законодателей в области персональных данных, проблема их защиты стоит остро и все более обостряется по мере того, как такие данные превращаются в товар, а роль и цена товара растет. Наращивание объемов персональных данных граждан РФ в банках глобальных корпораций — реальная угроза как минимум для экономического суверенитета страны.

Заставить считаться глобальные компании с национальными интересами России крайне сложно: слишком разнятся весовые категории. Цифровые гиганты строят свою внешнюю политику на основе понятия «маркетинговый макрорегион», т.е. территория, на которой живет не менее 300 млн пользователей. Ни Россия, ни ЕАЭС не являются для них значимыми территориальными единицами.

Если сегодня нет рычагов влияния на IТ-гигантов, то, быть может, ограничить каким-то образом доступ граждан к их сервисам? Но как? Просвещать или запрещать? В споре победила точка зрения, что законодательные и технические меры будут малоэффективными, и попытки решить вопрос «в лоб» выльются лишь в борьбу регуляторов с миллионами собственных же граждан, привыкших жить в окружении удобных сервисов.

Эксперты отметили успешность проактивного проекта с созданием национальной системы платежей и выпуском платежной карты «Мир». Следуя этой логике, они обозначили возможность создания альтернативного глобального сервиса общими усилиями дружественных стран — такая инициатива уже обсуждалась около 10 лет назад. Не исключили и того, что президент, Совбез РФ, ЦБ и другие государственные органы смогут придумать политический маневр, который заставит «цифровых феодалов» считаться с интересами государства.