— Андрей Петрович, как изменилась картина мира в части информационной безопасности за последний год именно для банков?

— Мы поняли, что зависимы от иностранного софта, ощутили, что он лежит в основе информационных систем организаций. Так было и раньше, но понимание последствий пришло относительно недавно. Мы на практике сталкиваемся с потоком запросов от организаций на импортозамещение: в основном это происходит для закрытия новых требований регулятора, однако уже есть случаи нестабильной работы жизненно важных систем. Эти кейсы говорят о том, что проблема перетекает из области регуляторных рисков в риски производственные. К банковским организациям это относится в меньшей степени: доля отечественного ПО у них довольно высока, в сфере средств защиты информации доходит до 80%, немало российских приложений бизнес-уровня, но в части использования системного ПО, популярных платежных и бухгалтерских систем, вычислительного оборудования импортных продуктов довольно много.

Проблема импортозамещения в связи с нарастающим санкционным давлением коснулась не только сферы ИБ, но даже в большей степени IT и бизнеса. Основная сложность заключается в необходимости соблюдать ужесточающиеся требования в части ИБ, а также поддерживать «качество жизни» организации при замене систем (сетевого и серверного оборудования, систем виртуализации, систем автоматизации бизнеса и других). Это необходимо рассматривать неотрывно от задач действующего бизнеса и потребности в непрерывном функционировании.

Можно долго спорить, началась или нет полномасштабная кибервойна, но все ее составляющие на лицо. Основными действующими лицами в этом процессе являются частные структуры, группировки, которые имеют в первую очередь коммерческий интерес, но наплыв «хактивистов» создает дополнительное давление. Появились и признаки координации разрозненных действий. В первую очередь это касается атак на сайты и ресурсы госорганизаций, крупных корпораций и банков. Ботнеты, задействованные в атаках, пополняются в том числе за счет домашних устройств «неравнодушных» граждан. Недавно в мире была выявлена рекордная по мощности атака вида HTTPS-флуд, показавшая плотность 26 млн запросов в секунду. При этом были использованы «угнанные» виртуальные машины и мощные серверы, а также ботнет из 5067 хостов в сетях облачных провайдеров 120 стран.

Есть еще проблема «внутреннего нарушителя», которая на фоне последних событий только усилилась. Здесь решающими факторами являются индивидуальное отношение работодателя и сотрудника, индивидуальная гражданская позиция, а также неизменное во все времена желание получить больше. Купировать этот риск можно только посредством правильно выстроенных процессов ИБ и службы безопасности, а также настройки политик безопасности. Но даже в этом случае риск утечки данных остается. Последний пример — КНР, в которой при чрезвычайно сильном централизованном управлении и выстроенной на государственном уровне системе защиты интернета персональные данные 1 млрд граждан оказались доступны в даркнете.     

Отмечу также, что отслеживание всех упомянутых аспектов относится к аналитической деятельности и не всегда может быть качественно и вовремя выполнено специалистами кредитной организации самостоятельно в силу разных причин.

— Какие актуальные киберугрозы вы видите для клиентов банка?

— Некоторое время после начала специальной военной операции давление на клиентов банков со стороны мошеннических колл-центров ослабло, но постепенно количество звонков от мошенников восстанавливается.

Социальная инженерия была и остается камнем преткновения для системы обеспечения ИБ практически любой организации. Невозможно уйти от человеческого фактора в контексте разговора о дополнительных мерах защиты: необходимо повышать осведомленность граждан в области информационной безопасности, правильно проводить обучение на всех уровнях. Дело не в защищенности информационных систем госструктур или банковских организаций от кибер­атак, а в повышении операционной безопасности на уровне бизнес-процессов. В этом отношении на уровне Банка России делается многое. Например, предлагается изменить порядок возврата похищенных денежных средств, ввести «период охлаждения» и механизм отключения ДБО «дропам», наладить обмен с МВД, ввести механизм самоограничения онлайн-операций.

Уже запущено обсуждение механизма самозапрета на выдачу кредита, это большой шаг в сторону повышения защиты клиента от применения его данных мошенниками,

но культуру защиту данных необходимо культивировать, возможно, это должна быть повестка в том числе самих организаций как элемент их клиентоориентированности.

Несмотря на многочисленные действия на уровне регулятора и представителей банковской индустрии, остается нерешенной задача повышения образованности рядовых пользователей в области противодействия мошенническим действиям. Ведь в большинстве случаев атак на клиентов не задействуются сложные технические решения, пользователи сами устанавливают легкие пароли на свои устройства, открывают подозрительные вложения в почте, общаются с мошенниками по телефону, способствуя тем самым их целям вместо того, чтобы прекратить общение и перезвонить в банк.

— Что произошло в сфере регуляции ИБ банковского сектора? Какие изменения вы могли бы выделить?

— Для банковских организаций всегда устанавливались наиболее жесткие требования в области ИБ по понятным причинам. Существующая нормативная база до недавнего времени в достаточной мере покрывала все потенциальные риски. Но санкции и участившиеся кибератаки внесли коррективы, появилась потребность в усилении защитных и контрольных функций. 

Один из обсуждаемых сейчас вопросов — это применение оборотных штрафов в рамках нарушений Закона № 152-ФЗ. Это европейская практика (GDPR), в России она никогда не применялась, штрафы за утечки данных не оказывают сейчас существенного давления на организации. Статистика показывает, что со стороны банков утечки происходят крайне редко; как правило, клиентские данные уходят к мошенникам от владельцев этих данных, но крупные утечки 2022 года показывают необходимость ужесточения контроля, и это задача всех операторов персональных данных. Риски утечки данных становятся все более актуальными, это подтверждает наша практика: число запросов на контрольные процедуры в части Закона № 152-ФЗ со стороны банковских организаций увеличилось почти в 2 раза по сравнению с прошлым годом.

В конце прошлого года поднимался вопрос возврата банком украденных у его клиентов денежных средств. Инициатива ЦБ заключается в том, чтобы обязать банки возвращать похищенные деньги клиентам в 30-дневный срок. Это продиктовано низким уровнем возврата денег по мошенническим операциям. Но в течение 2022 года эта инициатива не получила развития. Инициатива направлена на клиента банка, однако основная доля мошеннических инцидентов, связанных с похищением денежных средств с банковских счетов, совершается с применением методов социальной инженерии, а это значит, что решение проблемы остается в руках самих граждан, требует повышения знаний в области информационной безопасности и, конечно, обеспечения безопасности собственных финансовых средств.

В ряде положений Банка России отражается одна из ключевых проблем информационной безопасности, а именно импортозамещение. Представители рынка задаются следующим вопросом: должна ли организация жертвовать функционалом импортной системы в угоду потребности обеспечивать защиту от угрозы проникновения или отключения системы? Единого мнения на этот счет нет, решающим фактором становится давление бизнес-подразделений, являющихся основными заказчиками подобных изменений. Мы рекомендуем с особым вниманием отнестись к вопросам, которые рассматриваются в положениях ЦБ РФ № 716-П и № 787-П, отражать риски отключения информационных систем в плане обеспечения непрерывности и/или восстановления деятельности кредитной организации в случае возникновения непредвиденных обстоятельств (ОНиВД), а также к вопросам, которые рассматриваются во внутренних нормативных документах, регулирующих непрерывность деятельности организации. Примеров полноценного импортозамещения пока нет — мы не учитываем здесь компании наподобие Сбера или ВТБ, которые в целом занимаются скорее переходом на проприетарные разработки. Требования в части имопортозамещения частично начали появляться только в мае 2022 года с Указом № 250 Президента РФ, который обязал ряд системно значимых организаций произвести замену иностранных средств защиты информации (производители которых базируются в недружественных странах) на российские аналоги до 1 января 2025 года. Вопрос импортозамещения вышел на такой уровень вследствие ухода с нашего рынка основных поставщиков услуг и оборудования, постоянно нарастающего санкционного давления, угроз отключения от поддержки и сопровождения, внедрения враждебного ПО в получаемые параллельным импортом обновления или эксплуатации уязвимостей жизненно важных для организаций систем.

Ботнеты, задействованные в атаках, пополняются в том числе за счет домашних устройств «неравнодушных» граждан

— Нужно ли с учетом всех актуальных событий «закручивать гайки» или лучше ослабить регуляторное давление?

— Удобного времени для обязательных проверок не бывает. Велика вероятность, что актуальность тех или иных проверок будет пересмотрена в ближайшее время ввиду необходимости смещения фокуса в сторону практической кибербезопасности — об этом ярче всего свидетельствует появление упомянутого Указа № 250. Это отнюдь не означает отказ от проведения обязательных проверок. Для представителей критической информационной инфраструктуры (КИИ), госкомпаний, организаций, обрабатывающих чувствительную информацию, и системно значимых организаций проверок стало больше, но для подавляющего большинства появление новых требований — повод задаться вопросом саморегуляции. Ужесточается не только внешний контроль, но и самоконтроль, рождается понимание реального положения дел, появляется осознанность. Определенно, необходимо усилить контроль за практической готовностью организаций к защите от кибератак, как внешних, так и внутренних. Тестирование на проникновение мы рекомендуем проводить чаще, чем того требует большинство нормативно-правовых актов в области ИБ, — не реже одного раза в шесть месяцев.

— На что направлена актуальная регуляторная политика? 

— Регулятор во многом сейчас ориентируется на рынок и его наиболее активных игроков, изучение частных решений позволяет формировать подходы, что, на мой взгляд, корректно с точки зрения нашей общей цели. Например, относительно недавно встал вопрос о достаточности применяемых защитных мер, которые как раз и определяются на уровне самой организации, основываются на ее модели угроз и недопустимых событиях. Для создания единого подхода сначала рассматриваются частные случаи.

Регуляторная политика в этом плане стала больше ориентироваться на подходы, возникающие естественным образом, эта гибкость позволяет формировать требования, максимально приближенные к реальным проблемам компаний. Как я уже говорил, проведение тестирования на проникновение, оценки защищенности (по крайней мере, внешнего периметра) необходимо проводить хотя бы один раз в полгода: сами базы уязвимостей обновляются чаще, необходимо поддерживать защищенность систем в актуальном состоянии. Именно из этой мысли исходит и Указ Президента РФ № 250, который в части контроля исполнения и формирования самой повестки мы относим ко ФСТЭК (Федеральной службе по техническому и экспортному контролю), Минкомсвязи и ФСБ. Здесь четко были выставлены приоритеты: техническая готовность к противодействию кибератакам, рискориентированность при определении областей применения ИБ, возложение прямой ответственности за обеспечение ИБ на заместителя руководителя организации с расширением его полномочий в этой сфере, вопросы импортозамещения. Подчеркну, что требования в части ИБ будут не столько ужесточаться, сколько переориентироваться в сторону усиления контроля, имеющего максимальную практическую ценность.

Не следует также игнорировать активизирующуюся законодательную и регулятивную деятельность в части усиления защиты персональных данных и внедрения биометрических технологий аутентификации. Эти вопросы требуют дополнительной проработки и соответственного реагирования на них со стороны кредитно-финансовой организации.

— К чему следует готовиться банкам? Каким угрозам/рискам в том числе регуляторным, отдать приоритет?

— Вопрос приоритетов — один из наиболее спорных, коллеги из банковской среды меня в этом поддержат. С одной стороны, банки представляют собой цельные монументальные структуры — это хорошо в том смысле, что процессы и политики выстроены там таким образом, что практически исключают возможность обрушить что-то частными изменениями. С другой стороны, это же является слабостью системы, так как она плохо поддается изменениям, в том числе необходимым. Это отчетливо просматривается в вопросе импортозамещения. Риски использования систем иностранного происхождения постепенно выходят на первый план. Использовать продукты, отключенные от поддержки и обновлений, долго нельзя, необходимо уже сейчас начать планирование работ по их замене.

С чего начать импортозамещение? Это более точный вопрос. Если мы говорим о коммерческих организациях, то в первую очередь нужно обеспечить максимальное соответствие требованиям к функциональности системы автоматизации бизнеса, а уже потом подбирать остальное.

Практика показывает, что заменяемые в рамках регуляторных требований средства защиты информации должны быть совместимы с остальным ПО, и начало замены от сердцевины позволит избежать несовместимости с системами, обеспечивающими функционирование бизнеса.

В первую очередь это вопрос бюджета, но смотреть на него надо в перспективе: сейчас многие с трудом готовы выделить средства, необходимые для замены СЗИ, но представьте себе, что будет, когда появится реальная потребность в замене жизненно важных систем. Как я уже говорил, это вопрос приоритетов, но рассматривать данную задачу лучше в большем масштабе, чем удовлетворение частным регуляторным требованиям.

Другие угрозы и риски в части ИБ должны покрываться актуальной моделью угроз и перечнем недопустимых событий. Что касается необходимых проверок, нужно уделять особое внимание динамическим показателям защищенности. Наиболее актуальными контрольными процедурами являются тестирование на проникновение, мониторинг инцидентов и киберучения. Необходимо перерабатывать известные сценарии, которые будут влиять на непрерывность деятельности, в динамике. Это позволит поддерживать реальный уровень защиты на высоком уровне.

Атаки будут продолжаться, их характер уже носит систематический характер, и даже того, что попадает в прессу, достаточно, чтобы оценить масштаб угрозы. А конкретные риски уже каждая организация должна определить для себя самостоятельно.

Рядовой сотрудник банка не менее уязвим к воздействию мошенников, чем его клиенты. Риски атак методами социальной инженерии купируются в рамках внутреннего тестирования на проникновение. В этом отношении также эффективно показывают себя платформы для организации автоматизированных фишинговых рассылок. Мы на практике убедились, что регулярность и частота подобных проверок очень важны, так как уровень подготовки персонала к атакам извне следует поддерживать, необходимо постоянно изучать новые мошеннические схемы, и подобные платформы позволяют это делать более эффективно.

В целом, на практике сейчас возникает сложная и ответственная задача фактического «реинжиниринга» системы обеспечения информационной безопасности кредитно-финансовой организации применительно к складывающимся условиям, а это почти неминуемо требует разработки комплекса взаимно увязанных мероприятий. Тут каждый должен принять для себя, что лучше: решать все проблемы частями и самостоятельно, отвлекая собственные силы и средства, или рассматривать задачу комплексно, задействовав внешний ресурс.