ИТ-портал компании «Инфосистемы Джет»

Беседуем со Станиславом Павлуниным, вице-президентом по безопасности Тинькофф Банка

Беседуем со Станиславом Павлуниным, вице-президентом по безопасности Тинькофф Банка

«По сути дела, мы не банк в чистом виде. Мы – ИТ-компания с банковской лицензией, и это накладывает свою специфику на процессы обеспечения ИБ», – так начал нашу беседу Станислав Павлунин, вице-президент по безопасности Тинькофф Банка.

C.П.:Естественно, в наш ИБ-ландшафт входит классическая часть, характерная для любой банковской организации: DLP-система, антивирусная система, система доступа пользователей к БД, контроль пользователей, которым доступны различные подключения, дополнительные опции – ICQ, Skype и т.д.

В то же время есть ИБ-составляющая, обусловленная спецификой работы банка. Для Тинькофф Банка в большей степени характерны риски, присущие ИТ-компании. У нас в штате большое количество ИТ-разработчиков, администраторов, кроме того, есть представители партнеров-аутсорсеров. И нам важно контролировать людей, которые работают удаленно. Мы используем классическую банковскую модель ИБ, где внутри все контролируется, при этом у нас есть внешний элемент – наши подрядчики. Мы обеспечиваем контроль их деятельности на точках входа в инфраструктуру и внутри.

Также нам близка концепция BYOD: мы применяем ее в банке и используем систему Mobile Device Management.

J.I.: Какие угрозы, по вашему мнению, сейчас находятся «на пике популярности» в отрасли?

C.П.:На мой взгляд, это целевые атаки, социальный инжиниринг и, конечно же, DDoS-атаки, которые никуда не исчезали и только продолжают набирать «популярность».

Тинькофф Банк – инновационный онлайн-провайдер финансовых услуг, работающий в России через высокотехнологичную платформу без розничных отделений. Банк основан в 2006 году предпринимателем Олегом Тиньковым для дистанционного обслуживания клиентов на российском рынке финансовых услуг. В 2009 году банк начал принимать вклады населения, является участником Системы страхования вкладов.

Банк является одним из лидеров российского рынка кредитных карт: по состоянию на 1 марта 2015 года выпущено более 5 млн кредитных карт. Банк хорошо капитализирован: уровень достаточности капитала по нормативу Н1 ЦБ РФ составляет 15,2% по состоянию на 1 февраля 2015 г.

Чистая прибыль материнской компании TCS Group Holding PLC, включающей Тинькофф Банк и страховую компанию «Тинькофф Страхование», по МСФО по итогам 2014 г. составила 3,4 млрд руб.

Тинькофф Банк назван «Банком года в России» и самым прибыльным российским банком в 2013 году по версии журнала The Banker, ведущего международного финансового издания, входящего в группу Financial Times. В 2012 году аналитический банковский журнал Global Finance и портал Банки.ру признали Тинькофф Банк лучшим розничным интернет-банком в России. В 2014 и в 2013 гг. эксперты Deloitte признали мобильное приложение Тинькофф Банка лучшим в России, а Markswebb Rank & Report назвал интернет-банк Тинькофф Банка самым эффективным в России в 2014 году. Тинькофф Банк входит в Систему страхования вкладов (Система гарантирует каждому вкладчику банка, входящего в систему, возврат 1,4 млн рублей по депозитам и текущим счетам, включая процентный доход.)

J.I.: Какие из них актуальны для вас? Как именно вы им противостоите?

C.П.:Мы сталкиваемся со всем вышеперечисленным. Поскольку приоритетом для Тинькофф Банка является развитие каналов ДБО, мы стараемся по максимуму обезопасить себя от DDoS-атак. В комплекс мер входят переработка наших внутренних процедур, организация ряда запасных каналов переключения, дополнительная установка мощного оборудования.

Что касается АРТ-атак, мы озаботились этим вопросом в прошлом году и выбрали несколько систем, которые позволяют предотвратить подобные угрозы. Мы постоянно общаемся на тему целевых угроз с представителями профильных отделов других банков, делимся между собой опытом. На сегодняшний день мы выстроили комплексную защиту от подобных атак.

Защитой же от социальных инженеров являются, во-первых, проведение регулярных тестов на проникновение с атаками на персонал и, во-вторых, обязательное и систематическое обучение персонала навыкам безопасной работы с банковскими системами. Для проведения таких работ мы часто привлекаем консультантов.

J.I.: Какие еще ИБ-задачи оптимально решать с помощью привлечения внешних консультантов? Есть ли подобные примеры в вашей практике?

C.П.:В случае, когда в ИБ-штате нет возможности держать большое количество сотрудников, а это характерно для большинства коммерческих банков, мы делаем ставку на максимальную автоматизацию.

Для нас интересны мониторинг и реагирование. В этом году мы провели интересный пилот совместно с вашей компанией – опробовали услугу JSOC, которой остались очень довольны.

J.I.: Что можно и целесообразно, а что ни в коем случае нельзя отдавать «на сторону» ИБ-аутсорсеру?

C.П.:Существует много мнений по этому поводу, я думаю, что критичные вещи должны оставаться внутри банка, а операционные, не сильно критичные, массовые кейсы вполне можно передать на аутсорс.

J.I.: За окном кризис, особый смысл приобретают задачи повышения эффективности. Как вы управляете эффективностью ИБ?

C.П.:Стараемся по максимуму автоматизировать процессы, что увеличивает эффективность. Драйвером автоматизации является сам бизнес, при этом автоматизация требует продуманного подхода. Очень важной мы считаем работу по гармонизации имеющейся нормативной базы и доведение до ума всего имеющегося парка средств защиты. Согласитесь, ненастроенная SIEM- или DLP-система способны больше помешать бизнесу, чем снизить риски. Поэтому область наших интересов в части повышения эффективности ИБ лежит не только и не столько в какой-то отдельной, например, технической сфере, а затрагивает весь комплекс защитных мер.

В то же время хочу отметить один принципиальный момент: классическая банковская организация может себе позволить держать в штате 50 операторов, которые будут отвечать за простейшие задачи. Тинькофф Банк давно ушел от этого подхода: весь наш персонал – anykey-специалисты, они взаимозаменяемы. Подобным образом строится работа коммерческих структур, некоторых инвестиционных компаний, банков.

J.I.: Куда направлен ваш вектор развития ИБ в 2015 году – планы на ближайшее будущее?

C.П.:У Тинькофф Банка есть стратегия развития, в ней значатся несколько направлений. Например, MDM-BYOD – контроль мобильных пользователей.Сотрудник, которому нужен обоснованный рабочий доступ к почте со смартфона/планшета, может написать соответствующую заявку и доступ будет ему предоставлен. Гораздо проще раздать доступ к корпоративным ресурсам со смартфона всем, но правильнее с точки зрения ИБ сделать это только для тех сотрудников, кому оперативно нужны ресурсы банка. Поэтому мы активно развиваем у себя концепцию BYOD, подразумевающую контроль над мобильными пользователями, кроме того, совершенствуем нашу DLP-систему.

Еще одно ИБ-направление – это обеспечение постоянного мониторинга инцидентов ИБ.

И, конечно же, борьба с киберпреступлениями, мы убеждены в том, что дела, связанные с киберпреступлениями, надо доводить до конца, нельзя оставлять безнаказанными злонамеренные действия отдельных лиц против банков.

J.I.: Каковы тренды информационной безопасности в России образца 2015 года?

C.П.:На тренды посмотрим в конце года, но мне уже сейчас ясно, что будут появляться новые киберугрозы и в этой связи доля высокотехнологичных преступлений вырастет.

J.I.: Станислав, большое спасибо за беседу!

Вернуться к списку статей
Оставьте комментарий
Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: journal@jet.su