© 1995-2021 Компания «Инфосистемы Джет»
Важность информационной безопасности, как страховки для бизнеса
Информационная безопасность

Банковский сектор является одним из самых зрелых с точки зрения информационной безопасности (ИБ) в России. Финансовые институты стали своего рода полигоном для испытания новых мошеннических приемов и технологий.

«Информационная безопасность — это страховка для бизнеса. Бизнес либо покупает эту страховку, либо нет»

№3-4 (282) / 2017

18.07.2017

Посетителей: 80

Просмотров: 66

Время просмотра: 1.5 мин.

Банковский сектор является одним из самых зрелых с точки зрения информационной безопасности (ИБ) в России. Финансовые институты стали своего рода полигоном для испытания новых мошеннических приемов и технологий. Именно поэтому мы попросили поделиться своим практическим опытом Дениса Улейко, заместителя директора департамента экономической безопасности СКБ-Банка.

— Денис, добрый день. В области ИБ много мифов... Какие риски наиболее актуальны, на ваш взгляд, для российского банковского бизнеса?

— Для финансовой сферы прежде всего актуальны попытки несанкционированного проникновения в инфраструктуру банков, причем цели этих проникновений могут быть разными. Никуда не делись утечки информации, а также внутренние угрозы, связанные с действиями сотрудников.

— В своем банке вы проводите тесты на проникновение?

— У нас был такой опыт. Мы в свое время обратились за подобной услугой, так как хотели получить внешнюю оценку защищенности наших онлайн-сервисов. У нас была и другая цель — мы хотели понять, по какому пути нам двигаться дальше: проводить ли пентесты на регулярной основе, своими силами или силами подрядчика?

 

В результате мы отказались от идеи проводить пентесты силами подрядчиков на периодической основе — это связано прежде всего со сложностью оценки эффективности данных работ и полученного результата. Чтобы оценить качество работы пентестера, надо быть пентестером, но если вы — пентестер, зачем заказывать работы?

 

В итоге мы приняли решение наращивать собственные компетенции, чтобы иметь возможность выявлять уязвимости самостоятельно. При этом сотруднику, проводящему пентест, знание архитектуры позволяет увидеть гораздо больше угроз, чем пентестеру, который часто работает по принципу «черного ящика». К сожалению, у этого подхода есть одно существенное ограничение: иметь в штате такого квалифицированного специалиста достаточно затратно.

 

Внешних пентестеров мы тоже планируем привлекать, но только на разовой основе для проверки результатов нашей работы.

— Насколько, на ваш взгляд, действия внешних пентестеров похожи на реальные атаки?

— Сложно сказать. При проведении пентеста мы всегда заботимся об отказоустойчивости системы, а это накладывает определенные ограничения. Конечно, у хакеров в этом смысле руки развязаны. Второй момент — все-таки пентестеры используют определенный набор уже известных приемов, чтобы получить доступ к системам компании, хакеры же зачастую идут еще нехожеными путями, и предугадать их действия сложно.

— Тогда перейдем к социальной инженерии… Как вы считаете, ей можно противостоять?

— Если глобально — нет. Безусловно, нужно работать с персоналом, обучать людей, как распознать методы социальной инженерии и правильно на них реагировать. Например, когда мы сами проводим у себя в банке такое моделирование, мы всегда думаем о некотором балансе, потому что прекрасно понимаем, что всегда можно подготовить такое письмо, которое сотрудник откроет с вероятностью 99,9. Поэтому успех злоумышленника, использующего эти инструменты, зависит от его целей, ресурсов и возможностей, финансовых и технических.

 

Очень показательны последние случаи, связанные с массовыми рассылками по банкам. Содержание этих писем говорит о том, что злоумышленники достаточно хорошо готовятся и делают неплохую целенаправленную социнженерию. А что будет, если они постараются еще лучше, и своей целью выберут конкретный банк или, даже, конкретного сотрудника? На мой взгляд, результат очевиден… Но с другой стороны, если даже злоумышленники получат несанкционированный доступ — это всего лишь первая или вторая линия обороны. Безусловно, безопасность должна быть комплексной. Важнее, на мой взгляд, то, как быстро мы сможем это обнаружить и устранить последствия. На текущий момент у нас есть определенные процедуры реагирования, мы используем комплекс систем для мониторинга — это позволяет нам оперативно выявлять и устранять инциденты ИБ. Скорость в этом вопросе — наш приоритет.

Для бизнеса важно, чтобы продукт был эффективным и помогал зарабатывать деньги. Бывает так, что под давлением бизнеса запускается «дырявый» сервис, в котором слабо учтены риски информационной безопасности

— Вы сказали, о важности работы с сотрудниками банка. Есть ли в банке программа обучения правилам информационной безопасности?

— В банке существуют различные обучающие материалы, которые в том или ином виде затрагивают и вопросы социальной инженерии. Организовано тестирование, позволяющее оценить уровень осведомленности персонала.

 

Кроме этого, 2–3 раза в год мы выбираем фокус-группу из числа сотрудников и, используя методы социальной инженерии, воздействуем на нее. Смотрим, как сотрудники, входящие в эту группу, реагируют на те или иные методы, какие из них в итоге оказываются удачными, а какие нет. А далее проводим разбор удачных методов — почему они сработали? Если на этом этапе мы поймем, что какой-то метод может быть применен массово и многие сотрудники попадутся на удочку, мы доводим информацию о том, как правильно вести себя, на что следует обращать внимание.

— DDoS-атаки — это то, с чем приходится сталкиваться всем банкам. Насколько эта тема актуальна для вас и как вы с этим боритесь?

— Степень актуальности DDoS-атаки для каждого банка, на мой взгляд, различна: чем больше банк, чем больше у него онлайн-сервисов, тем актуальнее эта угроза. Наш банк не входит в топ-10 банков, но при этом у нас есть определенное количество онлайн-сервисов, поэтому, конечно, защищаться необходимо. Хотя тема не нова, мы с DDoS столкнулись еще в 2008 году. Сейчас реализация такого рода атак стала намного проще — все это превратилось в реальный теневой бизнес с достаточно дешевым входом. Но по большому счету DDoS ничуть не хуже и не лучше других видов атак на ИТ-инфраструктуру. Успешно проведенная DDoS-атака — это чаще недополученная выгода для банка, а вот несанкционированное проникновение в ИТ-инфраструктуру, получение привилегированных прав доступа и, как результат, кража финансовых средств — это уже реальные финансовые потери.

— Согласна. Хорошо, тогда перейдем от темы атак к теме кадров, которые, как известно, решают все. Не секрет, что найти хороших специалистов по ИБ, тем более понимающих банковскую специфику, достаточно сложно. Как вы решаете эту проблему?

— В Екатеринбурге проблема еще более усугубляется по сравнению с Москвой. Хороших специалистов действительно мало. Кроме этого, нашему рынку несвойственна постоянная ротация кадров. Обычно люди на одном месте работают достаточно долго, поэтому найти специалиста сложно. По своему опыту могу сказать, что в моем подразделении почти нет сотрудников, которые бы пришли к нам с опытом работы. В основном это были либо студенты, которые только окончили вуз, либо сотрудники ИТ-службы, например, администраторы, которым захотелось попробовать свои силы в ИБ. Отдельно найти специалиста по информационной безопасности можно, специалиста по банковским технологиям — тоже, можно взять сотрудника из кадрового резерва. Но найти сотрудника, совмещающего эти два качества, крайне сложно.

 

Бывают такие случаи: приходит кандидат на собеседование и ему кажется, сейчас он попадет в информационную безопасность и сразу станет особенным, и это является его основной мотивацией. На самом деле это не так. Я не беру тех кандидатов, которым без разницы, чем заниматься: информационной безопасностью или в ИТ работать, разработчиком быть или администратором. Стараюсь брать только тех кандидатов, которые хотят заниматься именно ИБ, которые готовы развиваться в этом направлении.

— Как в вашем банке распределяются обязанности между ИТ- и ИБ-подразделениями, например, когда запускается новый онлайн-сервис или банковский продукт? Как разделяется ответственность?

— Правила игры мы определили достаточно давно, и им следуем. Мы просим, чтобы нас привлекали к таким проектам на ранних стадиях, еще на уровне планирования архитектуры. Нам необходимо быть в процессе, чтобы понимать, какие задачи пытаются решить ИT или бизнес. Конечно, случаются ситуации, когда у ИТ горит проект, в таких ситуациях про нас иногда забывают, но ничего — договариваемся и решаем вопрос.

— Зачастую объектами атаки становится не сам банк, а его клиенты. Может ли банк в такой ситуации помочь чем-то в борьбе с киберугрозами?

— Банк, как и любая другая организация, может и должен помогать клиентам своих сервисов обеспечивать безопасность, информировать их о рисках и о правильном поведении. Но тут есть один важный момент: клиент в свою очередь должен к этому серьезно относиться. Конечно, банк не может 100% защитить своего клиента, тем более, если клиент к этому относится легкомысленно — тогда риски в его отношении рано или поздно будут реализованы как в финансовой сфере, так и в личной жизни.

— Расскажите, пожалуйста, взаимодействуете ли вы с FinCERT, и какую помощь банки уже получают? Возможно, вам что-то хотелось бы улучшить в этом направлении?

— Банк взаимодействуем с FinCERT — мы подключились к нему, как только он появился. Они нам шлют индикаторы, консультации, уведомления по актуальным угрозам, мы их отрабатываем. Если мы находим что-то у себя, мы тоже стараемся их информировать. При этом опыта взаимодействия в режиме диалога у нас пока не было, возможно, это связано с отсутствием значимых инцидентов. Безусловно, информация, получаемая нами от FinCERT, очень полезна. Мы всегда проверяем индикаторы компрометации предоставляемые FinCERT. Если же мы выявляем атаку, реализованную на банк, мы анализируем, все ли индикаторы компрометации мы выявили, совпадает ли это с рекомендациями FinCERT. С этой точки зрения нам бы хотелось большей оперативности, ведь когда мы получаем эти рекомендации, часто уже все свершилось. Конечно, я понимаю, FinCERT необходимо время, чтобы собрать информацию, исследовать ее и разработать рекомендации, но я думаю, это будущее, не стоит от них требовать всего и сразу. Чего действительно не хватает — обратной связи. Я бы хотел, чтобы был портал или любая другая онлайн-площадка для совместного взаимодействия, где можно было бы обмениваться опытом, получать обратную связь, видеть статус заявки (принята она или нет) и результаты ее обработки.

Уведомления об обновлении тем – в вашей почте

Не будьте пассажирами «Титаника»

Как вы считаете, что является самой большой дырой в системе защиты?

«Мы в своей работе придерживаемся принципа двух «Д»: добровольность и доверие»

У нас был только час, чтобы взять интервью у заместителя начальника Главного управления безопасности и защиты информации Центрального Банка (ЦБ) РФ Артема Сычева.

DDoS or not DDoS. Так есть ли услуга?

В последние полтора года мы всё чаще слышим: "вы можете предложить эффективную защиту от DDoS?". Очевидно, что компании, работающие на самых разных вертикальных рынках, готовы платить за эту услугу, а провайдеры идут к тому, чтобы предлагать ее на рынке.

Угрозы ИБ в сфере электронной коммерции

Своим экспертным мнением по этому вопросу делится Елена Козлова, руководитель направления Security Compliance Центра информационной безопасности компании «Инфосистемы Джет»

«Если ваш безопасник не умеет программировать, увольте его и наймите нормального»

Кирилл Ермаков, СТО компании QIWI, — личность известная. Кто-то знает Кирилла как жесткого спикера, способного озвучивать «неудобную» правду о рынке ИБ, кто-то — как создателя Vulners, яркого приверженца Bug Bounty и топового багхантера.

Скрытые угрозы становятся явными, или Полезный сервис пентест

С ростом числа информационных систем и увеличением объема кода повысилось и количество уязвимостей.

Опыт MSSP по противодействию кибератакам

В статье описан опыт использования различных технологий в SOC для противодействия целенаправленным атакам

Интервью с Евгением Кукушкиным, начальником управления сетевых и серверных технологий ДИТ ДРЦТ ВГТРК.

Лавинообразное увеличение объемов передачи данных, ужесточение требований регуляторов по информационной безопасности, аутсорсинг ИБ

Хронология DDoS-атаки на российские банки

Как проводилась DDoS-атака на крупный российский банк рассказали специалисты компании «Инфосистемы Джет»

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня