© 1995-2021 Компания «Инфосистемы Джет»
Интервью с Анатолием Скородумовым, начальником отдела информационной безопасности банка «Санкт-Петербург»
Информационная безопасность

Если составить список самых обсуждаемых за последний год ИТ-тем в банковской среде, в Топ-5 обязательно войдут проблемы безопасности систем ДБО, перспективы аутсорсинга банковских систем и систем информационной безопасности, а также облачный вопрос. У медали, как известно, две стороны: преимущества новых технологий несут с собой дополнительные угрозы.

Интервью с Анатолием Скородумовым, начальником отдела информационной безопасности банка «Санкт-Петербург»

№3 (224) / 2012

30.03.2012

Посетителей: 116

Просмотров: 105

Время просмотра: 3.4 мин.

Если составить список самых обсуждаемых за последний год ИТ-тем в банковской среде, в Топ-5 обязательно войдут проблемы безопасности систем ДБО, перспективы аутсорсинга банковских систем и систем информационной безопасности, а также облачный вопрос. У медали, как известно, две стороны: преимущества новых технологий несут с собой дополнительные угрозы. О том, как сохранить разумный баланс между выгодами и рисками и о прогнозах рынка ИБ для банковского сектора мы беседуем с Анатолием Скородумовым, начальником отдела информационной безопасности банка «Санкт-Петербург»

 

 

Анатолий Валентинович, как, на Ваш взгляд, можно оценить эффективность работы ИБ в банковской сфере? Какие показатели являются здесь ключевыми?

Оценить эффективность системы ИБ в организации достаточно сложно. Один из главных объективных показателей – это результаты внешних аудитов на соответствие российским и международным стандартам. Появление стандартов и ряда законодательных актов в последние 3–4 года стало своеобразным катализатором повышения общего уровня информационной безопасности в банках. Самые наглядные примеры здесь – закон № 152-ФЗ, требования стандарта PCI DSS. В части продвижения и развития своего стандарта по ИБ достаточно активен Банк России. Необходимо понимать, что, кроме явного преимущества, заключающегося в выполнении требований регуляторов, успешное прохождение аудита несет в себе и опосредованные выгоды для бизнеса в виде увеличения лояльности клиентов, повышения позиций в рейтингах.

Можно ли утверждать, что требования регуляторов фактически создали моду на высокий уровень ИБ для банковского сектора?

Вполне возможно. Но моду задает и современное развитие ИТ-технологий. Среди вопросов повышения уровня ИБ в банках наиболее актуальной проблемой является уязвимость популярных сейчас систем дистанционного банковского обслуживания (ДБО), связанная как с особенностями использования механизмов ИБ, так и с недостаточным пониманием клиентами требований информационной безопасности. Проблемы ДБО в том или ином виде сейчас занимают практически все российские банки: идут поиски конкретных решений, которые на длительный срок могли бы снять вопрос несанкционированного списания средств со счетов клиентов.


Наш банк для защиты систем ДБО внедрил SMS-авторизацию пользователей при их подключении к Интернет-банкингу и проведении платежей. В результате за последние 2 года у нас практически не было случаев несанкционированного списания денежных средств со счетов клиентов, хотя подобные попытки фиксируются достаточно регулярно. Дальнейшее развитие направления защиты систем ДБО является одной из приоритетных задач банка в 2012 году. Высокий уровень ИБ рассматривается нами как один из критериев привлекательности наших банковских продуктов для клиентов.

Какие еще механизмы защиты систем ДБО, кроме SMS-авторизации, реализует Ваш банк?

В соответствии с действующим законодательством в системах ДБО для юридических лиц мы используем электронно-цифровые подписи, подтверждающие авторство и достоверность присылаемых электронных документов. Также мы планируем реализацию механизма хранения криптографических ключей с помощью сертифицированных USB-идентификаторов – eToken и ruToken. В его основе лежит принцип «вся криптография на борту», позволяющий избежать считывания криптографических ключей в оперативную память компьютера и тем самым минимизирующий риски их несанкционированного использования. В данный момент в банке проходит тестирование этой технологии. На 2012 год запланировано внедрение технологии хранения криптографических ключей на пластиковых картах с электронным чипом.
Я не говорю о таких стандартных механизмах, как соединение по безопасному протоколу SSL, использование межсетевых экранов и систем антивирусной защиты.

Один из трендов российского корпоративного рынка – обеспечение защиты используемых топ-менеджментом мобильных устройств. Насколько эта задача актуальна для банковского сектора?

Согласен, что эта тема сегодня находится на модной волне, в том числе и в банковской сфере: смартфоны, имеющие доступ к внутренним корпоративным системам, мы используем достаточно широко. И если для стационарных компьютеров организация защищенного удаленного доступа стала привычным делом, мобильные устройства – в буквальном смысле слова подвижный элемент информационной инфраструктуры компании – вызывают трудности. Для защиты удаленного входа в систему со смартфонов и планшетных компьютеров мы по аналогии с системами ДБО планируем использовать технологию одноразовых паролей.


Ситуация осложняется еще и тем, что мобильные устройства очень разнообразны и не унифицированы в части используемых ОС и существующих стандартов. Проиллюстрирую на примере: около года назад мы обратились к решению проблемы защиты корпоративных смартфонов от вирусов и столкнулись с тем фактом, что антивирусных вендоров, поддерживающих всем известный iPhone, на рынке совсем немного. Думаю, что с течением времени в этой области произойдет стандартизация по аналогии с сегментом стационарных ПК – останутся лишь 2–3 операционные системы, и будут применяться универсальные системы защиты.

Если мы заговорили на «мобильную» тему, стоит посмотреть на нее под другим углом. Услуги ИБ, предоставляемые оператором связи, – в чем, на Ваш взгляд, состоят преимущества и особенности подобного подхода?

Наш банк в 2011 году перешел на модель приобретения сервиса по защите от DDoS-атак у оператора связи, поэтому мы можем говорить об этом, исходя из собственного опыта. С технической точки зрения построение подобной системы защиты предъявляет высокие требования к пропускной способности каналов и подразумевает наличие в ИТ-подразделении высококвалифицированных узкопрофильных специалистов. Поэтому банк извлекает определенную выгоду, приобретая сервис по ИБ у оператора. С другой стороны, предоставление этих услуг российскими телекомами пока находится в стадии становления и развития, одна из наиболее актуальных проблем на данный момент – отсутствие прозрачного SLA. Но это вопрос ближайших 2–3 лет.

Возможен ли в принципе аутсорсинг информационной безопасности?

Я полагаю, что он не только возможен, но и выгоден. Вопрос только в том, что именно отдавать «на сторону» и кому. Компании-аутсорсеру можно доверить практически весь аудит – внешний и при определенных условиях внутренний, процессы, связанные с формированием модели угроз и оценки рисков, разработку плана обеспечения ИБ и проекты по его реализации. В то же время аутсорсинговая модель реализуема далеко не всегда: если мониторинг инцидентов ИБ ложится в эту схему, то непосредственно разбор конфликтных ситуаций и реагирование на инциденты без наличия собственных служб безопасности и ИБ практически не осуществимы. То же относится к вопросам контроля действий ИТ-администраторов и функционирования систем управления персоналом. Отмечу, что возможности аутсорсинга в сфере обеспечения ИБ достаточно велики, но используются сейчас лишь на 5–10%: бизнес-среда еще не созрела для конкретных действий в этом направлении. Можно констатировать, что исторически компании опасаются доверять внешним контрагентам вопросы информационной безопасности.

В чем состоят главные риски аутсорсинга ИБ?

Традиционным камнем преткновения в этом вопросе является риск утечки конфиденциальных данных: считается, что собственных сотрудников проще контролировать. Второе препятствие на пути массового распространения аутсорсинга ИБ – сложность процедуры привлечения внешнего контрагента к ответственности в случае установления факта утечки. С одной стороны, обязательства аутсорсера и необходимые параметры услуг прописываются в SLA. С другой, участники банковского рынка понимают, что в случае обращения в суд доказать вину компании-аутсорсера будет непросто: в России отсутствует подобная судебная практика.

Как она практически отсутствует и в отношении фактов DDoS-атак и мошенничества в системах ДБО.

Да, к сожалению, прецедентов, связанных с расследованием нелегального доступа к аккаунтам систем ДБО, также недостаточно для того, чтобы говорить о развитой уголовно-правовой практике противодействия мошенничеству в ИТ-сфере. До внедрения дополнительных механизмов обеспечения ИБ мы несколько раз сталкивались с тем фактом, что у наших клиентов возникали трудности при возбуждении уголовного дела даже в случае несанкционированного списания средств с их счетов. Распространенная причина – отсутствие признаков состава преступления и подозреваемых. Аналогичный вопрос возникает у правоохранительных органов и в отношении распределенных отказов в обслуживании, обычно приносящих косвенный ущерб: как квалифицировать эти инциденты? Несколько лет назад в правоохранительных органах были созданы специализированные подразделения, занимающиеся преступлениями в сфере высоких технологий. Но их ресурсов недостаточно, да и координация работы между различными подразделениями МВД оставляет желать лучшего. Технологии мошенничества в настоящее время значительно опережают возможности российской правоохранительной системы, и очень небольшое количество подобных дел доводится до суда, поэтому единственная правильная стратегия для компаний – быть на шаг впереди злоумышленников благодаря использованию современных механизмов защиты.

Для каких отраслей аутсорсинг ИБ станет наиболее приемлемым и выгодным вариантом?

На мой взгляд, эта модель интересна как SMB-сектору, так и компаниям Enterprise-уровня. Аутсорсинг ИБ позволяет SMB отказаться от содержания дополнительных специалистов в штате ИТ-службы. Средним и крупным компаниям выгодно отдавать вовне аудиты на соответствие действующим стандартам ИБ, чтобы получать независимую оценку уровня информационной безопасности.

Ваши прогнозы – будут ли банки идти на использование услуг информационной безопасности из облака? Какие сервисы для банков могут стать облачными?

На данный момент я вижу две услуги, которые представляют для нашей сферы интерес с точки зрения их реализации в Cloud-среде. Первая – это облачный удостоверяющий центр, позволяющий банкам отказаться от организации собственных УЦ. Клиенты – как физические, так и юридические – проходят регистрацию, получают криптографические ключи и в дальнейшем авторизуются в системе, размещенной в облаке. Банк лишь отправляет в Cloud запрос, подтверждающий/отклоняющий аутентификацию клиента. Вторая перспективная облачная услуга – заказ и проведение внешних тестов на проникновение. Cloud-сервисы могут значительно упростить организацию определенных банковских процессов и минимизировать расходы, поэтому нас рано или поздно ждет долгая дорога в облака.

Когда можно ожидать массового распространения облачной ИБ?

Судя по тому, что о вопросах переноса ИТ-инфраструктуры в частную облачную среду говорят уже около 2 лет, а участники рынка пока решаются лишь на единичные внедрения, года через 3–4 мы придем к повсеместному предоставлению из облака традиционных ИТ-услуг. О прогнозах распространения Cloud-сервисов ИБ говорить пока рано.

Спасибо за беседу!

Уведомления об обновлении тем – в вашей почте

DDoS or not DDoS. Так есть ли услуга?

В последние полтора года мы всё чаще слышим: "вы можете предложить эффективную защиту от DDoS?". Очевидно, что компании, работающие на самых разных вертикальных рынках, готовы платить за эту услугу, а провайдеры идут к тому, чтобы предлагать ее на рынке.

Интервью с Игорем Ляпуновым, директором Центра информационной безопасности компании «Инфосистемы Джет»

Не так давно центр информационной безопасности компании «Инфосистемы Джет» подвел итоги своей работы за прошлый год. И сегодня нашим собеседником стал Игорь Ляпунов, директор ЦИБ, который рассказал, какими результатами завершился 2009 г. для центра информационной безопасности.

Что необходимо учитывать при выборе Fraud Management System

Выбор решения по борьбе с мошенничеством зависит от множества факторов, каждый из которых имеет определенный вес.

Рабочая лошадка современного антифрода

Банк, 2016 год. Облачные технологии стали популярны 5 лет назад, распределенные вычисления – 7, а облачный антифрод, стартовавший на тех же временных рубежах, только сейчас выходит на уровень реально работающих решений для защиты ресурсов и технологий от атак третьих лиц.

The Standoff: топ-10 самых ярких ИБ-фактов

С 12 по 17 ноября компания Positive Technologies провела киберполигон The Standoff — мероприятие, где на виртуальной платформе проводили киберучения и стримы с ИБ-экспертами со всего мира.

Угрозы ИБ в сфере электронной коммерции

Своим экспертным мнением по этому вопросу делится Елена Козлова, руководитель направления Security Compliance Центра информационной безопасности компании «Инфосистемы Джет»

Защита персональных данных

Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника – в средство мщения, в руках инсайдера – товар для продажи конкуренту

Аутсорсинг ИБ - естественна ли потребность?

Тема аутсорсинга ИБ в последнее время активно набирает популярность в профессиональном сообществе специалистов по защите информации, а также становится все более заметной на рынке в целом

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня