Сайт находится в состоянии доработки. Извиняемся за неудобства.

x
© 1995-2020 Компания «Инфосистемы Джет»

Каковы основные ИБ-тренды в банковской индустрии

 

В чем состоит основная сложность использования DevSecOps-подхода?

 

Что разумно отдавать на аутсорсинг

О компании

 

Росбанк

 

Председатель правления Илья Андреевич Поляков

 

Отрасль: банковская

 

Год основания: 1993

 

Количество сотрудников: 10 000

 

www.rosbank.ru

Портировать нельзя изолировать

- Что вы вкладываете в понятие «развитие ИТ»? На ваш взгляд, в последние несколько лет технологии развиваются стремительнее, чем раньше?

Для меня развитие ИТ — это промышленное использование новых технологий, которые ранее применялись в тестовом режиме или для решения узких академических задач. Например, ML, Big Data, контейнеризация и блокчейн уже стали окружающей нас действительностью.

— Какие основные ИБ-тренды в банковской индустрии можно отметить в 2019 г.?

Ужесточилось регулирование сферы безопасности: появились новые нормативные акты в области ИБ. Требования ИБ изменились не только количественно, но и качественно, в результате банковская отрасль стала еще более зарегулированной. Последние примеры: выпуск нового ГОСТ Р 57580.1-2017, появление нормативной базы по работе с Единой биометрической системой, внесение поправок в Положение Банка России № 382-П.

Обозначьте наиболее актуальные для банков ИБ-угрозы.

Прерывание бизнес-процессов, утечка данных и прямая кража денег. Остальные угрозы — по сути, варианты реализации этих основных рисков. Например, в 2019 г. была зафиксирована масштабная атака на клиентов крупнейших российских банков, злоумышленники использовали методы социальной инженерии. Анализ атаки выявил новые ИБ-угрозы, связанные с двусторонней аутентификацией банк-клиент и клиент-банк. Это означает, что нам нужно разрабатывать релевантные способы защиты.

Одна из проблем информационной безопасности, о которой регулярно говорят ИБ-директора на профильных конференциях, — использование старого оборудования. Актуально ли это для банковской сферы?

Это актуально для любой компании, которая работает на рынке более 7–10 лет, в том числе для банков. У многих есть legacy-оборудование, которое до сих пор выполняет свои функции, — сетевое железо или рабочие станции на Windows XP, для которых не выпускаются обновления безопасности. Ребята с темной стороны продолжают заниматься «ресерчем» и находят в них все новые и новые уязвимости.

Следующий вопрос проистекает из предыдущего. Существует мнение, что самый простой способ отвечать на новые вызовы в сфере ИБ — регулярно закупать и использовать новейшее специализированное оборудование. Так ли это?

Важно соблюдать баланс между затратами на новое оборудование и ожидаемой выгодой. Для устаревшего оборудования мы разрабатываем и применяем компенсирующие меры. Это дешевле его замены, при этом риски нивелируются. Также необходимо понимать, что существующий в компании бизнес-процесс не всегда подразумевает возможность замены оборудования. Некоторый старый софт может работать только на устаревших версиях операционных систем (например, на Windows XP), и портировать его на новую версию гораздо сложнее, чем просто изолировать этот хост в сети.

 — Зачастую крупный российский бизнес сливает в корпоративный data lake данные сотрудников, клиентов компании и другую критически важную информацию. При этом доступ к нему имеют большое количество подразделений и отдельных сотрудников, то есть защиту по периметру не так просто построить. Как Росбанк защищает большие данные?

Росбанк активно использует технологии Big Data. Цифровизация, накопление данных и аналитика на больших объемах — неотъемлемая часть современного бизнеса. Для нас вопрос защиты хранилища стоит остро на всех уровнях: инфраструктурном, на уровне взаимодействия с системами-источниками, при подключении пользователей и администраторов, на уровне прикладного ПО. Мы ориентируемся на рекомендации производителей, используем встроенные средства и строим комплексный контур безопасности больших данных.

Принцип лебедя, рака и щуки

Сейчас есть достаточно много перспективных технологий защиты (Breach and Attack Simulation, SOAR/IRP, защита контейнеризации и т.д.). Каким образом вы определяете целесообразность новых ИБ-инструментов?

Мы идем от конкретных проблем: проводим анализ рисков, оцениваем степень их актуальности. Производители действительно выпускают много новых решений, но зачастую их работоспособность подтверждена только маркетинговыми исследованиями. Нужно смотреть, какие конкретные задачи будет «закрывать» та или иная технология, вовлекать в процесс отбора ИТ-шников, поскольку новый ИБ-инструментарий не должен мешать их процессам. Некоторые риски можно уменьшить с помощью простых мер (настройки харденинга, введение регламентов и т.д.). Экономическую целесообразность никто не отменял.

Как ИБ может доказать бизнесу, что необходимо регулярно выделять бюджеты на обеспечение безопасности? Формализован ли этот процесс в вашем банке?

Как и в любом крупном enterprise, у нас формализован процесс бюджетирования потребностей ИБ. К сожалению или к счастью, финансовые организации, с одной стороны, достаточно зарегулированы с точки зрения ИБ, а с другой — часто атакуемы. Поэтому доказывать бизнесу крупного технологического банка необходимость повышения безопасности не нужно, он все прекрасно понимает и готов к тратам. Другой вопрос, что каждая отдельная трата должна быть обоснована.

Поговорим о DevSecOps. Это относительно новое явление для российского рынка. Как к этому подходу относятся в Росбанке? Внедряете ли вы DevSecOps? С какими сложностями приходится сталкиваться?

Суть DevSecOps в том, что разработчики, инфраструктурщики и ИБ-специалисты вместе делают безопасный продукт. Сама идея не нова, мы и без подобных ярких ярлыков всегда стремились к ней. Поэтому к подходу относимся положительно и внедряем его. Безопасность должна закладываться в продукты еще на этапе их создания и контролироваться на протяжении всего жизненного цикла ПО. Основная сложность здесь — коммуникативная. Понятно, где и какие уязвимости могут возникнуть, гораздо труднее выстроить сотрудничество большого количества стейкхолдеров с разными KPI. Они могут взаимодействовать друг с другом по принципу лебедя, рака и щуки из известной басни — проще говоря, ставить во главу угла свои цели, а не желаемый общий результат.

Я предпочитаю BSIMM-подход (framework DevSecOps) и descriptive-концепцию. Они позволяют по-настоящему погружаться в продукты и сервисы своей компании.

По вашему мнению, DevSecOps — это обязательный подход к разработке ПО? Или он актуален только для отдельных отраслей (ритейла, например)?

Я бы не стал делить по отраслям, в каждом сегменте рынка есть компании, которые строят свой бизнес на максимальной автоматизации, самостоятельной разработке и использовании собственных ноу-хау. Для них DevSecOps актуален. В то же время у этих компаний могут быть прямые конкуренты, которые пользуются коммерческим софтом и у них нет разработки. Им DevSecOps не нужен.

Насколько при реализации DevSecOps принципиально наличие в ИБ-команде Security Champion?

На мой взгляд, сейчас происходит переосмысление роли ИБ в CI/CD, поэтому компании и начинают привлекать satellite, или Security Champions. Это разработчики, специалисты по тестированию, архитекторы, не являющиеся ИБ-экспертами, но заинтересованные в выпуске безопасного и качественного бизнес-продукта.

ИБ и Time-to-Market в банковской сфере — как обеспечить эффективность этого тандема?

Основная задача ИБ — оказывать для бизнеса и ИТ сервис соответствующего уровня с необходимой скоростью. ИБ в вопросах разработки и TTM, создания новых банковских услуг является функцией вспомогательной и контрольной. Система должна быть выстроена таким образом, чтобы результаты контрольной функции не тормозили процесс. Наша задача — предоставлять бизнесу информацию о возможных рисках и путях их оперативного устранения. А бизнес уже решает, готов ли он в каком-то моменте поступиться безопасностью ради скорости вывода продукта на рынок.

Мы не готовы отдавать на аутсорсинг вопросы, связанные с доступом к данным наших клиентов, внутренней перепиской и сопровождением DLP-системы.

ИБ-кадры и организованная киберпреступность

Кадровый вопрос: где брать компетентных ИБ-шников в условиях, когда все стремительно меняется и это стало новой рыночной реальностью? Какой подход вам ближе: растить специалистов самим из вчерашних студентов, переучивать имеющихся сотрудников или перекупать их на рынке?

Мы крупный банк, наша потребность в ИБ-кадрах исчисляется десятками человек, и их крайне сложно найти на рынке. Мы ведем десятки ИБ-проектов, среди последних и крупных: присоединение банка «ДельтаКредит» в 2019 г. и создание in-house SOC. Так что нам приходится комбинировать все упомянутые подходы. Нельзя набрать только студентов и растить их — мы сразу просядем в квалификации. Перекупить всех необходимых специалистов мы тоже не сможем — слишком дорого. Нужно нанимать квалифицированные кадры, набирать под них студентов-стажеров, где-то переучивать наших ИТ-шников и программистов, которые хотят заниматься ИБ, вовлекать смежные подразделения.