Подписаться
Читать в телеграм
“По сути дела, мы не банк в чистом виде”
Дата публикации:
03.04.2015
Посетителей:
1564
Просмотров:
1347
Время просмотра:
2.3
«По сути дела, мы не банк в чистом виде. Мы – ИТ-компания с банковской лицензией, и это накладывает свою специфику на процессы обеспечения ИБ», – так начал нашу беседу Станислав Павлунин, вице-президент по безопасности Тинькофф Банка.
Естественно, в наш ИБ-ландшафт входит классическая часть, характерная для любой банковской организации: DLP-система, антивирусная система, система доступа пользователей к БД, контроль пользователей, которым доступны различные подключения, дополнительные опции – ICQ, Skype и т.д.
В то же время есть ИБ-составляющая, обусловленная спецификой работы банка. Для Тинькофф Банка в большей степени характерны риски, присущие ИТ-компании. У нас в штате большое количество ИТ-разработчиков, администраторов, кроме того, есть представители партнеров-аутсорсеров. И нам важно контролировать людей, которые работают удаленно. Мы используем классическую банковскую модель ИБ, где внутри все контролируется, при этом у нас есть внешний элемент – наши подрядчики. Мы обеспечиваем контроль их деятельности на точках входа в инфраструктуру и внутри.
Также нам близка концепция BYOD: мы применяем ее в банке и используем систему Mobile Device Management.
Какие угрозы, по вашему мнению, сейчас находятся «на пике популярности» в отрасли?
На мой взгляд, это целевые атаки, социальный инжиниринг и, конечно же, DDoS-атаки, которые никуда не исчезали и только продолжают набирать «популярность».
Тинькофф Банк – инновационный онлайн-провайдер финансовых услуг, работающий в России через высокотехнологичную платформу без розничных отделений. Банк основан в 2006 году предпринимателем Олегом Тиньковым для дистанционного обслуживания клиентов на российском рынке финансовых услуг. В 2009 году банк начал принимать вклады населения, является участником Системы страхования вкладов.
Банк является одним из лидеров российского рынка кредитных карт: по состоянию на 1 марта 2015 года выпущено более 5 млн кредитных карт. Банк хорошо капитализирован: уровень достаточности капитала по нормативу Н1 ЦБ РФ составляет 15,2% по состоянию на 1 февраля 2015 г.
Чистая прибыль материнской компании TCS Group Holding PLC, включающей Тинькофф Банк и страховую компанию «Тинькофф Страхование», по МСФО по итогам 2014 г. составила 3,4 млрд руб.
Тинькофф Банк назван «Банком года в России» и самым прибыльным российским банком в 2013 году по версии журнала The Banker, ведущего международного финансового издания, входящего в группу Financial Times. В 2012 году аналитический банковский журнал Global Finance и портал Банки.ру признали Тинькофф Банк лучшим розничным интернет-банком в России. В 2014 и в 2013 гг. эксперты Deloitte признали мобильное приложение Тинькофф Банка лучшим в России, а Markswebb Rank & Report назвал интернет-банк Тинькофф Банка самым эффективным в России в 2014 году. Тинькофф Банк входит в Систему страхования вкладов (Система гарантирует каждому вкладчику банка, входящего в систему, возврат 1,4 млн рублей по депозитам и текущим счетам, включая процентный доход.)
Какие из них актуальны для вас? Как именно вы им противостоите?
Мы сталкиваемся со всем вышеперечисленным. Поскольку приоритетом для Тинькофф Банка является развитие каналов ДБО, мы стараемся по максимуму обезопасить себя от DDoS-атак. В комплекс мер входят переработка наших внутренних процедур, организация ряда запасных каналов переключения, дополнительная установка мощного оборудования.
Что касается АРТ-атак, мы озаботились этим вопросом в прошлом году и выбрали несколько систем, которые позволяют предотвратить подобные угрозы. Мы постоянно общаемся на тему целевых угроз с представителями профильных отделов других банков, делимся между собой опытом. На сегодняшний день мы выстроили комплексную защиту от подобных атак.
Защитой же от социальных инженеров являются, во-первых, проведение регулярных тестов на проникновение с атаками на персонал и, во-вторых, обязательное и систематическое обучение персонала навыкам безопасной работы с банковскими системами. Для проведения таких работ мы часто привлекаем консультантов.
Какие еще ИБ-задачи оптимально решать с помощью привлечения внешних консультантов? Есть ли подобные примеры в вашей практике?
В случае, когда в ИБ-штате нет возможности держать большое количество сотрудников, а это характерно для большинства коммерческих банков, мы делаем ставку на максимальную автоматизацию.
Для нас интересны мониторинг и реагирование. В этом году мы провели интересный пилот совместно с вашей компанией – опробовали услугу JSOC, которой остались очень довольны.
Что можно и целесообразно, а что ни в коем случае нельзя отдавать «на сторону» ИБ-аутсорсеру?
Существует много мнений по этому поводу, я думаю, что критичные вещи должны оставаться внутри банка, а операционные, не сильно критичные, массовые кейсы вполне можно передать на аутсорс.
За окном кризис, особый смысл приобретают задачи повышения эффективности. Как вы управляете эффективностью ИБ?
Стараемся по максимуму автоматизировать процессы, что увеличивает эффективность. Драйвером автоматизации является сам бизнес, при этом автоматизация требует продуманного подхода. Очень важной мы считаем работу по гармонизации имеющейся нормативной базы и доведение до ума всего имеющегося парка средств защиты. Согласитесь, ненастроенная SIEM- или DLP-система способны больше помешать бизнесу, чем снизить риски. Поэтому область наших интересов в части повышения эффективности ИБ лежит не только и не столько в какой-то отдельной, например, технической сфере, а затрагивает весь комплекс защитных мер.
В то же время хочу отметить один принципиальный момент: классическая банковская организация может себе позволить держать в штате 50 операторов, которые будут отвечать за простейшие задачи. Тинькофф Банк давно ушел от этого подхода: весь наш персонал – anykey-специалисты, они взаимозаменяемы. Подобным образом строится работа коммерческих структур, некоторых инвестиционных компаний, банков.
Куда направлен ваш вектор развития ИБ в 2015 году – планы на ближайшее будущее?
У Тинькофф Банка есть стратегия развития, в ней значатся несколько направлений. Например, MDM-BYOD – контроль мобильных пользователей.Сотрудник, которому нужен обоснованный рабочий доступ к почте со смартфона/планшета, может написать соответствующую заявку и доступ будет ему предоставлен. Гораздо проще раздать доступ к корпоративным ресурсам со смартфона всем, но правильнее с точки зрения ИБ сделать это только для тех сотрудников, кому оперативно нужны ресурсы банка. Поэтому мы активно развиваем у себя концепцию BYOD, подразумевающую контроль над мобильными пользователями, кроме того, совершенствуем нашу DLP-систему.
Еще одно ИБ-направление – это обеспечение постоянного мониторинга инцидентов ИБ.
И, конечно же, борьба с киберпреступлениями, мы убеждены в том, что дела, связанные с киберпреступлениями, надо доводить до конца, нельзя оставлять безнаказанными злонамеренные действия отдельных лиц против банков.
Каковы тренды информационной безопасности в России образца 2015 года?
На тренды посмотрим в конце года, но мне уже сейчас ясно, что будут появляться новые киберугрозы и в этой связи доля высокотехнологичных преступлений вырастет.
Станислав, большое спасибо за беседу!
