Александр Володин: «Информационная безопасность — критерий качества финансовых услуг»

05 Марта 2009 17:00

Информационная безопасность играет в банковском секторе не просто важную, а поистине ключевую роль. С этим параметром напрямую связаны репутационные и финансовые риски, от него в конечном счете зависит судьба любого финансового бизнеса. О том, как строится система информационной безопасности в компании, которая уже 15 лет обеспечивает защиту данных более 200 банков, рассказывает руководитель Службы информационной безопасности Группы Компаний ЦФТ Александр Володин.

ГК ЦФТ является одним из лидеров среди компаний — разработчиков программного обеспечения для финансовых институтов, свыше 45% банков России и СНГ используют программные разработки ЦФТ. Существует ли в компании определенный алгоритм разработки и внедрения технологий, защищающих информационные системы банков?

Александр Володин: Концепция информационной безопасности продукта, использование которого сопряжено с информационными и финансовыми рисками, формируется и утверждается одновременно с концепцией самого продукта. В процессе развития используемые механизмы защиты данных периодически подвергаются анализу и проверке на соответствие обеспечиваемой ими стойкости к актуальным рискам. Безопасность должна быть обеспечена на всех этапах жизненного цикла программных продуктов: в процессе разработки, инсталляции, эксплуатации и сопровождения. Поэтому наряду с созданием программного обеспечения специалисты ЦФТ по защите данных принимают участие в организации контроля над про изводственными процессами, разработке должностных инструкций, регламентов выполнения критичных операций. Мы традиционно ориентируемся на превентивные меры, которые базируются на аналитической работе. Не обязательно учиться на собственных ошибках — достаточно идти на несколько шагов впереди и отслеживать инциденты, происходящие с другими системами, учитывать мнение специалистов компаний, лидирующих на мировом рынке средств защиты. Кроме того, мы считаем важным своевременно информировать представителей финансового сообщества о наиболее существенных угрозах и современных тенденциях развития средств защиты данных, поэтому значительное внимание уделяем содержательным контактам с нашими партнерами. Систематизация полученной информации позволяет заблаговременно предвидеть риски и разрабатывать необходимые меры защиты. Важной составляющей системы управления рисками стала работа Учебного центра ЦФТ, обучение в котором ежегодно проходят сотни специалистов из компаний партнеров. Это значимая часть работы, поскольку неквалифицированные и ошибочные действия персонала содержат угрозу, сопоставимую по последствиям со злонамеренными деяниями преступников. ЦФТ продуктивно взаимодействует с коммерческими, общественными и государственными организациями, деятельность которых связана с защитой данных. Компания принимает активное участие в работе группы по развитию инфраструктуры открытых ключей, созданной Ассоциацией документальной электросвязи (АДЭ).

Высокотехнологичные меры защиты требуют затрат, в ряде случаев эти затраты могут поставить под сомнение экономическую целесообразность бизнес-проекта. Существует ли приемлемый выход в такой ситуации?

А. В.: Выход состоит в объединении усилий участников рынка до уровня, на котором начинает работать эффект масштаба, в передаче непрофильных функций партнерам, для которых защита данных является частью основной деятельности. Тогда удельные затраты оказываются на приемлемом уровне. Именно поэтому мы рассматриваем банки не только как клиентов, но и как ключевых партнеров, вместе с нами развивающих и бизнес функционал, и меры безопасности. В большинстве случаев мы предлагаем партнерам несколько вариантов работы, которые различаются затратами и уровнем рисков. До тех пор пока угроза остается теоретической, банки и большинство клиентов избавлены от неоправданных затрат на средства безопасности. Суммарный эффект составляет миллионы долларов. Но на случай, когда угроза становится реальностью, есть готовое промышленное решение, позволяющее избежать потерь. В условиях широкого распространения киберпреступности безопасность становится важнейшим качеством финансового продукта, без которого доверие и лояльность клиента (а значит — и успешное развитие бизнеса) невозможны.

ГК ЦФТ активно развивает ДБО-сервисы, которые нуждаются в мощной информационной защите. Насколько надежно защищены эти продукты от несанкционированного вмешательства?

А. В.: Все системы ДБО, разработанные ЦФТ, являются распределенными. Процессинговые центры имеют самый высокий уровень защиты, их оборудование располагается в физически защищенных серверных помещениях. Основная и резервная серверные оснащены всеми необходимыми средствами, обеспечивающими бесперебойное функционирование оборудования. Логические меры управления доступом включают средства операционных систем, СУБД, средства прикладного ПО. В ЦФТ разработан и постоянно обновляется набор локальных нормативных документов. Базовой методологией является стандарт ISO 27001. При этом выполнение мер безопасности находится под постоянным контролем. Это не только наш внутренний непрерывный мониторинг и периодический аудит, но и внешние проверки. Например, в 2008 г. мы успешно прошли три проверки ФСБ, одну проверку ФСТЭК, IT-аудит в Deloitte, проверку в IBM на соответствие требованиям PCI DSS. Для того чтобы обеспечить защиту от DDOS атак, ЦФТ использует пять каналов связи разных операторов, нами заключен договор на защиту от сетевых атак. Все это помогает создать реальную, эффективную, проверенную практикой систему безопасности. Мы отдаем себе отчет в том, что стоим на страже информационной безопасности сотен банков — партнеров ЦФТ. Поэтому мы делаем все, чтобы наш «рубеж обороны» не был преодолен. Сall-центр ЦФТ работает круглосуточно, наши специалисты постоянно готовы оказать квалифицированную помощь. Однако нельзя забывать и о другом «рубеже»: сегодня жизненно необходимо, чтобы банки при общении с клиентом настойчиво акцентировали внимание на необходимости соблюдения элементарных мер защиты.

В сфере ответственности службы информационной безопасности находятся не только финансовые сервисы, но и внутренний документооборот банковских систем. Являются ли эти системы объектом, интересующим хакеров?

А. В.: Внутренний документооборот банков находится прежде всего в сфере ответственности самих банков. Мы только предлагаем им инструмент, позволяющий надежно обеспечить аутентичность, целостность, контроль доступа. Однако, используя этот инструмент, банк начинает управлять критичными бизнеспроцессами на совершенно новом уровне. И дело не только в том, что становится реально юридически доказать принадлежность операции конкретному сотруднику. Вредоносное ПО может попасть в банковскую сеть множеством способов. Ответ на вопрос, насколько сложно украсть логин и пароль во внутренней сети, очевиден. Другой, более важный вопрос — собираются ли руководители и владельцы банка ждать первого хищения, чтобы потом обновлять системув пожарном порядке, или же предпочитают сделать это заблаговременно. Хакеров автоматизированные комплексы банка интересуют чрезвычайно. В ряде случаев преступники специально внедряют своих людей в банки. Впервые ЦФТ реализовал систему внутреннего защищенного документооборота по заявке Сбербанка еще в 2004 г., она эксплуатируется в шести территориальных банках. Я предполагаю, что внедрение коммерческими банками внутреннего защищенного ЭДО — одна из основных тем текущего года.

Деятельность по защите информации ГК ЦФТ осуществляет под контролем государства. Насколько эффективно налажено сотрудничество компании с компетентными органами?

А. В.: Отмечу два направления взаимодействия ЦФТ с этими органами. Во-первых, лицензирование: ЦФТ имеет 12 лицензий ФСБ на защиту информации. Периодические проверки со стороны регулятора являются дополнительным источником информации. Выполняя год за годом полученные рекомендации, мы снижаем риски участников финансовых систем. Во-вторых, это борьба с мошенниками. Превентивные меры, направленные на предотвращение злоупотреблений, очень важны. Не менее важно обеспечить и активную защиту. Злоумышленник должен быть найден и наказан. С удовлетворением хочу отметить, что в последние годы результативность работы правоохранительных органов по расследованию киберпреступлений возросла многократно. Это обеспечено и техникой, и оперативными сотрудниками, обладающими большим опытом и знаниями. Мы со своей стороны стремимся оказывать компетентным органам помощь в рамках, предусмотренных законодательством.

Меры информационной безопасности, чтобы быть эффективными, должны опережать преступные замыслы хакеров. Какие актуальные тренды вы бы отметили в развитии систем безопасности?

А. В.: Наиболее распространенные сегодня хакерские атаки на финансовые системы нацелены на хищение закрытого ключа. В рамках системы Faktura.ru мы предложили защищенное решение еще в 2004 г. Это банковская микропроцессорная карточка, которая самостоятельно выполняет генерацию криптографических ключей и электронную цифровую подпись документа. Закрытый ключ никогда не покидает карточку, его невозможно скопировать. Пока программно аппаратные средства защиты использует относительно небольшая часть пользователей компьютеров, но в ближайшее время их число будет быстро расти. Те, кто пользуется логином/паролем, не могут надежно защититься от преступников. Другое решение, которое, несомненно, получит распространение, — одноразовые пароли (One Time Password, OTP). Это может быть специализированный брелок, программноаппаратное средство, скретч-карточка, банкомат, печатающий OTP на чеке, либо мобильный телефон клиента, на который банк высылает OTP. Идея во всех случаях общая — защитить клиента от хищения постоянного пароля. Третье направление, которое активно обсуждается специалистами, — биометрия. В критичных системах биометрические устройства могут использоваться только как дополнение к другим средствам аутентификации. Вместе с тем не вызывает сомнения, что по мере снижения стоимости и улучшения характеристик они будут находить все более широкое применение.

вернуться назад

События

Новости

Корпоративные новости