Денис Муравьев: «За информационную безопасность в банке отвечает каждый…»

27 Марта 2009 17:00

Об общих проблемах и кризисных эффектах в сфере информационной безопасности мы беседуем с генеральным директором «4х4 бюро профессиональных услуг» Денисом Муравьевым.

 

 

 

 

 

 

 

 

Каковы наиболее общие проблемы в области информационной безопасности, с которыми приходится сталкиваться российским банкам? Насколько эти проблемы обострились из-за финансового кризиса?

Денис Муравьев: Кризис, конечно, привел к обострению проблем в сфере информационной безопасности. Одна из главных проблем связана с существенным сокращением штатов, которое предприняли большинство банков. Люди всегда были самым слабым звеном в системе защиты, а массовое увольнение сотрудников еще сильнее повышает риски, связанные с человеческим фактором.

       Кроме того, проблемы, существовавшие и до кризиса, никуда не делись. Их можно условно разделить на несколько классов.

       Во-первых, это проблемы, связанные с необходимостью соответствия законодательным нормам в области информационной безопасности. Проблемы вызваны тем, что требования законов зачастую недостаточно конкретны, а детализирующие их положения – документы руководящих ведомств плохо проработаны. В качестве примера можно привести Закон об электронно-цифровой подписи, которого все долго ждали и который в итоге до сих пор так и не заработал. В результате банки вынуждены составлять замысловатые договоры на обслуживание по системам «Клиент–Банк» и придумывать сложные схемы генерации сертификатов ключей ЭЦП, чтобы формально выполнять требования Закона. Сегодня схожая ситуация складывается с Законом о персональных данных – обеспечение соответствия этому Закону и руководящим документам требует значительных средств. Каково будет реальное практическое применение Закона – неизвестно, а значит, пока не стоит бросаться деньгами. Тем не менее только ленивые консалтинговые компании не предлагают сейчас услуги по защите персональных данных.

       Во-вторых, существует целый клубок трудностей, связанных с профессиональными качествами работников служб безопасности. Исторически вопросами информационной безопасности в банках занимаются две категории специалистов: сотрудники отделов безопасности и сотрудники IT-подразделений. У первых наблюдается явный уклон в сторону физической, или «бумажной», безопасности, вторые являются, по сути, IT-специалистами, отвечающими за защиту информации. Между тем проблема безопасности имеет комплексный характер, и попытки разделить сферы влияния между разными сотрудниками приводят к уязвимости системы безопасности банка в целом. В идеале специалист по безопасности должен хорошо понимать банковские технологии, хорошо оценивать риски и обладать аналитическим складом ума, разбираться в информационных системах, а также знать и уметь применять специализированные средства обеспечения безопасности. Служба безопасности банка, укомплектованная такими специалистами, – это недостижимый идеал, и на практике проблема отсутствия комплексного подхода к безопасности и защите информации стоит перед банками в полный рост.

       Наконец, третий класс проблем в сфере информационной безопасности связан с отсутствием системного подхода к анализу рисков. О том, что необходимо оценивать и анализировать риски, говорят давно, однако на практике дело обстоит по-другому. Системы безопасности большинства банков строятся на основе баланса между стоимостными характеристиками и уровнем рисков, которые каждый оценивает так, как считает нужным. В условиях кризиса, а значит и дефицита бюджета проблема адекватного анализа рисков становится очень актуальной.

Существуют ли в принципе стандарты оценки рисков в сфере информационной безопасности?

Д. М.: Такие методики существуют и широко используются за рубежом. В качестве примера можно привести методологии OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) и CRAMM (CCTA Risk Analysis and Management Method). Трудность в том, что подобные методики достаточно сложны, их применение требует серьезных знаний и очень высокой квалификации персонала, а в России специалистов, способных с ними работать, очень немного. Практика страхования рисков в области информационных технологий и безопасности в России вообще не развита, а за рубежом практически во всех страховых компаниях есть специалисты-актуарии по оценке IT-рисков.

       Положение дел постепенно меняется в лучшую сторону, но очень медленно. Так, соответствующий стандарт (методика оценки рисков) разрабатывается сегодня под патронажем Банка России, и, что очень хорошо, к его разработке привлекается профессиональное банковское сообщество. Для российского рынка это не характерно. Обычно заинтересованные участники рынка видят уже итоговый документ, править который по существу уже поздно. Кстати, именно подобная практика разработки регулятивных документов часто приводит к тому, что в итоге они не работают. Закон о персональных данных вступил в силу еще в начале 2007 г., однако попрежнему различные базы данных продаются на каждом шагу. Сам по себе Закон недостаточно конкретен, чтобы остановить очередные утечки, а руководящие документы были раработаны ФСБ и ФСТЭК на скорую руку, и поэтому вызывают бурное обсуждение. К счастью, пока еще не все руководящие документы зарегистрированы в Минюсте, а значит не обязательны к выполнению.

Будет ли стандарт ЦБ РФ иметь силу инструкции, выполнение которой обязательно для финансовых институтов?

Д. М.: В ближайшие несколько лет этого ожидать не следует. Стандарт прошел апробацию в ряде банков и доработан по ее результатам, в скором будущем новая версия будет доступна широкой общественности, но сохранит рекомендательный характер. В Банке России понимают, что стандартная методика необходима, стремятся создать ее и предложить как рекомендацию банковскому сообществу, но не хотят превращать стандарт в догму. Банки вполне могут ориентироваться не на российский, а на международные стандарты, например семейство ISO 27000.

Существует ли какая-то чисто российская специфика проблем в области информационной безопасности?

Д. М.: Пожалуй, существует, но не слишком значительная. Компания Ernst & Young ежегодно проводит всемирное исследование проблем в области информационной безопасности. Исследования за 2008 и 2007 гг. показывают, что в мире изменяется роль подразделений информационной безопасности. Связано это с возросшими на фоне кризиса репутационными рисками компаний. Так вот, за рубежом бюджеты на информационную безопасность в 2009 г. в большинстве случаев увеличились, а в России наоборот – сократились. Кроме того, наблюдается все возрастающий разрыв между требованиями регуляторов и реальным положением дел, т. е. способностью компаний выполнять эти требования. Причина очень проста – во всем мире не хватает квалифицированных специалистов по информационной безопасности. И дело даже не в том, что такие специалисты дороги. Основная проблема – в необходимости непрерывного обучения. Мы говорим об отрасли столь динамичной, что, даже получив необходимые знания и имея множество сертификатов, вы не можете считать себя первоклассным практиком. Необходимо постоянное получение новых знаний, постоянный обмен опытом – и это помимо основной работы. В противном случае уже через год вы безнадежно отстанете от рынка. Для России проблема нехватки кадров нужной квалификации, пожалуй, наиболее характерна.

      Еще одна особенность российского рынка заключается в том, что здесь очень слабо развит рынок так называемых профессиональных услуг. На Западе термин professional services означает оказание тех или иных услуг на базе отраслевых стандартов. В области информационной безопасности --- профессиональные услуги очень распространены. У нас же почему-то принято «адаптировать» международные стандарты под какую-то, якобы существующую специфику рынка, превращая их тем самым в профанацию. Кроме того, многие банки сертифицируются по стандартам только «для галочки», существенно ограничивая область сертификации. В качестве примера можно привести хорошо известные стандарты серии ISO 27000, которые позволяют сузить область сертификации до одного процесса и, по сути, одного сотрудника. Если говорить о текущей ситуации, то стоит обратить внимание на тот факт, что банковский сектор сегодня оказался, наверное, в наиболее неблагоприятном экономическом положении, поэтому проблемы информационной безопасности именно в российских банках проявляются наиболее остро.

Есть ли вероятность того, что некоторые из уволенных в кризисное время сотрудников служб безопасности окажутся по другую сторону баррикад, увеличивая тем самым уровень угроз информационной безопасности?

Д. М.: Я бы не сказал, что эта вероятность велика. Профессионалы в области безопасности обладают совершенно определенной психологией и редко превращаются в мошенников. Да и преступники обычно стремятся покупать не уволенных «безопасников», а работающих сотрудников банков, причем имеющих отношение к движению денег. Ведь для того, чтобы украсть со счета банка крупную сумму, нужно, во-первых, знать о ее существовании на корсчете банка или счете какого-то отдельного клиента, а во_вторых, получить «полномочия» для ее перевода. Так что следить сегодня нужно в первую очередь не за теми, кто уволен, а за теми, кто остался. Причем ситуация, когда фактические полномочия сотрудников превышают их должностной уровень, особенно опасна. Поэтому сегодня как никогда актуально адекватное распределение ролей и ответственности среди сотрудников банка, а также своевременное блокирование учетных записей уволенных сотрудников.

Насколько сегодня уязвимы информационные системы российских банков для внешних атак?

Д. М.: Внешние атаки – не самая большая проблема, поскольку российские банки очень слабо представлены в сети Интернет. Это связано с тем, что технологии доступа к банковским системам через Интернет никто из банков серьезно не развивал. Исключение составляют системы типа «Клиент-Банк». Гораздо хуже обстоит дело с внутренней безопасностью. Проверки, которые мы проводили по заказам самих банков, часто демонстрировали, что получить все необходимые пароли или добраться до нужных помещений гораздо проще, чем кажется на первый взгляд, особенно если прибегать к «помощи» сотрудников банка (так называемые методы социальной инженерии). Это, как я уже говорил, проблема комплексности задач информационной безопасности. Если ваша система надежно защищена от компьютерного взлома, но ваши сотрудники не знают, кому и что можно говорить и куда нельзя пускать посторонних, – грош цена всем техническим средствам защиты.

      «4х4 бюро профессиональных услуг» – одна из немногих компаний, оказывающих услуги по проверке физической безопасности организаций. У нас есть очень симпатичная сотрудница, которой в ходе теста поручается проникнуть в некоторое условленное помещение, отмеченное на плане. Так вот, я не помню случая, чтобы ей этого не удалось. Причем очень часто по условиям теста у нее не бывает с собой даже паспорта – только личное обаяние и хорошо подготовленная правдоподобная легенда. Приклейте изображение Винни-Пуха на свой рабочий пропуск – думаете ктото из охранников обратит на это внимание? А сколько людей может пройти за вами, после того, как вы открыли дверь своей карточкой? Много интересного можно найти на столах сотрудников, сидящих в общем зале. Конфиденциальные документы часто забывают на общем принтере или выбрасывают в обычные мусорные корзинки. А как часто бывает, что человек уже уволен – но его пропуск действует, и он продолжает приходить в родной банк, например, к любимой девушке?

      За информационную безопасность в банке отвечает каждый – на своем участке, поэтому помимо применения технических средств защиты необходимо постоянно обучать и инструктировать сотрудников. За рубежом инструктаж со стороны специалиста службы безопасности для каждого нового сотрудника – обязательная практика. У нас – нет. Ведь это дополнительные затраты… Даже в кризис западные банки, сокращая расходы, одновременно увеличивают затраты на повышение осведомленности персонала в области информационной безопасности, так как осознают возросшие риски. Парадоксально, но в России ситуация прямо противоположная: первое, что сократили банки в своих бюджетах – это затраты на обучение.

      Впрочем, насколько реально плохо или хорошо обстоят дела с информационной безопасностью в банках, открыто обсуждать по понятным причинам не принято.

Каковы последние тенденции в области информационной безопасности?

Д. М.: Как пишут в журналах – эра продуктовой безопасности закончилась. Это действительно так. Если раньше было принято покупать готовые решения для поддержания информационной или физической безопасности, то теперь акценты сместились в сторону выработки адекватного контроля и встраивания процедур безопасности непосредственно в технологические процессы организации или банка. Такие процедуры могут быть как ручными (например, дополнительные проверки документов, выверки счетов и т. п.), так и автоматизированными, осуществляемыми с помощью систем поведенческого анализа.

      К сожалению, даже те, кто приобрел сложные системы, часто не используют их на практике – взять, например, системы обнаружения/предотвращения атак. Причина в том, что эти системы очень сложны в эксплуатации и поддерживать их работу своими силами сложно, а силами поставщика – дорого. Зарубежный опыт говорит, что аутсорсинг в данном случае оказывается наиболее эффективным выходом. Приведу простой пример – настройка системы обнаружения атак в масштабах среднего банка занимает от полугода до года; с учетом появления в банках новых процедур, в системе – новых модулей и версий процесс становится бесконечным. Более того, люди, работающие с конкретной системой, могут в какойто момент уйти из банка, и дело вообще встанет. Так стоит ли изначально полагаться на свои силы?

      Еще один потенциальный плюс аутсорсинга заключается в том, что аутсорсер в рамках своих сервисов может предоставлять в пользование банку дорогие продукты, приобрести которые банк просто не может себе позволить. Многие аутсорсинговые контракты предусматривают финансовую ответственность фирмы-аутсорсера за несвоевременную реакцию или пропуск события.

Существует ли межбанковское сотрудничество в области информационной безопасности? Нужно ли оно в принципе?

Д. М.: Как я уже говорил, тема информационной безопасности очень закрыта, и в рамках профессиональных сообществ, банковских ассоциаций или просто семинаров и конференций обсуждаются лишь наиболее общие проблемы, например, связанные с законотворчеством. Существует множество организаций, имеющих отношение к информационной безопасности в банках, из самых известных это ПК3 ТК_362, Ассоциация российских банков, Ассоциация региональных банков, Ассоциация ABISS и т. д. Однако конкретные примеры проектов, внедрений, обсуждают только в кулуарах. Поэтому более эффективно скорее не межбанковское, а межличностное взаимодействие по проблемам информационной безопасности.

Насколько частым должен быть аудит информационной безопасности? Каковы его особенности?

Д. М.: Если говорить о частоте проверок, то я рекомендовал бы ежегодный комплексный аудит по информационной безопасности. Если же в области информационных систем банка или его организационной структуре происходят какие-то изменения, необходим более частый контроль. Скажем, проводить техническое сканирование сегмента DMZ и основных банковских серверов нужно минимум раз в квартал.

      Учитывая, что не все могут позволить себе иметь в штате квалифицированного аудитора, несомненно, есть смысл в привлечении сторонних экспертов, способных провести комплексную проверку и ответить на вопрос, насколько используемые в банке решения информационной безопасности отвечают его технологиям и требованиям.

      К сожалению, действительно серьезно к проблемам информационной безопасности в России подходят лишь самые крупные банки, для небольших же финансовых институтов это далеко не приоритетная задача.

вернуться назад

События

Новости

Корпоративные новости