Вячеслав Яшкин: «Культура кибербезопасности в обществе по-прежнему низкая, и мошенники этим пользуются»

25 Мая 18:52

Директор департамента по информационной безопасности Ак Барс Банка Вячеслав Яшкин в беседе с «Банковскими технологиями» рассказал о трендах в сфере ИБ, способах борьбы с социальной инженерией и проблемах киберкультуры.

«Банковские технологии»: Как вы оцениваете ситуацию в сфере ИБ банков на начало 2020 года?

Вячеслав Яшкин: Ситуация в сфере информационной безопасности улучшилась благодаря поддержке сообщества и активному взаимодействию с ФинЦЕРТом. Среди тенденций в сфере ИБ можно выделить развитие цифровой гигиены и формирование простых и интуитивно понятных средств защиты клиентов и сотрудников, а также развитие архитектуры и взаимодействие по API.

Еще один тренд – цифровизация документооборота. Зашифрованный электронным ключом документ подделать практически невозможно, однако перейти на ЭДО в полном объеме не позволяют нерешенные вопросы в законодательстве. Например, в настоящее время все еще нельзя заключить трудовой договор с помощью усиленной квалифицированной подписи.

Также развивается тренд на автоматизацию процессов и аналитику больших данных. Ранее специалисты по ИБ были вынуждены вручную находить аномалии в массиве данных, теперь на помощь приходят роботизированные алгоритмы и машинное обучение. Банки самостоятельно или с помощью сторонних разработчиков создают центры оперативного реагирования (Security Operation Centre). В них в автоматическом режиме аккумулируются большие массивы данных, которые затем анализируются и в случае аномалий сортируются по инцидентам.

«Б. Т.»: Если говорить о новых технологиях, применяемых в ИБ (блокчейн, VR, ИИ, роботы и т.п.), какие из них вы считаете результативными и почему?

В. Я.: На мой взгляд, перспективна технология блокчейн в области нотаризации данных. Это цифровое подтверждение валидности сделки, когда документ заверяется третьей стороной в электронном формате. Для более активного развития блокчейна в сфере ИБ нужна высокая вовлеченность рынка.

Также в сфере ИТ широко применяются программные роботы. Они автоматизируют рутинные процессы и операции, но нужно иметь в виду, что любая программная прослойка накладывает новую угрозу. Сейчас в банке мы проверяем все реализованные RPA-проекты на наличие потенциальных уязвимостей. Такие роботы эксплуатируют несколько информационных систем одновременно, поэтому взломав скрипт роботизации, можно повлиять на эти системы.

«Б. Т.»: Какова, на ваш взгляд, наиболее эффективная практика борьбы с социальной инженерией?

В. Я.: Самое важное – формировать культуру кибербезопасности. В обществе она по-прежнему низкая, и мошенники этим пользуются. Фрод-мониторинг позволяет фиксировать и блокировать подавляющее большинство подозрительных операций, но невозможно защитить деньги или данные только с помощью технических средств. К сожалению, обмануть человека бывает гораздо проще, чем программу.

В среднем по рынку у Ак Барс Банка меньше мошенничеств с использованием социальной инженерии. И мы планируем снижать этот показатель с помощью собственной разработки и интеграции ряда систем для ускоренного анализа и формирования защитных алгоритмов.

«Б. Т.»: Если говорить о киберкультуре, то как ее формировать и сколько на это потребуется времени?

В. Я.: Формирование киберкультуры – это непрерывный процесс. Ак Барс Банк вносит в это свой вклад – мы регулярно выпускаем статьи в СМИ, посты в соцсетях о мошеннических схемах, даем рекомендации, как защитить деньги. В наших офисах транслируются обучающие видеоролики, а клиенты получают информационные буклеты во время консультаций. Главное, рассказывать о правилах кибербезопасности не сухо, применять элементы геймификации и демонстрировать примеры реальных случаев. Наши клиенты оставляют положительные отзывы о работе службы безопасности банка, и для нас это очень ценно.

Для сотрудников мы тоже проводим обучающие курсы, которые охватывают ключевые аспекты кибербезопасности. Банковские специалисты и разработчики пользуются огромным количеством онлайн-сервисов на сторонних площадках, например, в проектном менеджменте. С одной стороны, они упрощают работу, с другой, несут угрозу. Важно правильно донести эту информацию до персонала, чтобы защитить банк от раскрытия коммерческой тайны.

«Б. Т.»: Метрики информационной безопасности. Как показать эффективность работы CISO бизнесу?

В. Я.: Одна из метрик – сертификационный аудит. В этом году мы применяем ISO 27 001. Это международный фреймворк, то есть каркас того, какой должна быть информационная безопасность. Мы работаем в соответствии с ГОСТом 57580 Центробанка. Они разработали радарную карту, благодаря которой по различным критериям присваиваются баллы от 0 до 1. В этом году Центробанк ожидает от банков оценку не ниже 0,7. Мы же ставим цель достичь оценки 0,8 балла или выше.

Другой показатель – наше взаимодействие с блоком информационных технологий и бизнес-подразделениями. Для этого мы используем статистику Security Operation Centre и IRP-платформы, где есть информация об инцидентах и их решениях. Главная задача CISO – знать все, с чем он работает. Понимать, с каким оборудованием и системами работает банк и применять к ним определенную политику безопасности, которая соблюдает требования регулятора, понятна ИТ-блоку и не мешает бизнесу. Важно правильно выстраивать взаимоотношения с бизнесом – содействовать внедрению новых технологий, а не тормозить этот процесс. Мы всегда совместно с IT-блоком стараемся по возможности предлагать бизнесу альтернативу.

Метрикой может быть экономическая эффективность. Можно дорого купить продукт крупного международного бренда, а можно выстроить такую же эффективную защиту с помощью open-source продуктов и потратить меньше, при этом повышая собственную экспертизу и инвестируя в людей. Главное, чтобы у команды были соответствующие компетенции и лидеры, которые их направляют.

«Б. Т.»: Каковы угрозы открытому API и наиболее действенные методы обеспечения безопасности в открытых API?

В. Я.: Сложно дать точную оценку без конкретики, но любое открытое снаружи приложение – это угроза. При запуске пилотного проекта и проверки гипотезы нужно строить модель нарушителя, чтобы понять, от чего защищаться. Этот метод помогает улучшить проект с точки зрения информационной безопасности. Также необходимо вручную проводить тест на проникновение (penetration testing). ASV-сканирование помогает найти угрозы в сервисе.

«Б. Т.»: Каких законодательных и регуляторных инициатив и последствия от их принятия Вы ожидаете в 2020 году?

В. Я.: Мы ожидаем законодательных изменений в сфере использования электронной подписи. Возможно, будут какие-то инициативы в рамках закона о российском интернете. Если поменяются требования к программному обеспечению и оборудованию, это повлияет на наши дальнейшие решения.

Журнал «Банковские технологии»

вернуться назад

События

Новости

Корпоративные новости