Олег Илюхин: «С кем можно сравнить сотрудников подразделений ИБ? Наверное, с МЧС»

13 Февраля 16:59

Заместитель председателя правления СДМ-Банка, директор департамента IТ Олег Илюхин в интервью нашему журналу дал оценку новым технологиям, применяемым в информационной безопасности, выделил наиболее перспективные из них. Высказываясь о проблеме социальной инженерии, особое внимание уделил тому, как все-таки можно защититься от действий злоумышленников.

«Банковские технологии»: Олег, можно ли ситуацию в сфере информационной безопасности банков назвать стабильной в данное время? Какие тенденции вы бы выделили на рынке?

Олег Илюхин: Ситуация с информационной безопасностью в банковской сфере в начале 2020 года пока вполне стабильна. Если посмотреть данные статистики, то общее число инцидентов в области ИБ снизилось, как численное, так и количественное. Об этом говорят отчеты компаний, также можно предположить, что это подтвердит и ЦБ на Уральском форуме. Политика ЦБ в области IT-безопасности в течение последних нескольких лет приносит свои плоды. Ситуация изменилась, причем в лучшую сторону.

Если говорить про основные тенденции ближайших лет, то, мы будем наблюдать разворот от привычного «придумали что-то новое в области IТ», затем внедрили новую технологию, и потом объясняем людям (клиентам), как это применять и в чем польза. С ростом процессорных мощностей и развитием технологии 5G можно предположить, что произойдет размытие границ «ЦОД-потребитель», все больше вычислений будет отдаваться на периферию. Правда, это скорее перспектива второй половины 2020 года. В этом же году все больше будет появляться роботов.

«Б. Т.»: Дайте, пожалуйста, вашу оценку новых технологий - блокчейн, VR, искусственный интеллект, роботы.

О. И.: Если говорить о новых технологиях, например блокчейне, то здесь не все так просто. В мыслях большинства людей эта технология связана с биткоином, который, в свою очередь, ассоциируется с анонимным движением денежных средств, некая «пиратская» валюта. Конечно, вопрос о бесконтрольной и ничем не обеспеченной эмиссией этой валюты выходит за рамки обсуждения технологий. Так что же не так с блокчейн? Во-первых, это не биткоин, а во-вторых - это совсем не финансовые технологии. Классическое определение - это распределенный реестр блоков данных, но ни о каких распределенных вычислениях речи не идет, все считают одно и то же, происходит многократное дублирование. И чем больше мощностей, тем сложнее провести атаку 51%+, а есть ещё уязвимость двойных трат, атака Сивиллы, переполнение очереди транзакций и так далее. То есть в целом технология перспективная, но очень затратная.

Технологии VR интересны и способны увеличить продажи. Например, продажа или аренда квартир, когда можно своими глазами увидеть свою будущую квартиру. В финансовом секторе крайне важно вести учет данных клиентов. Неудивительно, что сейчас этим все активнее будет заниматься ИИ, который и станет делать выводы о возможностях людей погашать кредиты. Что в комбинации с роботами позволит автоматизировать их выдачу и снизить время на принятие решения и оформление документов.

ИИ способен отслеживать нетипичные операции. Например, если кредитная карта использовалась в одной стране, но внезапно произошла транзакция в другой, то классический антифрод заблокирует такую транзакцию, а ИИ, если его правильно обучить, может проверить, а не было ли покупок билета на самолет по этой карте ранее или транзакций в аэропорту за пару часов до этого, а следующая - как раз в аэропорту прилета.

«Б. Т.»: Какую из приведенных выше технологий вы считаете самой перспективной?

О. И.: По моему мнению, перспективным можно назвать применение искусственного интеллекта в комбинации с классическими системами защиты. Например, в последнее время актуально создание SOC. Внедрение ИИ на первой линии SOC позволит сократить время принятия решения по инцидентам и исключить ошибку из-за человеческой невнимательности вследствие усталости.

«Б. Т.»: Случаи социальной инженерии носят массовый характер. Почему? Могли бы вы дать какие-то рекомендации, что делать человеку, если ему позвонили мошенники?

О. И.: Социальная инженерия была всегда и есть везде, просто сейчас, с развитием технологий, это стало носить массовый характер. А если учесть, что в последнее время банки значительно усилили свою защиту, то мошенникам становится гораздо проще «взломать» человека. Почему? Во-первых, нас просто больше, чем банков, и чисто статистически в одном случае из ста может просто повезти. Если человек сам открыл дверь, пустил мошенника в квартиру, принес деньги и отдал ему их в руки, как можно это предотвратить? Сложность защиты от социальной инженерии в том, что человек сам сообщает мошеннику все необходимые сведения. Защита от этого носит, скорее, не технологический, а психологический характер. Какова общая схема? Раздается звонок, представляются представителем службы безопасности и дальше нудным голосом и скороговоркой сообщают, что с картой или счетом что-то не так, транзакция в другом городе или еще что-то подобное. Массовая волна таких звонков совсем недавно прокатилась по многим городам РФ. Далее возможны варианты, но, в любом случае, звонивший мошенник убеждает «жертву» в том, что он помогает ей, а для этого ему необходимо идентифицировать человека и вернуть ему его же деньги на счет. К сожалению, под видом этого возврата обычно и происходит отправка денег мошеннику.

Но что делать, если клиент все-таки сам сообщил номер своей карты, CVC-код и код подтверждения по смс? Банк может установить фильтры на сумму ежедневных операций, на их число, на реквизиты получателя. Это можно сделать, но, правда, практика показывает, что не всем клиентам это бывает удобно.

По моему мнению, самым эффективным способом борьбы с такого рода мошенничеством является просветительная деятельность, в том числе на государственном уровне.

Еще раз вернемся к теме - что делать, если вам позвонили? Приведу краткую инструкцию ваших правильных действий. Вам позвонили от имени банка и телефон правильный (к сожалению, его можно подделать). Необходимо повесить трубку, затем самому связаться с банком и уточнить, мог ли кто-то из сотрудников вам звонить? Параллельно можно зайти в интернет-банк и установить лимит по операциям, более того, можно перевести деньги на счет, к которому не привязаны пластиковые карты. И просто проверить, а были ли вообще на самом деле эти подозрительные транзакции, о которых вам говорят?

«Б. Т.»: Как лучше всего можно оценить работу банковской информационной безопасности?

О. И.: Для начала нужно определиться с целью проведения таких оценок, что именно будем оценивать, кто будет проводить эту оценку, как, где и какие будут браться данные и как, наконец, всё это будет использоваться в дальнейшем? Лучшим вариантом оценки, наверное, будет независимый и регулярный аудит. Если при первом аудите есть замечания, это скорее хорошо и говорит в пользу аудитора. Но вот если при повторном аудите эти же замечания сохранятся, то это уже плохо. Если говорить про метрики, то они, скорее, должны отражать не события, а процессы. Не число инцидентов, а время реагирования на них.

IТ-специалистов часто называют «торговцами страхов», вынужденных «пугать». С кем можно сравнить сотрудников подразделений ИБ? Наверное, с МЧС, посмотрите их метрики. Львиная доля заключена в своевременном исполнении своих обязанностей. С этого и надо начинать: должны быть сформулированы требования к службе ИБ, а уже потом следовать этому списку, составить список метрик, показывающий, насколько требования качественно выполняются. Аудит в этом поможет.

«Б. Т.»: Каких законодательных и регуляторных инициатив вы ожидаете в наступившем году?

О. И.: В 2020 году мы ожидаем уточнения требований к сертификации информационных систем банка, разъяснения по анализу уязвимостей, что делать, если нет исходного кода, утверждения проекта профиля защиты для прикладного программного обеспечения автоматизированных систем и приложений.

Журнал «Банковские технологии», №1, 2020.

вернуться назад

События

Новости

Корпоративные новости