Осенняя Сессия Уральского форума

Осенняя Сессия Уральского форума

Тема социальной инженерии при борьбе с мошенничеством и иными угрозами ИБ в финансовой сфере была и остаётся обязательной для анализа специалистами и привлекательной для журналистов. Так что включение дискуссии «Практика борьбы с социальной инженерией в системах дистанционного банковского обслуживания» в повестку дня Осенней сессии Уральского форума в Москве нельзя назвать оригинальным ходом организаторов действа.

Однако неправильно считать, что обсуждение социальной инженерии состоялось в конце мероприятия, так как связан этот тип мошенничества лишь с внешним клиентским окружением и нерадивостью низового персонала банков.

Пока злоумышленники ставят социальные эксперименты на обывателях, вполне себе добропорядочные руководители, сами того не сознавая, часто способствуют появлению социальной напряжённости в службе ИБ собственной конторы. Что также сказывается на уровне защиты информации и безопасности сервисов для клиентов.

Социальная инженерия и народ

Освещая Осеннюю сессию в реальном времени, масс-медиа практически не упомянули о мероприятии в целом, но с удовольствием цитировали свежую аналитику Артёма Сычёва. И в первую очередь факты со скандальным душком о социальных профилях наивных жертв (например, о некоем полковнике силовых структур, несколько раз подряд попавшемуся на удочку мошенников). Но позволю высказать мнение, что упомянутое СМИ – это шелуха, скрывающая реальные истоки проблем.

Да, население следует просвещать и обучать «гигиене» в киберпространстве.

Но будет ли эффективным такое обучение на фоне вала технологий, вовлекающих население в пустое времяпровождение во Всемирной Сети? Как результат – сомнительной ценности досуг, сопряжённый с рефлекторным сливом в Интернет ценных для преступников данных. Формально ВВП растёт, но улучшается ли ситуация в сфере ИБ?

А чего стоит, например, «просветительская» деятельность клерков в государственных организациях, которые предлагают гражданам находить ответы на свои вопросы в Интернете, не затрудняя себя ответственными рекомендациями, где именно безопасно следует искать соответствующую информацию. В результате у людей формируется устойчивый стереотип поведения в киберпространстве, не совместимый с базовыми требованиями ИБ. Люди смело проверяют нахождение той или иной информации о себе в тех или иных базах данных, используя для этого сайты, созданные злоумышленниками для сбора этих данных.

В то же время, отметил Артём Сычёв, социальная обучающая реклама Центробанка может рассчитывать лишь на самое неудобное время на центральных каналах ТВ, тогда как услуги «в один клик» (дави на клавиши, думать будешь потом) продвигаются в прайм-тайм. Причина проста, хоть и выглядит парадоксальной, – у Центробанка элементарно нет для этого денег.

Проблемы внутрикорпоративной «социализации» ИБ

Но главенство эффективности в бухгалтерском понимании этого термина негативно сказывается не только на попытках просвещать население. Тут уместно вспомнить слова известного эксперта в сфере ИБ Рустема Хайретдинова о том, что недопустимо часто угроза ИБ с вероятностью менее 100% рассматривается ЛПРом как угроза с вероятностью «орёл/решка» и не рассматривается как источник риска, а проекты по ИБ конкурируют за бюджет не между собой, а с бизнес-проектами.

Дело обстоит настолько плохо, что, как показали беседы в кулуарах Осенней сессии, даже в ведущих банках руководство отказывается проактивно выделять средства на инструментарий для борьбы с киберугрозами, которые ещё не реализовались в этом конкретном банке. Печальная судьба «соседа», уже погибшего от этой напасти, не является уроком. И руководство ИБ пытается найти выход в обращении к мегарегулятору с просьбой: внести обязательное требование по борьбе с конкретной угрозой в нормативный акт. Мегарегулятор вполне обоснованно безмолвствует, ибо, перефразируя Аркадия Райкина, есть такие шаги, которое здравомыслящее руководство финансовой организации должно предпринимать само, «даже при наличии здорового коллектива».

На Международном конгрессе Сбербанка по кибербезопасности президент Совета по кибербезопасности Германии Ханс-Вильгельм Дюнн упомянул о таком негативном явлении, как тенденция к уходу специалистов из сферы ИБ в связи с ростом ответственности и чрезмерными стрессами. И стрессы эти – в том числе и следствие недальновидной внутрикорпоративной социальной инженерии, связанной с экономией на количественном составе ИБ-персонала, оплате его труда, с экономией на обоснованном техническом перевооружении. И это при том, что обоснованно заботящееся о сохранении конкурентоспособности руководство зачастую вынуждено фактически создавать инновационные «дыры» в периметре безопасности. Примеры таких рукотворных дыр легко найти в системе ДБО, ЕБС и т.д.

Увидеть проявление упомянутых стрессовых состояний в профессиональной среде можно было в ходе финальной дискуссии Осенней сессии Уральского форума.

Модератор дискуссии Олег Седов провёл мероприятие на грани балагана и мхатовского спектакля. И, наверное, именно это позволило пробудить поистине вулканические страсти во многом обывательского пошиба в зале, заполненном высокими профессионалами в сфере ИБ. Что указывает на сильную «наэлектризованность» всего ИБ-сообщества – внешне спокойного и благополучного.

Реакция зала на проблему в целом, ответы экспертов на вопросы из зала и тут же возникавшая эмоциональная обратная связь позволяют предположить, что образование является необходимым, но явно недостаточным условием для создания иммунитета к негативной социальной инженерии.

А что же является достаточным условием? Любому человеку для принятия решения, когда звонят преступники с предложением вывести деньги с банковской карты,  важна абсолютная уверенность в поддержке – как со стороны своего банка, так и всего общества. Сегодня, к сожалению, такой уверенности у него нет.