ИБ-риски: сегодня и завтра

Тема кибербезопасности не обошла стороной Международный банковский форум «Банки России – XXI век». Мероприятие, организуемое Ассоциацией банков России, уже который год служит площадкой для обсуждения перспектив развития российской банковской системы и экономики страны в целом.

На круглом столе «Киберугрозы и обеспечение информационной безопасности: проблемы и решения» обсуждались различные аспекты ИБ: техника, нормативные акты, кадры и пр.

Своё мнение высказали Артём Сычёв, первый заместитель директора Департамента информационной безопасности Банка России, Матвей Геринг, директор по Центральной и Восточной Европе SWIFT, Артем Гутник, заместитель начальника управления, Управление безопасности АО «НСПК», Василий Карташов, руководитель направления TI BI.ZONE, Сергей Пазизин, заместитель начальника Управления по обеспечению информационной безопасности Департамента по обеспечению безопасности Банка ВТБ (ПАО), Андрей Лисицын, директор Центра РСПП по финансовой политике и финансовым рынкам, Алексей Волков, управляющий директор-начальник управления методологии кибербезопасности, ПАО Сбербанк. Модерировал дискуссию Алексей Лукацкий, бизнес-консультант по безопасности Cisco Systems.

 

СТРАТЕГИЯ ИБ ОТ БАНКА РОССИИ. ФОРМИРОВАНИЕ РИСК-ПРОФИЛЯ

В качестве затравки Артём Сычёв сообщил, что Совет Директоров Центрального Банка одобрил довольно серьёзный концептуальный документ «Основные направления развития информационной безопасности кредитно-финансовой сферы на период 2019–2021 годов», определяющий ближайшие перспективы. По этому документу под регуляторику ЦБ подпадают не только кредитные и некредитные организации, но и площадки маркетплейсов, операторы и иные участники национальной платёжной системы.

Документ определяет не только курс развития и тренды, но и целевые показатели. Прежде всего, речь идёт о двух показателях:

  • уровень доверия населения к ИБ финансовых услуг и устойчивости функционирования сервисов. Определяется на основании социологических опросов, взаимодействии с банками, анализа удовлетворенности сервисами, которые есть у финансовых организаций;
  • доля объёма несанкционированных операций от общего объёма операций. Исчисляются на основании отчётности и реальных цифр, поступающих в форме отчётов и в ходе обмена информацией по противодействию мошенничеству (Рис. 1).

Рис. 1. Цель БР в области информационной безопасности организаций кредитно-финансовой сферы

 

Основной упор при реализации «Основных направлений» регулятор планирует сделать на формировании риск-профиля. Риск-профиль – это обобщённый показатель, вычисляемая вероятность, формирующаяся на основании нескольких групп показателей:

Уровень несанкционированных операций и показатели операционной надёжности. Формируется на основании отчётности и информации, получаемой ЦБ в ходе информационного обмена с ФинЦЕРТ (Рис. 2).

Рисунок 2.

 

К примеру, если взять банки топ-10 и небольшой региональный банк, то одна и та же сумма хищений, будет у них иметь совершенно разные показатели. Поэтому куда важнее, как руководство кредитной организации реагирует на изменение тренда. Если видны положительные изменения – растёт объем операций, сокращается количество хищений, – это свидетельствует, что руководство банка заинтересовано в правильной оценке управления рисками.

Показатель оценки соответствия нормативным требованиям Банка России. Имеются в виду три группы требований: безопасность технологий, безопасность ПО, безопасность информационной инфраструктуры. Причём последние связана с показателем операционной надёжности. Тут главной задачей ЦБ будет не просто заполнить акт проверки финансовой организации, а научиться распознавать вероятность возникновения проблемы у банка, исходя из факта нарушения.

Качество управления риском. Именно степень вовлечённости руководства в процесс управления информационной безопасностью – один из тех показателей, который в целом будет влиять на формирование риск-профиля.

Дополнительный показатель, который не входит в вероятностную оценку, но будет учитываться регулятором, это показатель уровня информационного фона, формирующегося вокруг организации.

Естественно, если коммерческий конкурент сделал вброс, он не будет включаться в риск-профиль, но станет поводом задуматься, что происходит (Рис. 3).

Рис. 3. Перспективный подход для расчёта риск-профиля поднадзорных организаций

 

Расчёт и его оценка по риск-профилю в конечном счёте должно привести к двум вещам:

  1. Обоснованное и адекватное формирование мер воздействия, включая штрафы и иные меры, предусмотренные законом.
  2. Изменение экономического положения банка. Практика разбора ситуаций с хищениями показывает, что отсутствие правильного корпоративного управления, адекватной оценки рисков, невнимание к вопросам информационной безопасности приводит к потере и собственного капитала, и изменению ситуаций с возможностью кредитования на межбанковском рынке (Рис. 4).

Рис. 4. Перспективный подход для расчёта профиля риска кредитных организаций

 

При этом, было отмечено, что потенциальный риск на кредитную организацию оценивается, как средний дневной остаток по корсчёту плюс средний дневной приход на корсчёт. Как показывает практика по хищениям, начиная с 2015 года, статистика точно попадает в этот показатель.

 

РИСКИ И ФИНТЕХ

Большинство современных технологий разрабатывались IT-компаниями для IT-компаний. Однако у них совершенно другая цена при реализации рисков. К чему может привести бездумное использование технологий в финансовой отрасли рассказал представитель НСПК Артём Гутник.

Облака. Практически все кампании сегодня используют облачные решения. Но, к сожалению, это становится причиной потери контроля над периметром.

Недавно появилась новость о том, что задержана бывшая сотрудница Amazon, которая сканировала облако и находила компании с небезопасно настроенным сервисом. В публичный отчёт попала только компания Capital One, пострадавшая от её действий, но по факту в деле фигурируют 29 компаний.

API. Открыто сервис обсуждается на многих площадках, всё понимают, что API – это скорость интеграции между компаниями, за этим будущее. Но, с другой стороны, существует другое понятие – Security through obscurity («безопасность через неясность»). Когда что-то внедряется, о безопасности не думают, поскольку это настолько сложно, что в этом никто никогда не разберётся. А когда появляется открытое API, всё, что пытались спрятать, где надеялись, что не взломают, оказывается снаружи, и двери для злоумышленников открываются сами.

Большие данные. У большинства компаний информация превращается в хаос, поэтому контролировать данные практически невозможно, не говоря уже о том, что полностью удалить информацию о клиенте становится за гранью реального.

DevOps даёт скорость внедрений и возможность воплощать идеи в реальность буквально за считанные дни. Безопасность здесь зачастую тормозит процессы, она становится в параллель, где риск обнаруживается позже, чем попадёт на всех пользователей и клиентов.

Безусловно, технологии – это хорошо, но безопасность и бизнес должны научиться жить в сегодняшних реалиях, потому как, кроме эффективности, есть ещё и свойства безопасности, и они между собой очень тесно связаны.

Весьма показательна здесь история с базой данных MongoDB, которая произошла год назад. Изначально база разрабатывалась, как говорилось выше, IT-компаниями для IT-компаний. А ведь дефолтные конфигурации небезопасны. В итоге пострадало свыше 10 тыс. компаний просто от того, что все базы были открыты. Соответственно, кроме того, что защищать, необходимо понимать, от чего защищаться. Уязвимости есть везде, но, чтобы их найти, нужно потратить много времени и средств.

 

О МЕЖДУНАРОДНОМ ОПЫТЕ ОБМЕНА ДАННЫМИ. ЧТО МЕШАЕТ?

По словам Василия Карташова, мы значительно проигрываем злоумышленникам в скорости реагирования на новые угрозы и для этого есть вполне объяснимые факторы.

В первую очередь, существуют технические ограничения: какую площадку обмена использовать, какие стандарты, протоколы и т.д.

Конечно злоумышленники тоже сталкиваются с этой проблемой, но у них нет задачи защищать распределённую инфраструктуру, применять автоматизировано информацию на средства защиты. Преступникам достаточно узнать на форуме о новой угрозе, подобрать соответствующий эксплойт, выбрать жертву и провести атаку.

Юридические ограничения и бизнес-нюансы. Речь идёт о запретах юридических департаментов на обмен информацией о внутренних инцидентах. Кроме того, есть нежелание бизнеса обмениваться информацией с конкурентами.

Законодательные ограничения касаются обмена информацией в рамках антифрода, где трудно соблюсти тонкую грань, что является персональными данными, а что нет.

Геополитические ограничения. Нередко обмен противоречит политике страны-участницы обмена или руководства. С этим достаточно трудно что-либо сделать, но такие нюансы есть.

Положительные примеры обмена информацией компании BI.ZONE в 2019 году:

  1. К платформе обмена Ассоциации банков России, которой не так давно исполнился год, сейчас подключено 70 организаций. Безусловно, платформа, на данный момент,в большей степени функционирует в рамках Российской Федерации, но создана она с прицелом на международный обмен.
  2. Киберучения Cyber Polygon. В рамках учений 5 команд из различных международных компаний на практике продемонстрировали, что наличие единого инструмента автоматизированного обмена с применением этой информации на средства защиты, позволяет в несколько раз увеличить общую скорость реагирования на угрозы.
  3. Активное взаимодействие с зарубежными вендорами (ESET, Fortinet, Avira).

Автоматизированный инструмент обмена позволяет значительно повысить скорость реагирования на новые угрозы; значительно повышает эффективность расследований инцидентов безопасности, позволяет сэкономить экспертные ресурсы, особенно тем компаниям, у которых нет финансовых возможностей на поддержание большого штата сотрудников по кибербезопасности.

Артём Сычёв обратил внимание, что информационный обмен может осуществляться на разных уровнях. Есть проблемы, которые решаются только между регуляторами стран. К примеру, из юрисдикции Бразилии были атакованы российские банки. Банки пытались самостоятельно решить вопрос с представителем Бразилии, но безрезультатно. Атаки прекратились только после взаимодействия Банка России с бразильским регулятором.

 

ЭКОСИСТЕМЫ. ОПЫТ СБЕРБАНКА

Развитие экосистемы в банках – наиболее обсуждаемая и даже «хайповая» тема последних лет. Но действительно ли эта бизнес-стратегия является панацеей для кредитных организаций? Своим видением поделился представитель Сбербанка Алексей Волков.

Любая компании, входящая в экосистему, должна инвестировать в свою защиту. Это некий комплаенс.

В экосистеме есть большая проблема: её участники имеют разный уровень кибербезопасности и устойчивости. Компания с наименее защищённой инфраструктурой становится главным вектором атаки на всех участников экосистемы.

Сегодня в Сбербанке около 340 дочерних обществ при этом около 70 – фокусные, они тесно интегрированы в инфраструктуру и бизнес-процессы. При построении общей кибербезопасности, по словам А. Волкова, далеко не на первом месте находятся финансовые затраты. Куда важнее ряд других компонентов:

Обмен информацией.

Общие правила и стандарты. Сбербанк разработал для всех компаний, участвующих в информационном обмене, свою методологию.

В рамках разработки методологии индивидуально определялся риск-профиль компании через 16 риск-факторов, далее рассчитывался risk score и на его основании строился индивидуальный ИБ-профиль соответствия.Также формировался текущий профиль и уровень компании, определялись гэпы и составлялся план действий для улучшения защищённости.

Технологии. Естественно, не каждая компания может позволить себе специальную технологическую платформу. Дочерние компании Сбербанка, которые подключены к платформе BI.ZONE, получают всю информацию о киберугрозах, проходят экспресс-аудиты, отгружают туда информацию об инцидентах, проходят самооценку защищённости.

Сбербанку это дает возможность в режиме реального времени видеть состояние всех компаний с точки зрения кибербезопасности, определять эффективность защиты. Также платформа позволяет оперативно взаимодействовать компаниям при возникновении инцидента.

Риски и ответственность. Когда компании находятся в общей экосистеме, они должны разделять риски и ответственность за то, что делают. В Сбербанке эта проблема решается следующим образом.

Существует 4 вида соглашения о кибербезопасности в зависимости от степени интеграции в инфраструктуру. В каждом из них указаны меры соответствия минимальному уровню защищённости, прописана ответственность за возможные инциденты/ущерб, который может быть причинён всей экосистеме. Выполнение этого соглашения юридически обязательно для всех.

Опыт и знания. Одним из условий является наличие в компании подразделения, отвечающего за кибербезопасность, либо такого сотрудника. Задача каждого аккаунт-менеджера заключается не в том, чтобы строить кибербезопасность, а в том, чтобы осуществлять коллаборацию между участниками всей экосистемы. Сейчас примерно 15 компаний закреплено за каждым аккаунт-менеджером. При этом не все из 340 дочерних компаний находятся под наблюдением, фокусных – чуть больше семидесяти, поэтому шесть человек прекрасно справляются с этой задачей.

Резюмируя выступление представителя Сбербанка, Артём Сычёв анонсировал, что в следующем году в планах Банка России заняться формированием риск-профиля на экосистему, дабы иметь возможность прослеживать развитие атаки на бизнес-уровне, начиная от одного участника системы и заканчивая другим. Как показывает опыт Сбербанка, это единственно правильный вариант для сокращения количества хищений не в одной единице, а в экосистеме в целом.

 

КАДРЫ

Рост рынка ИТ усугубляет проблему кадров в сфере ИБ. Разобраться в ней попытался Сергей Пазизин.

Представитель ВТБ отметил, что сегодня происходит качественный переход, связанный с изменением места и роли ИБ в бизнесе. Задачи ИБ уже не ограничиваются выполнением контрольных функций. А простое следование стандартам безопасности уже не позволяет обеспечить необходимый уровень защиты. Практически любое изменение бизнес-процессов в банке влияет на работу автоматизированных систем, следовательно, требует анализа со стороны ИБ.

В число задач ИБ-подразделений банка входит не меньше 6 направлений: внедрение средств защиты, их настройка и поддержка; выполнение функций операторов ПАК; контроль соблюдения требований ИБ: комплаенс; поиск уязвимостей, тестирование на проникновение, анализ кода разрабатываемых приложений на безопасность; взаимодействие с бизнес-подразделениями, сопровождение разработки. 

Чаще всего пытаются поставить на поток универсального безопасника, но это бессмысленно. Каждое направление требуется наличие специфических знаний и опыта, а также разных личных качеств.

Для решения этой проблемы нужна, во-первых, гибкая система переподготовки кадров, во-вторых, комплекс профессиональных стандартов, покрывающий все направления. Имеющиеся стандарты покрывают только часть потребностей. Например, профстандарт «Специалист по информационной безопасности в кредитно-финансовой сфере» идеально подходит для направления, связанного с нормативным регулированием. Однако вопрос сопровождения и разработки там практически не отражён. С. Пазизин заметил, что ВТБ уже направил просьбу учесть это направление в новом стандарте.

Кроме того, при подготовке специалистов кафедры ИБ должны сами определять, какие курсы будут читаться студентам. Также должна быть конкуренция как между кафедрами, так и стандартами. При этом работодатели, как потребители, должны определять, какой вуз готовит подходящих для них специалистов.

Не стоит забывать о мерах, позволяющих оптимизировать работу имеющихся специалистов:

  1. Совершенствование и унификация нормативного регулирования;
  2. Международное сотрудничество в области противодействия киберпреступности, эффективное расследование киберпреступлений;
  3. Развитие защищённых облачных платформ и снятие нормативных ограничений на их использование;
  4. Разработка и внедрение эффективных средств защиты, в том числе для эффективной идентификации и аутентификации потребителей финансовых услуг.

Андрей Лисицын продолжил тему профессиональных квалификаций и подчеркнул, что текущие проекты стандартов концентрируются либо на технологиях, либо на регуляторных требованиях.

С 1 июля 2019 года любые оценки специалистов, которые проводятся работодателями могут осуществляться только в соответствии с Независимой оценкой специалистов

Вывод, сделанный на круглом столе. Если раньше ИБ была всё запрещающим центром затрат, то сегодня она – необходимый партнер различных бизнес-инициатив. Конечно, есть специалисты, по-прежнему живущие старыми представлениями, но в целом ИБ активно помогает снижать риски при внедрении новых технологий и защищает деньги банка и его клиентов. Если учитывать, что по ту сторону баррикад всё большее людей вовлекается в преступную деятельность, необходимо больше внимания уделять возникающим ИБ-рискам. От этого будет зависеть будущее организаций, которые вкладываются именно в цифровизацию и используют современные бизнес-стратегии.

Анна Воробьёва -- Корреспондент (BIS Journal)

BIS Journal №4(35)/2019

18 декабря, 2019

Смотрите также