Директор департамента информационной безопасности Московского кредитного банка (МКБ) Вячеслав Касимов в интервью BIS Journal дал свою оценку текущих реалий рынка информационной безопасности и поделился мнением на вопросы формирования киберкультуры и кадровой политики в организации.
О ТРЕНДАХ
— Как Вы оцениваете текущую ситуацию в сфере информационной безопасности банков? Какие основные тенденции видите на рынке?
— Основной тренд – это повышенная активность хактивистов, которые организовывают DDOS-атаки на различные предприятия, в том числе финансовой сферы, что доставляет всем большую головную боль. И если крупные банки уже давно адаптировались к такого рода активности, то малые кредитные организации определенно чувствуют себя не очень комфортно. При этом мы видим, что организаторы DDOS-атак развиваются. С одной стороны, это развитие заключается в том, чтобы находить технически грамотных людей, которые смогут отыскать дополнительные лазейки для повышения эффективности их DDOS-атак. С другой стороны, наблюдается тренд на то, чтобы производить и доставлять до организаций в РФ так называемые криптолокеры – это тот софт, который умеет запускаться на компьютере или сервере и шифровать весь жесткий диск, делая таким образом недоступным этот сервер. И все это на фоне отказа от привычных зарубежных средств защиты информации.
Все это приводит к дискомфортной ситуации по той причине, что не все отечественные решения умеют справляться с криптолокерами. И это, кстати, серьезная проблема. Обычно, если осуществляется удаленный доступ, то у защищающейся стороны есть время на то, чтобы идентифицировать это проникновение и, приняв необходимые меры, выбить злоумышленников из инфраструктуры. А в случае с криптолокерами времени нет, потому что счет идет на минуты и распространение происходит очень быстро. Думаю, единственный правильный вариант в такой ситуации – придерживаться идеологии подводной лодки: если один отсек затопило, то она все равно плывет дальше. Я имею в виду необходимость тщательно организовывать межсетевое экранирование в том числе между рабочими станциями пользователей, в текущих реалиях это must-have.
Остальные тренды на рынке остались прежними. Был некоторый спад в активности мошеннических колл-центров, потом их активность опять резко возобновилась, и ситуация вернулась к уровням прошлого года.
БЛИЖНИЙ ПРОГНОЗ
— Во второй половине года чего ожидаете?
— Объективно будет рост доходов у ведущих отечественных производителей средств защиты информации, поскольку все денежные потоки, которые направлялись в адрес западных цепочек дистрибуции, переместятся в их сторону. Будут ли они инвестировать эти средства в собственное развитие, не знаю, очень надеюсь, что да.
Отмечу, что вообще ситуация складывается непростая, потому что некоторых классов систем защиты информации просто нет, например, Next Generation Firewall. Те, кто говорит, что они у нас есть, лукавят. С другой стороны, там, где наши производители преуспели, и где были созданы отечественные средства защиты, у них нет конкурентов. Например, есть один известный производитель антивирусов, с которым в России никто по сути не конкурирует. Хотя справедливости ради стоит отметить, что попытки стали происходить, и это радостная тенденция.
Я думаю, что во втором полугодии все будет сосредоточено на том, чтобы частично импортозаместиться, где это возможно, то есть завершить начатые весной процессы. Вторая тенденция – это явная направленность подразделений информационной безопасности в организациях на то, чтобы использовать opensource.
О НОВЫХ ТЕХНОЛОГИЯХ
— Если говорить о новых технологиях, применяемых в ИБ (блокчейн, VR, ИИ, роботы и тому подобные), какие из них Вы считаете результативными и почему?
— Блокчейн – это как правило просто транспорт, и весь хайп вокруг него уже сошел, я думаю. И в области ИБ – это тоже не та технология, которая хорошо ложилась бы под какие-то задачи. Я бы сказал, что это отложенный в сторону механизм, про который помнят, потому что возможно он когда-то пригодится.
Технология VR также слабо применима в информационной безопасности. А вот что касается искусственного интеллекта и роботов – это действительно полезные технологии. Так, нейронные сети успешно используются в антифрод-системах и для выявления аномалий в произвольных потоках событий. Например, есть SOC, который получает много информации от разных источников и затем ее обрабатывает. Для дифференциации событий и выявления инцидентов создаются правила, но процедуры их создания долгие, они занимают годы. Поэтому использовать ИИ и нейронные сети для выявления событий, очень похожих на инциденты,– это хорошая идея.
Один из механизмов для такого рода идентификации создан в МКБ, мы планируем его интегрировать с нашим SOC. И в самом SOC – достаточно далеко идущие планы в отношении того, что делать в дальнейшем с точки зрения использования ИИ.
Роботы – это отличная история для операционных процессов, я сейчас говорю не про ИБ, а в целом об автоматизации в ИТ. Их эффективно использовать всякий раз, когда нужно какую-то работу упростить и за счет этого снизить косты. Например, заменить рутинный труд операционистов при повторяющихся монотонных операциях: от обработки сканов документов до ввода типовых реквизитов платежных поручений.
С точки зрения ИБ здесь есть целый класс решений под названием SOAR – это системы, которые позволяют автоматизировать реагирование на инциденты. Например, происходит подозрительная активность учетной записи одного из пользователей. Эту подозрительную активность можно первично обработать вручную (заблокировать), а можно автоматизировать. И здесь вполне применимы роботы.
В итоге получаем ситуацию, когда 50% новых технологий неплохо укладываются в рабочие процессы, 50% – либо со скрипом, либо – на полочку.
— Какие технологии обеспечения ИБ являются перспективными, по Вашему мнению?
— Если бы мы были в ситуации год назад, то я уверенно сказал бы: все, что касается качественного мониторинга и качественной идентификации каких-то инцидентов – это мегаперспективные истории. Но сейчас мы вынуждены очень быстро бежать, чтобы не остаться на месте. Мое личное мнение – та компания, тот отечественный производитель, который первый создаст Next Generation Firewall, получит эффект разорвавшейся бомбы и станет чемпионом. Они замучаются покупать серверы для того чтобы обеспечить необходимое количество поставок этого Next Generation Firewall. И с высокой вероятностью часть крупных компаний будут это покупать в режиме shut-up-and-take-my-money, без сомнений и без тестирования.
КУЙ ЖЕЛЕЗО, ПОКА ГОРЯЧО!
Вообще хотел бы сказать, что у нас рынок не так чтобы сильно заполнен отечественными разработками, и гарантировано есть куда развиваться. Многие технологии будут перспективными, хотя бы потому, что части классов решений нет в природе, а там, где есть всего один единственный вендор, ниша тоже имеется. Поэтому в текущих условиях перспективно практически все.
— И сколько на это замещение потребуется времени, по Вашему мнению?
— Любое решение, которое используется в ИБ, имеет некоторые софтверную и хардверную составляющие, то есть должен быть софт, который работает на каком-то железе. Если мы говорим про полное импортозамещение, то здесь первоочередная задача – производить процессоры хоть сколько-нибудь сопоставимые с процессорами AMD и Intel. Это отдельная сложная задача, которая требует серьезнейшие инвестиции, поэтому сложно даже примерно прогнозировать сроки. Что касается софта – то здесь можно управиться за пару лет.
ОБ ОТКРЫТЫХ API
— Каковы угрозы открытому API и наиболее действенные методы обеспечения безопасности в открытых API?
— Набор методов для защиты API достаточно стандартный. Начинается все с Security Software Development Life Cycle – это методология, позволяющая идентифицировать потенциальные уязвимости на ранних стадиях, например, с помощью специализированных анализаторов кода. Найденные уязвимости должны быть проанализированы специально обученными людьми либо самими разработчиками и устранены к моменту выпуска релиза.
Существует несколько разновидностей анализаторов, например, статические и динамические. Но совершенно нелишним для дополнительной проверки будет задействовать так называемых white-хакеров.
Если вернуться в ситуацию на год назад, то я бы сказал, что очень перспективный механизм, когда продукт в препрод-стадии и когда он уже запущен в прод, выдается на анализ сообществу за вознаграждение в рамках Bug Bounty программ. Кстати, насколько мне известно, сейчас нет российских Bug Bounty программ, и было бы хорошо создать такие.
Не следует забывать и о контроле настроек серверов, на которых функционирует OpenAPI, и об устранении инфраструктурных уязвимостей. А для того чтобы убедиться, что открытое API действительно хорошо и безопасно работает, важно также обращать внимание не только на классическую информационную безопасность, но и на так называемую продуктовую безопасность, когда эксплуатируется особенность алгоритма реализации самого продукта, например, покупается товар со скидкой, но есть возможность его вернуть с полной стоимостью.
В целом, говоря об открытых API, важно помнить об их многоаспектности. Я бы посоветовал начинать со взвешенного анализа рисков, для того чтобы понять, какие изъяны в модели обслуживания, которое предлагается с открытымAPI, можно найти. Дальнейшее развитие уже зависит от квалификации аналитиков, которые этим занимаются.
О СОЦИАЛЬНОЙ ИНЖЕНЕРИИ И КИБЕРКУЛЬТУРЕ
— Какова, на Ваш взгляд, наиболее эффективная практика борьбы с социальной инженерией?
— Я искренне уверен, что наиболее эффективная практика – доводить каждого социального инженера до суда и справедливых вердиктов. Как только широкая общественность узнает, что любая подобная активность приводит к тюремному сроку, количество желающих этим заниматься резко снизится.
С точки зрения того, как не допустить, чтобы клиенты становились жертвами социальной инженерии, очень важна просветительская деятельность, которая должна вестись не только в банках, но и на государственном уровне. Необходимо задействовать все доступные каналы, чтобы донести до разных слоев населения, что такое социальная инженерия и на что она направлена.
У банков, конечно, есть антифрод, но здесь приходится подключать людей, которые бы совершали контрзвонки, а у нас их априори меньше, чем «сотрудников» у мошеннических колл-центров. Мы звоним пожилым людям в тех случаях, если возникают подозрения, что они стали жертвами социальной инженерии. Но их очень сложно переубедить, потому что первые звонящие для них в приоритете. Действительно, есть серьезные проблемы с тем, чтобы переубедить человека, который уже попал под психологическое воздействие социальных инженеров. Более или менее работает история, когда советуешь просто снять деньги и спрятать их куда угодно, только не переводить никому другому. Это дает людям дополнительное время на осмысление произошедшего и зачастую они выходят из-под влияния мошенников.
— Проблема киберкультуры в компании: как ее формировать и сколько на это потребуется времени?
— Для того чтобы ее сформировать, нужно на многих уровнях объяснять людям, что такое информационная безопасность, зачем она нужна, каковы могут быть последствия тех или иных инцидентов. Это нужно делать не раз, особенно с учетом смены людей в различных подразделениях. По сути, это большая программа по обучению, которая должна реализовываться разными способами: дистанционные курсы, очные семинары и тренинги, повторяющееся обучение, киберучения, учения, связанные с фишинговыми рассылками и так далее.
Я хочу обратить внимание на то, что уровень технической грамотности обычных пользователей и ИТ-персонала немного разный. Важно акцентировать внимание и разрабатывать отдельные обучающие курсы для ИТ и для других подразделений, потому что не все курсы одинаково полезны разным категориям работников. Мы, например, сейчас пытаемся запустить программу секьюрити-чемпионов для того чтобы наши «агенты» были внутри ИТ и распространяли там хорошее, доброе, вечное и безопасное.
О КАДРАХ В ИБ
— Кадры в ИБ: как искать, учить, удерживать? Хотелось бы узнать вашу оценку кадровой ситуации в настоящее время?
— Для меня она несколько шокирующая. Уровень заработных плат, которые хотят люди с какими-то базовыми навыками, очень маленьким опытом и сомнительными перспективами дальнейшей работы в этой сфере, достаточно высок, и за последние 2-3 года он вырос в два раза. И я хорошо знаю, чем это вызвано. Есть ряд компаний, которые сыпали деньгами в большом количестве. И таких денежных волн в этой сфере за последние пять лет наблюдалось несколько. Это расшатало рынок в сторону того, что зарплатные ожидания сильно увеличились, поэтому сейчас ситуация непростая.
Есть разные варианты, как искать кадры. Например, с помощью записной книжки или на профильных конференциях и мероприятиях в рамках живого общения. Используем также обычный поиск на рынке, а также помогают советы коллег. Мы рассматриваем все эти варианты, потому что наши кадровые аппетиты растут из-за того, что бизнес развивается, количество ИТ-систем и ИТ-персонала увеличивается.
Как учить? Люди хорошо обучаются в процессе работы, иногда им помогает дополнительно обучаться некоторая ротация между подразделениями, например, администраторы хотят заниматься мониторингом или криптографы устали от генерации ключей и хотят чего-то большего, в связи с чем переходят в другие подразделения, чтобы администрировать другие системы. Здесь точно есть масса возможностей внутри крупных организаций.
В нашем банке, например, используется практика самостоятельного внедрения решения без активного привлечения интегратора. В процессе внедрения новых продуктов, и даже их тестирования, люди тоже учатся.
Учить людей можно как в рабочем процессе, так и с помощью специализированных курсов, в том числе онлайн. Например, навыки администрирования Windows и Linux хорошо приобретаются на базе онлайн-курсов. И хочу заметить, что это очень полезная вещь, потому что далеко не у всех студентов и выпускников есть навыки подобного рода.
Удержать персонал помогают три фактора, по моему мнению. Первый – ставить интересные задачи, которые не превращают жизнь людей в рутину. Второй – не допускать выгорания людей. Третий – поддерживать адекватный уровень оплаты труда. Если человек сыт, одет, обут, у него есть крыша над головой и интересная работа, причем, с соблюдением баланса личной жизни и этой работы, то в такой ситуации он не будет смотреть на рынок труда вообще. Задача менеджера – грамотно скомбинировать эти три фактора.
НЕМНОГО О СЕБЕ
— Всегда с удовольствием слушаю ваши выступления на конференциях, поэтому если позволите, личный вопрос, как Вы стали безопасником?
— Это забавная история. Я жил недалеко от МАИ, решил пойти туда на подготовительные курсы. Успешно сдал экзамены и поступил на не очень интересный для меня факультет – летательные аппараты. Одновременно мой школьный товарищ попросил помочь ему с поступлением в институт, то есть говоря другими словами, выполнить задания за него. Времени было достаточно и мне не составило труда составить компанию моему приятелю. Мы пошли в Московский государственный технический университет гражданской авиации. Изучали, какие там есть специальности, потому что ни он, ни я толком ничего не знали об этом. Увидели специальность «информационная безопасность». Я почитал описание, мне показалось это интересным, и я предложил подать документы на эту специальность. Все шло хорошо, я сдавал экзамены за себя и за товарища, дошли до русского языка. Там была 25-бальная система, я задание выполнил успешно, а товарищ сдал на 4 балла из 25, поскольку в этот раз он решил справится без моей помощи. Таким образом, я прошел на бесплатное обучение и с тех пор начал погружаться в информационную безопасность. Не могу сказать, что университет мне дал очень много, но поскольку я совмещал работу и учебу, то все глубже уходил в сферу ИБ, и, думаю, что сейчас я здесь уже по-настоящему прижился.
Беседовала Оксана Дяченко
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных