«Большинство рисков можно снять базовыми средствами защиты»

«Большинство рисков можно снять базовыми средствами защиты»

BIS Journal продолжает публикацию интервью с известными CISO банковской сферы. У нас в гостях Дмитрий Стуров, исполнительный директор, начальник управления информационной безопасности Банка Ренессанс. Дмитрий окончил Академию Федеральной службы безопасности РФ и работает в Банке Ренессанс с 2005 года.

О РЫНКЕ

— Дмитрий, что, на ваш взгляд, происходит сегодня на рынке безопасности в России?

— После глобальных перемен, произошедших в прошлом году, рынок пытается найти равновесие между запросами заказчиков и возможностями вендоров их удовлетворить. Но клиенты должны понимать, что российские вендоры в отдельных направлениях пока не достигли уровня своих западных коллег, поэтому теперь могут получить менее зрелые продукты, чем те, к которым привыкли. То есть заказчикам необходимо научиться обеспечивать уровень защищённости на имеющихся продуктах. Это с одной стороны. С другой — и вендорам нужно понимать, что они будут получать повышенные требования от клиентов, привыкших работать с западными технологиями. И в случае возникновения трудностей они будут настаивать на дополнении имеющегося функционала, потому что без этого невозможна полноценная эксплуатация продукта.

Также у вендоров возникло много дополнительной нагрузки. Они, может быть, ей и рады, но переварить её им непросто.

ОБ АТАКАХ

— О каких наиболее актуальных типах атак следует говорить на сегодняшний день?

— Конечно, у всех на слуху DDoS-атаки, обрушившиеся на российские компании. Их особенностью стало то, что раньше они были производными от активности ботнетов, а сейчас они исходят от вполне легальных узлов — тех же домашних ПК, владельцы которых предоставляли их мощности для своих организаций. Поэтому, если компания не научилась защищаться от DDoS, ей сложно в текущих условиях выстраивать защиту.

Атаки были нацелены не на сетевые каналы, это были точечные высокоуровневые удары. Например, наш банк столкнулся с такой мощной атакой впервые. До этого нам приходилось иметь дело с более простыми угрозами, которые легко фильтровались. Тем не менее доступность сервиса была сохранена. Я знаю, что многие банки тоже испытывали сложности, но всем удалось в той или иной степени от них защититься.

Второй тип атак, ставших актуальным недавно, — это дефейсы. Правда, мне кажется, что они были более заметны в первой половине 2022 года. Затем их эффективность была переоценена (стало ясно, что баннер на сайте не может сильно повлиять на ситуацию), и во второй половине 2022 года мы о таких атаках почти не слышали.

Ещё одним трендом, который нельзя было не заметить, стали атаки на поставщиков и контрагентов. Злоумышленники прицепились к ИТ-компаниям, которые обслуживают сразу несколько организаций. Преимущества тут очевидны: получив несанкционированный доступ к одному подрядчику, хакеры получают доступ к данным всех его организаций-клиентов, среди которых могут быть очень крупные заказчики. Кроме того, небольшие ИТ-компании зачастую не выстраивают полноценных систем безопасности, потому что находятся на невысоком уровне зрелости. Это тоже играет на руку злоумышленникам.

Наконец, наблюдались довольно частые случаи «слива» данных. Тут есть особенность. Ранее утечки информации происходили «тихо»: у данного типа атаки была сугубо утилитарная цель — использовать информацию для дальнейших мошеннических и рекламных звонков и тому подобной активности. Сейчас такие утечки получают большую огласку. Причина — в общем неспокойном информационном фоне, преобладании негативной повестки.

Актуальными я назвал эти типы атак. Однако тревожат не только они: продолжает появляться большое количество критических уязвимостей в информационных системах, а учитывая проблемы с получением обновлений из-за санкций, это может стать проблемой в ближайшем будущем. Компаниям нужно будет найти способы управления риском отсутствия обновлений — получать их по неофициальным каналам, применять компенсирующие механизмы и т. д.

— Как выглядят на этом фоне проблемы социальной инженерии?

— Случаев социальной инженерии стало больше. Я сам стал получать много звонков от «службы безопасности известного банка». Особенность такого телефонного терроризма в том, что он легко реализуем и не требует больших затрат — нужно просто звонить и играть роль оператора кол-центра, и никаких сложных дорогостоящих схем.

Растёт и количество случаев фишинга — поддельных сайтов, рассылок — с целью кражи карточных данных, проведения мошеннических платежей, кражи паролей. Данные рассылки всегда маскируются под текущие тренды — благотворительность, точечные сборы на нужды военнослужащих. Надо быть очень внимательным и проверять информацию, чтобы не стать жертвой.

ОБ ИЗМЕНЕНИЯХ И ЗАДАЧАХ

— Как происходящие изменения отразились на работе ИБ-команды Банка Ренессанс?

— В первую очередь пришлось активизировать процесс импортозамещения. Раньше этому не уделялось много внимания. При этом все понимали, что рано или поздно нужно будет находить баланс между импортными и отечественными решениями. Однако всё в одночасье изменилось, и теперь мы вынуждены отвлечь ресурсы для переориентирования ряда критичных сервисов банка на отечественные аналоги.

Минус «импортозамещения в авральном режиме» не только в том, что мы утратили возможность пользоваться качественными продуктами. Предположим, что их можно будет заменить на отечественные, которые будут не хуже. Однако всё равно эти продукты нужно выбрать, протестировать, внедрить — и не просто внедрить, а сделать это на том же уровне зрелости, на котором ранее работали продукты западных вендоров. Это занимает и будет занимать много времени и ресурсов.

В результате часть запланированных проектов не была реализована — на них банально не хватило времени, поскольку пришлось заниматься тестированием пилотных проектов. Конечно, необходимость отражения атак также отнимала ресурсы. 

В связи со всеми этими изменениями в конце года нам пришлось корректировать стратегию развития.

— Действительно, 2022 год был тяжёлым во многих отношениях. Наряду с задачами, о которых вы уже упомянули, чем ещё занимается руководитель управления ИБ банка?

— Я решаю достаточно типичные для подразделения ИБ задачи. Оговорюсь, что в наше управление не входит подразделение антифрод, которое работает автономно и занимается расследованием случаев мошенничества, связанного с незаконными платежами.

Моя главная задача — обеспечивать защищённость ИТ-активов банка, всех процессов, которые так или иначе взаимодействуют с информационными ресурсами.

О БИЗНЕСЕ

— Как строятся ваши взаимоотношения с бизнесом, он уже осознал важность информационной безопасности после всех событий?

— Наш банк осознал всю важность информационных технологий несколько лет назад, встав на путь цифровизации. Параллельно с этим пришло понимание, что необходимо обеспечивать ещё и такое качество информационных активов, как безопасность.

Сразу после пандемии, на протяжении 2021 года, у нас были встречи с бизнес-подразделениями, инициатором которых выступал именно бизнес. Они задавали вопросы по безопасности, интересовались, какие процессы в этом плане происходят в банке, как обстоит ситуация с ИБ и т. д. По результатам были внесены изменения в стратегию развития, чтобы сосредоточить внимание именно на тех вопросах, которые интересны бизнесу.

Кроме того, в банке появились подразделения, сфокусированные именно на диджитал-продуктах. Их руководители хорошо понимают специфику информационных технологий и информационной безопасности, знают, что происходит в этой сфере, и понимают, какое внимание этому нужно уделять.

О ТЕХНОЛОГИЯХ И ПРОЕКТАХ

— Технологии, которые используются в информационной безопасности, постоянно меняются. Какие из них вы считаете наиболее современными и актуальными и какие предпочитаете использовать?

— Уровень защищённости и зрелости технологий и процессов, которым необходима ИБ, можно представить в виде пирамиды. Внизу базовый уровень защищённости, на верхушке — продвинутый. Получается, что инвестиции идут снизу вверх: чем выше мы забираемся по этой пирамиде, тем система становится дороже.

При этом я считаю, что большинство рисков можно снять базовыми средствами защиты, создав грамотную конфигурацию ИТ-систем и правильно выстроив бизнес-процессы. Я имею в виду, что являюсь поклонником стандартных систем защиты информации, а не «новомодных» решений.

Если пользоваться аналогией закона Парето — 20% усилий дают 80% результата, оставшиеся 20% рисков придётся обрабатывать с гораздо большими инвестициями и затратами ресурсов.

Можно сказать, что сами по себе технологии и системы вторичны, на первом плане — зрелость процессов, выстроенных на этих системах. Поэтому иногда вместо закупки и внедрения продвинутой техники целесообразно повысить зрелость процессов, построенных на классических средствах защиты.

Только в исключительных случаях при наличии должного финансирования и человеческих ресурсов стоит задумываться о внедрении продвинутых технологий, например, XDR, BaAS, CAASM, Deception и др.

При этом хочу отметить, что на российском рынке тоже имеются передовые технологии даже по мировым меркам. Однако в прошлом году мы потеряли базовые системы (из-за ухода западных вендоров), которые необходимо будет заменить в первую очередь, на что, конечно, потребуется время. И только после этого мы сможем вернуться к задачам внедрения продвинутых технологий.

— Какие проекты в сфере безопасности вы внедрили и планируете к внедрению в 2023 году?

— Будем повышать зрелость процессов безопасной разработки в банке. У нас много собственных продуктов и разработок, которые производит ИТ-подразделение, и они должны быть безопасными.

За последние 2–3 года был совершён значительный скачок в объёмах производства таких продуктов. Мы должны поддержать их качество на всех этапах.

Также будем продолжать работу по повышению уровня защищённости организации, оптимизировать внутренние процессы и внедрять новые технологии после их апробации на пилотных проектах.

О ТРЕНДАХ

— Какие глобальные или локальные тренды будут определять процессы в информационной безопасности на ближайший год?

— Думаю, что в 2023 году атаки на компании продолжатся. Возможно, мы увидим их более продвинутые версии с проникновением в периметр и достижением целей более изящным способом, чем DDoS.

Будет нарастать внимание к атакам на поставщиков услуг. Причём сразу со всех сторон — со стороны злоумышленников, со стороны организаций-получателей услуг и со стороны регуляторов рынка ИБ.

Ещё одним перспективным направлением будет развитие и вовлечение искусственного интеллекта во многие сферы информационных технологий и информационной безопасности. Об этом свидетельствует ажиотаж вокруг нейросетей — ChatGPT, Midjourney, Rytr и др.

Считаю, что будет уделяться внимание безопасности работы персонала. Нормальная практика, когда доступ к критической инфраструктуре возможен только со спота, а не через удалённый доступ из любой точки мира, как это привыкли делать в пандемию. Необходимо ещё раз оценить и проанализировать эту ситуацию, возможно, внедрить какие-то новые инструменты проверки легитимности доступа, внедрить правило четырёх рук, или вообще запретить этот тип доступа. Свобода удалённой работы, которую подарил ковид и цифровизация, будет сужаться. Конечно, она не исчезнет полностью, но должна дойти до разумных пределов.

О КАДРАХ И УСПЕХЕ В ПРОФЕССИИ

— Насколько остро в банке стоит кадровый вопрос? Как вы его решаете?

— Кадровый вопрос всегда сложный. Талантливых и мотивированных людей найти непросто. Безусловно, на некоторые позиции мы достаточно долго ищем нужных сотрудников. Конкуренция высокая. Мы стараемся привлекать людей интересными задачами, достойным уровнем компенсации и, что точно отличает нас на рынке, доброжелательной и дружелюбной атмосферой.

— Сформулируйте, пожалуйста, общие принципы успеха, которые могут помочь добиться успеха в профессии ИБ-специалиста?

— Информационная безопасность всегда привлекала меня тем, что фронт знаний, который в ней требуется, достаточно широкий. Тут нужно разбираться в очень разных вещах, начиная от технологий и инфраструктуры, заканчивая кодингом, тестированием, процессами разработки и т. д.

В ИТ специалист работает, как правило, по конкретному направлению, а специалист по безопасности такой роскошью не обладает, его знания должны быть многоплановыми и разнонаправленными. Кому-то это кажется сложным, я же считаю преимуществом профессии.

Мне кажется, технический бэкграунд очень важен для специалистов ИБ. Например, обладая широким бэкграундом, можно развиваться как аналитик Security Operation Center (SOC) и выстраивать своё профессиональное образование в этой среде. Но при этом имеющийся базис знаний позволяет через 2–3 года пойти в аудиторы или пентестеры. Я бы сказал, что секрет успеха ИБ-специалиста заключается в том, чтобы такой базис получить.

Кроме того, технический бэкграунд важен ещё и потому, что позволяет быстро и правильно принимать разные решения, что очень важно в области безопасности, где необходимо постоянно оценивать риски.

— Какие вузы вы могли бы порекомендовать молодым людям, которые хотят идти в ИБ?

— Если честно, на собеседованиях я не особо обращаю внимание на вузы соискателей. Я пытался делать корреляцию в этом плане, но мне кажется, это не очень правильный подход.

Рынок ИБ ещё молодой, и здесь многое в стадии формирования. Я думаю, вузовское образование немного архаичное и отстаёт от реальности. Оно никогда и не сможет догнать реальность: пока утвердят стандарты образования и разработают курс обучения по новой теме, она может утратить актуальность и вообще уйти со сцены.

Поэтому в вузе следует уделять внимание базовым вещам: математике и логике, информационным технологиям и администрированию — это тот базис, который даётся во многих технических вузах.

Одновременно можно учиться на онлайн-курсах, которых сейчас множество, в том числе и на английском языке. Знание английского — обязательный фактор. Подавляющее большинство материалов по ИБ доступно именно на английском. Также нужно изучать различные стандарты ИБ, материалы конференций. Самообразование — это, по сути, часть профессии безопасника.

— Как относятся к молодым специалистам в вашем банке?

— Человек может прийти к нам в банк и сказать, что хочет заниматься информационной безопасностью, даже если он пока не определился с конкретной спецификой. И мы можем помочь человеку понять, какое направление ему более интересно.

ОБ УВЛЕЧЕНИЯХ

— Если не возражаете, чем вы увлекаетесь в свободное от работы время, как проводите свой досуг?

— На меня увлечения накатывают как волны: то одно, то другое. Главные — это игра в баскетбол с друзьями и музыка. Я коллекционирую музыку, предпочитаю её электронное направление. Любовь к музыке здорово помогла пережить пандемию и всеобщую изоляцию в 2020 году.

Ещё я очень люблю путешествовать, мне доставляют удовольствие прогулки по городам Европы, посещение музеев, различных памятных мест.

Беседовала Оксана Дяченко