23 июля, 2013, BIS Journal №3(10)/2013

Наталья Касперская: «Интернет – чудо, но в нём есть и


Былевский Павел

Шеф-редактор «BIS Journal», кандидат философских наук (BIS Journal)

Правилам информационной безопасности лучше всего начинать обучать в доступной форме с детского сада

Наталья Касперская – не просто генеральный директор российской компании InfoWatch – одного из лидеров рынка решений в сфере информационной безопасности. Также её можно считать экспертом в области обучения этому предмету, так как Наталья 5 лет возглавляла рабочую группы Министерства образования РФ по информационно- компьютерным технологиям Федеральной целевой программы «Исследования и разработки по приоритетным направлениям развития научно-технологического комплекса России на 2007–2013 годы».

Кроме того, Наталья – мать пятерых детей, и младших сейчас приходится обучать защите информации с самых азов. Её точка зрения на тенденции развития информационной безопасности, обучение этому предмету и профессиональную подготовку кадров представляет большой интерес для аудитории журнала «BIS Journal – Информационная безопасность банков».

БАНКИР, БУДЬ НАЧЕКУ!

– Наталья Ивановна, какие угрозы информационной безопасности, на Ваш взгляд, сегодня заслуживают наибольшего внимания банков?

– Не стану оригинальничать: угрозы со стороны мошенников-одиночек и киберпреступных группировок. Злоумышленники сегодня достигают небывалых высот в своём противозаконном деле. Банки ежедневно сталкиваются со всевозможными схемами хищений через интернет: в интернет-банкинге, мобильных приложениях и так далее. Для злоумышленников подготовка к такому преступлению и его осуществление намного проще, чем налёт на банк в масках, с оружием. Ловить этих мошенников, которые хорошо маскируются, пока трудно. Надежда безнаказанно заработать преступным путём вдохновляет многих.

Киберпреступники становятся всё более хитрыми и технически подкованными, объём мошенничеств нарастает. Эта угроза наиболее актуальна именно для банковского сектора. Не так страшны обычные вирусы, с которыми антивирусное программное обеспечение справляется, как специальные банковские трояны. Сейчас 90% всех вредоносных программ пишутся именно «под банки». Именно здесь преступниками есть чем поживиться: можно сразу похитить деньги.

Встречается очень разная статистика объёмов краж в сфере дистанционного банкинга, по разным оценкам – от $3 млрд до $5 млрд в год. Данные эти закрытые: банкам невыгодно демонстрировать свои промахи и отпугивать клиентов.

− Ваша компания как раз поставляет решения в сфере обеспечения информационной безопасности...

− Чтобы надёжно защитить своих клиентов, банкам приходится покупать продукты и услуги компаний, которые специализируются на обеспечении информационной безопасности. Или, как альтернатива, банку надо держать в составе подразделений информационной безопасности аналогичных специалистов высоко класса, способных решать подобные задачи.

Банки, которые стремятся максимально обезопасить клиента от злоумышленников, устанавливают дорогостоящие автоматизированные аналитические центры, содержат армию специалистов. В результате 24 часа в сутки 7 дней в неделю ведётся мониторинг всех транзакций, выявляются и дополнительно проверяются все подозрительные платёжные поручения. Есть и менее затратный, более простой путь, которым идут многие банки: многоступенчатая защита с аутентификацией в каждом шлюзе. Что менее удобно, зато безопасность выше, и compliance достигнут.

− В погоне за «максимальной бизнес-оптимизацией» бывает и по-другому?..

− По-другому банку остаётся только формальный юридический путь – хитро составлять с клиентами договоры обслуживания, перекладывать на них ответственность за инциденты. В тех случаях, когда деньги клиента были списаны с его счёта не из-за ошибки банка или уязви- мостей в его софте. На клиента полностью возлагается обязанность обеспечивать информационную безопасность своего рабочего места, на котором он пользуется дистанционным банковским обслуживанием. От клиента требуют устанавливать и регулярно обновлять антивирус, применять другие средства компьютерной безопасности...

− Разве банк не в состоянии помочь клиенту, использующему сервисы ДБО, надёжно защитить себя?

− Клиент в массе своей совершенно не профессионал в этих вопросах. Противостоит же ему хорошо подготовленный злоумышленник, который способен придумывать многоходовые комбинации. В особенности если решает узкую задачу, берётся за конкретного клиента. Расследуя инцидент, специалисты по информационной безопасности выявили схему атаки, которая поразила меня своей сложностью.

Нацеленный на конкретную жертву троян был создан под параметры определённого дистанционного банкинга и под конкретное антивирусное программное обеспечение. Проникая на компьютер пользователя, троян подменял собой все защитные системы. Стоило жертве после этого подключить к компьютеру смартфон, как заражалось и это устройство. Под контроль злоумышленников попадал второй канал аутентификации – приходящие SMS-оповещения с банковскими кодами и паролями.

− Не являются же киберпреступники всесильными!

− Нет, не являются. Просто противодействовать им нужно комплексом мер, с разных сторон. Информационные атаки на банковских клиентов происходят, как правило, без системы, но регулярно, в значительной степени тенденции их развития можно прогнозировать.

Специалистам по информационной безопасности известен перечень объектов атак – компьютер клиента, с которого он пользуется дистанционным банковским сервисом, составляемый им платёжный документ и другие потенциально уязвимые места. Достаточно стандартен инструментарий киберпреступников – подделка данных платёжного документа, хищение средств аутентификации клиента и другие.

Исходя из этого, в банках разработаны регламенты реагирования на инциденты – расследования в банках, обращения в правоохранительные органы, которые раскрывают преступления, задерживают преступников, а суды определяют их вину. Банки заинтересованы возвращать деньги невинно пострадавшим клиентам.

ВРАГИ СНАРУЖИ И ВНУТРИ

− Значит, существуют достаточно эффективные меры и средства противодействия "внешней угрозе". Вопрос в том, какие именно из них используются конкретными банками и насколько надёжно защищены их клиенты от киберпреступников.

− Кроме внешних, есть и другая группа угроз, – «невидимый» фронт. А именно – угроза противоправных действий внутри самого банка. Угроза утечки данных, исходящая от инсайдера, – как бомба замедленного действия, которая может сдетонировать через месяцы. Для кредитно- финансовых организаций этот тип угроз более чем актуален. Утечка данных оборачивается для банка всеми казнями египетскими, от скандалов в прессе до санкций государственных регуляторов. Искать справедливости банку в такой ситуации уже поздно, разве что вычислить «внутреннего врага» и уволить его, если он не уволился раньше сам. Лучше угрозу утечки информации заблаговременно нейтрализовать.

«Слабым звеном», постоянной скрытой угрозой для банков здесь является всё тот же «человеческий фактор». Только не таинственные киберпреступники и не клиенты – дилетанты в информационной безопасности, а его же собственные сотрудники. Они могут поддаться соблазну вначале получить несанкционированный доступ к данным, а потом использовать их к своей выгоде и в ущерб банку.

− Инсайдерская угроза исходит в первую очередь от топ-менеджеров?

− Вовсе нет. Каждый день через рядовых операционистов проходят важные сведения, в первую очередь, разная информация о клиентах. Их персональные, контактные данные, личная информация, договор с банком, движение средств на счетах и другие. Работают с этими ценнейшими сведениями банковские сотрудники не с самым высоким уровнем квалификации и зарплаты.

Налицо несоответствие уровней доступа и ответственности. Текучка кадров среди операционистов высокая, как показывает статистика – более 10%. Меняя места работы, уходя к конкурентам или откликаясь на «соблазнительное предложение», некоторые недобросовестные сотрудники без особых сомнений могут передать на сторону, скажем, базу данных заёмщиков.

Ущерб может оказаться столь значительным, что поставит крест на репутации и будущем банка. Иногда просто начинается массовый отток клиентов, который может стать летальным для бизнеса. Постороннему наблюдателю этот процесс может показаться мистически необъяснимым. Причина же проста: конкуренты, обладая похищенной базой данных, обзванивают всех клиентов, делая предложение всего на полпроцента выгоднее. Многие, для кого деньги лишними не бывают, соглашаются, на более выгодное предложение.

− Какими средствами банки могут нейтрализовать эту «внутреннюю угрозу»?

− Надёжно защищать информацию, в том числе от инсайдерской угрозы, банки обязаны не только исходя из здравого смысла, но и по закону. В частности, согласно формулировке банковской тайны в ст. 857 Гражданского кодекса РФ, также федеральными законами ФЗ-395-1 «О банках и банковской деятельности», ФЗ-152 «О персональных данных», ФЗ-98 «О коммерческой тайне», ФЗ-161 «О национальной платёжной системе» и некоторыми другими нормами. Автоматизированным средством контроля и предотвращения утечек данных являются DLP- системы. Раз последствия утечки устранить трудно, надо пресекать причину, просто-напросто делать утечки невозможными.

На основе гибридного анализа, объединяющего несколько различных технологий анализа информации, можно выявлять утечки целых классов сведений. Если правильно настроить фильтры, любые попытки переслать по почте файлы базы данных или условия контрактов будут обнаружены и доведены до сведения службы информационной безопасности. Это не ограничение свободы, не превращение компании в режимный объект. Просто на информационных каналах вовне ставятся фильтры, «вылавливающие» информацию, которая не должна уходить за пределы компании.

− В какой мере DLP-системы практически востребованы банками?

− Для банков, повторюсь, такая задача – типична. Мы проводили анализ публикаций в прессе об утечках, и выяснили, что случайные утечки составляют около 40% общего числа. Но в банках этот процент вдвое ниже, в 80% случаев «вынос за периметр» информации носит злонамеренный характер. В крупных банках это понимают, и разработанные компанией InfoWatch DLP-системы применяют около четырёх десятков российских банков.

− DLP-системы – сравнительно новый продукт. Как Вы пришли к его созданию?

− С 1994 года я занималась в «Лаборатории Касперского» продвижением антивирусного программного обеспечения. Успеха удалось добиться в том числе и благодаря обычным средствам маркетинга – регистрацией торговой марки, созданием востребованных компонентов продукта, хорошим продажным оформлением. Много сил было отдано работе с клиентами, выстраиванием каналов продаж. Уже руководя «Лабораторией Касперского» как директор, я задумалась о расширении бизнеса, о новом направлении.

В 2002 году была впервые вынесена на публику проблема утечек информации и противодействия им – новый важный аспект информационной безопасности. Я почувствовала, что у этого направления большое будущее. Решение родилось неожиданно: взять фильтры информации, защищающие от внешних информационных атак, и «перевернуть» их. Чтобы подобным же образом фильтровать информацию, исходящую из компании. Разработчики развили эту идею в готовый продукт.

Некоторые коллеги тогда были смущены: а вдруг использование такого продукта воспримут как слежку за сотрудниками? Было решено создать для дальнейшей разработки и продвижения DLP- систем отдельную компанию. Так появился InfoWatch, и вот уже более 8 лет, с декабря 2004 года, я занимаюсь развитием этой компании: выполняю административные функции, руковожу бизнесом. В моих руках и стратегия развития, и распространение продукта, крупные клиенты. Решением технических вопросов, содержанием продукта заняты светлые головы наших разработчиков, программистов.

ОТ ЛИКБЕЗА ДО ПОВЫШЕНИЯ КВАЛИФИКАЦИИ

− Ваша компания Info Watch стала серебряным призером премии HR-бренд 2012. Где Вы находите таких профессионалов? Сами выращиваете, в компании?

− Кадры сегодня – большая проблема: ощущается острая нехватка программистов и IT-специа- листов. Кандидатов подыскивают несколько наших сотрудников, на сайте нашей компании есть раздел «Вакансии». Главным для трудоустройства в InfoWatch является профильный опыт работы. Кандидат проходит несколько практических тестов, собеседование с техническим руководителем и другими членами команды, чтобы мы могли понять, насколько хорошо человек впишется в коллектив.

Но это отнюдь не главный путь. Более перспективный – выращивать собственные кадры, обогащать их профессиональный практический опыт, заниматься их образованием. Процесс, конечно, долгий, но зато вырастает специалист «под себя», именно с теми навыками, которые нужны в твоей компании. И такой сотрудник, как правило, всегда более лоялен компании. В InfoWatch за год пока удаётся вырастить одного- двух человек. «Лаборатория Касперского» – просто инкубатор: каждый семестр поступают на «производственную практику» 8 студентов. Те, кто подходит, – остаются работать в компании.

Человек, который пришёл со студенческой скамьи, как правило, лучше и на более долгий срок «приживается» в компании, чем тот, кто успел потрудиться в нескольких других местах. Мы приглашаем студентов 4–5 курсов, скорее даже четвёртого, потому что к пятому хороших специалистов уже «разбирают». Проводим конкурсы, выискиваем настоящие таланты, их сейчас не так и много из-за несовершенства системы образования.

− Что именно Вас не устраивает в отечественной системе образования, что бы Вы хотели изменить?

− Однозначно, что обучение информационным технологиям должно вестись не на словах, а на деле. Нельзя подменять понятия, недостаточно установить компьютеры в школах, отчитаться, «галочку поставить» и успокоиться на этом. Компьютеры нужны, на мой взгляд, в последнюю очередь; обучение информатике правильнее начинать без них. Чтобы ученик вначале развивал техническое, алгоритмическое мышление, думать начал, а не отвлекался раньше времени на яркие картинки. Без этого в лучшем случае можно получить на выходе программистов, которые будут уметь программировать только по шаблонам. Гораздо важнее и сложнее обучить детей алгоритмам, программированию, грамотному построению системы защиты информации.

Большая проблема в том, что для этого нужны специальные образовательные программы, обучающее программное обеспечение, и – квалифицированные педагоги. Проблема и со школьными учителями: многим преподавателям информатики – по 40–50 лет, они компьютер сами недавно освоили. Им трудно учить современных детей, которые в интернете живут с пелёнок, и мир без компьютера и планшета вообще представить не могут.

− Что думаете о «прививке» детям осторожности, – о том, что обучение информационным технологиям нужно вести рука об руку с разъяснением существующих угроз и правил безопасности?

− Это другая сторона медали. Я за обучение информационной безопасности с самого раннего возраста, начиная, в доступной форме, с детского сада. Интернет – чудо, но в нём есть и «бяки», и плохие дяди. По мере взросления, в школе, в начальных, средних и старших классах нужно давать дополнительную информацию, всё более подробную. Пока же школьникам объясняют, как правильно переходить дорогу и что не надо общаться с незнакомцами на улице, но мало сообщают про опасности интернета и как их можно избежать. По-моему, школьный курс информационной безопасности – очень актуальный вопрос сейчас.

Личный опыт: моя дочка играет на «планшете», всё вроде хорошо. Через некоторое время папе начинают приходить SMS-сообщения, что с его счёта списываются деньги. Вернувшись после работы домой, он разобрался, в чём дело, разъярился и устроил дочке разнос. Зато теперь она не заходит непонятно на какие ресурсы и не покупает что попало. Задним числом мы поразились, как ребёнок смог так ловко покупать, обходя ограничения доступа, и порадовались, что ещё дёшево отделались.

− Наталья Ивановна, как Вы считаете, в какой степени информационная безопасность должна сопровождать развитие и распространение IT-технологий, чтобы они были людям во благо, а не оборачивались во вред?

− Можно сравнить безопасность с камнем на ногах развития информационных технологий. Безопасность тормозит прогресс... Но разве можно ездить на автомобиле с педалью «газа», но без тормозов? Безопасность – как якорь, который не даст буре унести корабль в открытый океан. Можно ли предлагать массовому потребителю IT-продукты, риски которых не нейтрализованы мерами безопасности?

Всё дело в том, что любые новые технологии не только открывают небывалые прежде возможности, но и несут с собой неведомые ранее угрозы. Те, которые раньше даже представить было трудно! Главная задача информационной безопасности – разбираться с «побочными эффектами» прогресса, притормаживать его где надо. В одних областях это удаётся лучше, в других нужно ещё работать и работать.

 

BIS-СПРАВКА

Наталья Ивановна КАСПЕРСКАЯ,
генеральный директор компании InfoWatch:

  • окончила Московский институт электронного машиностроения по специальности «Прикладная математика»;
  • бакалавр предпринимательства Открытого Университета Великобритании;
  • 1994 год: начало работы в НТЦ «КАМИ», возглавила антивирусный проект «AVP»;
  • 1997 год: соучредитель и руководитель компании «Лаборатория Касперского», ставшей лидером международного рынка систем компьютерной безопасности с оборотом несколько сотен миллионов долларов;
  • 2004 год: создатель, позднее – генеральный директор компании InfoWatch – разработчика средств защиты корпоративной конфиденциальной информации от внутренних угроз, лидера рынка DLP-систем в России, активно осваивающего европейский, азиатский и американский рынки;
  • 2007–2011 годы – председатель Совета директоров «Лаборатории Касперского»;
  • с 2008 года – член правления Российско-германской внешнеторговой палаты;
  • 2008 год: 4-е место в рейтинге влиятельных деловых женщин России;
  • руководитель рабочей группы по информационно- компьютерным технологиям ФЦП «Исследования и разработки по приоритетным направлениям развития научно-технологического комплекса России на 2007–2013 гг.» Министерства образования РФ;
  • 2010 год: II место в номинации «Информационные технологии», рейтинг высших руководителей газеты «Коммерсантъ»;
  • 2012 год: «бронзовый призёр» рейтинга Т0П-100 самых влиятельных женщин России в категории «Бизнес», версия радиостанции «Эхо Москвы», информагентств РИА Новости, «Интерфакс» и журнала «Огонек»;
  • 2013 год: лауреат международной премии «Russian Business Leader of the Year» за заслуги в области развития российской IT-индустрии;
  • мать пятерых детей.

 

Смотрите также

За семью паролями

7 апреля, 2012
Подпишись на новости!
Подписаться