Разнообразие оттенков киберустойчивости
Московская биржа предоставляет полный цикл торговых и пост-трейдинговых операций на фондовом, валютном, срочном и товарном рынках, начиная с заключения сделок и заканчивая расчётами и депозитарными операциями. Все взаимодействия с клиентами - высокоскоростные электронные транзакции, массовая обработка которых возможна только при использовании современных высоких технологий и средств коммуникаций. Узлы торговых систем Московской биржи способны обрабатывать до 90,000 транзакций в секунду каждый, с задержкой менее 400 микросекунд, что ставит нас в ряд с крупнейшими биржами мира, а технологии расчета риска в реальном времени - не имеют аналогов.
Вместе с тем это очень высокая ответственность. В данном случае киберустойчивость - это сервис, который мы должны предоставлять всем без исключения участникам торгов и Банку России, осуществляющему, в том числе, с помощью биржевых инструментов денежно-кредитную политику.
В масштабах международной ассоциации бирж, куда Московская биржа входит на правах участника, фиксируется устойчивый интерес злоумышленников к торговым площадкам. Соответственно, для этих бирж и для нас киберустойчивость не просто важна, но носит схожие задачи с одинаковым профилем угроз.
«ПЛАН В» И ДАЛЕЕ…
Нам удалось воплотить мечту всех инфорбезопасников – мы создали отчасти закрытую систему. Все торговые системы биржи функционируют в рамках замкнутого контура. Для подключения участников торгов мы используем нашу частную сеть, которая практически не имеет стыков с внешними сетями. Для организации доступа используется семь операторов связи, что также позволяет не зависеть от перебоев в работе одного или нескольких из них. Есть услуги колокации, когда оператора связи просто нет, а участник торгов имеет прямую связь с системами биржи.
На пути возможного проникновения расположены порядка 80 серверов доступа, их функция в том числе в создании буферной зоны между ядром торговых систем и участниками торгов.
Сложность кроется и в двухуровневой структуре рынка. Есть профессиональные участники торгов, регулируемые Банком России, а есть их клиенты, и у всех могут быть разные инфраструктуры, часто менее защищенные нежели, чем у лицензируемого участника.
Вместе с Банком России мы разрабатываем единый стандарт информационной безопасности, который могли бы применять профессиональные участники торгов и их клиенты. По мере завершения разработки нам предстоит еще и большая работа по его внедрению. Также нам должен помочь информационный обмен, который сейчас организован Банком России в рамках работы FinCert. Надеюсь, что удастся подключить к этому обмену и профессиональных участников торгов.
БОЛЬШИЕ ДАННЫЕ
В нашем торгово-клиринговом комплексе несколько десятков тысяч сетевых устройств и порядка нескольких тысяч серверов. Соответственно, помимо непосредственно торговых событий, число которых достигает до 60 млн транзакций в день, они производят достаточно большое количество и других событий.
В основе комплекса информационной безопасности биржи находятся аналитические системы, которые анализируют и выявляют аномалии в большом объеме данных. Мы обучаем системы знать разрешённый трафик, его стандартное поведение и диагностировать отклонения. Каждая обнаруженная аномалия подлежит исследованию.
В перспективе, с развитием технологий, нам хотелось бы сделать систему анализа событий и обнаружения аномалий проактивной: выявлять с её помощью не только атаки на инфраструктуру, но и нештатные ситуации. У нас нулевая толерантность к нештатным ситуациям, которые происходят по нашим ошибкам. Но, к сожалению, в рамках сверхсложной торговой системы не удается их полностью избежать.
Что касается «плана B», то он подразумевает использование других сегментов в случае наступления инцидента. Для этого мы одномоментно поддерживаем несколько различных контуров, которые при необходимости можем оперативно перевести в «боевой режим». Сейчас их не менее десяти. При этом важно, чтобы альтернативные контуры имели другие версии систем, которые, мы считаем, не будут скомпрометированы в тот же момент, что и основная система. Поэтому многие действующие тестовые контуры биржи созданы с расчётом на возможную боевую нагрузку.
У нас есть «план С». Но не стоит полностью раскрывать информацию, о том какие у нас есть ещё планы. Важна задача взаимоотношений с вендорами. Мы используем мультивендорный подход и выстраиваем основные торговые системы на оборудовании разных поставщиков.
КУДА МЫ ДВИЖЕМСЯ?
Пять лет назад мы обсуждали возможность перехода на web-платформы и отказа от частной сети. Однако концепция частной сети по-прежнему остается актуальной. При этом, разрабатывая web-сервисы, мы планируем предоставлять их через наши частные сети. То есть в нормальной ситуации они смотрят наружу через Интернет. А в случае негативного развития событий эти сервисы мы можем спрятать внутрь наших частных сетей и продолжать оказывать участникам торгов полный спектр наших услуг.
Мы продолжаем инвестировать в усиление наших средств защиты. До трети бюджета IT уходит на вопросы, связанные с информационной безопасностью. Основным направлением для нас остается работа с участниками торгов и их клиентами, чтобы их меры безопасности соответствовали принятым на рынке стандартам с целью защиты общей инфраструктуры финансового рынка. С ростом числа инвесторов и российского рынка в целом актуальность этой задачи будет только увеличиваться.