Расширенный

Расширенный поиск

Автор

Статьи

Интервью с экспертом: «Управление рисками – важнейший элемент киберустойчивости банковской системы»

15.08.2018
Теги: интервью
Сергей Лебедь, руководитель службы кибербезопасности ПАО «Сбербанк», в интервью порталу «Безопасность пользователей сети Интернет» (www.safe-surf.ru) рассказал о том, как его организация справляется с постоянно меняющимися угрозами информационной безопасности, и какие актуальные задачи остаются перед его службой, несмотря на усилия специалистов и возможности крупнейшего банка страны.

Lebed.jpg

Сергей Лебедь, руководитель службы кибербезопасности ПАО «Сбербанк»

Банковская сфера объективно считается ориентиром для других отраслей по уровню зрелости процессов обеспечения информационной безопасности. Здесь нарушения процессов, как правило, влекут за собой прямые финансовые потери и ущерб деловой репутации, поэтому внимание к вопросам защиты информации было самым пристальным еще до принятия законодательства о безопасности критической информационной инфраструктуры (КИИ). К тому же Банк России давно обозначил проблематику информационной безопасности в качестве одного из приоритетов развития кредитно-финансовых организаций, а невыполнение довольно жестких требований регулятора грозит банкам серьезными проблемами, вплоть до отзыва лицензий.

Современная стратегия Сбербанка предусматривает его трансформацию в многопрофильную цифровую компанию на новой технологической платформе или, как заявил Герман Греф, в «диверсифицированную экосистему», выходящую за пределы банковского сектора — на рынки телекома, здравоохранения, образования, развлечений… Появляются ли в этой связи принципиально новые вызовы перед Службой кибербезопасности Сбербанка?

Цифровые компаний отличаются от «традиционных» тем, что информационные технологии в них являются основным средством производства цифровых продуктов. Эти компании используют новейшие технологии: искусственный интеллект, большие данные, машинное обучение, интернет вещей, однако наработанный практический опыт обеспечения безопасности таких технологий пока отсутствует. Это создаёт благоприятные условия для киберпреступников. Поэтому количество киберугроз и скорость изменения их ландшафта стремительно возрастают, а традиционные подходы к обеспечению безопасности в киберпространстве оказываются малоэффективны.

Как Служба кибербезопасности планирует реагировать на новые вызовы, связанные с переходом к цифровой экономике?

Мы повышаем эффективность наших процессов управления безопасностью и квалификацию персонала и внедряем новейшие технологии кибербезопасности в нашу инфраструктуру. При этом, по нашему мнению, эффективная система управления киберрисками, отлаженные процессы и квалифицированный персонал важнее, чем средства защиты. Мы также работаем над повышением культуры кибербезопасности наших сотрудников: готовим обучающие материалы, проводим учебные «фишинговые» тренировки. Практически все успешные кибератаки совершаются с участием человека «внутри» компании, поэтому очень важно, чтобы наши сотрудники могли распознать попытки киберпреступников и правильно на них отреагировать.

Банк России сегодня призывает кредитно-финансовые организации научиться правильно оценивать риски информационной безопасности и эффективно управлять ими в интересах своих клиентов. Однако многочисленные инциденты с клиентским фродом и хищениями средств через core-системы банков говорят о некорректности самооценки банками рисков информационной безопасности и соответствия требованиям СТО БР. Как, с вашей точки зрения, следует «правильно» научить банки оценивать риски информационной безопасности и эффективно управлять ими?

Существует два подхода к обеспечению безопасности — управление требованиями и управление рисками. Первый подход «регуляторный», ему в том числе следует Банк России, разрабатывая обязательные к исполнению стандарты, которые все участники рынка должны реализовать у себя, чтобы выстроить систему защиты. Недостатки применения такого подхода в «цифровом» мире очевидны — нормативная база меняется гораздо медленнее и реже, чем ландшафт угроз и методы злоумышленников.

Риск-ориентированный подход более гибкий, он позволяет оперативно реагировать на меняющийся мир и применять защитные меры там, где это необходимо в данный конкретный момент времени. Однако и он не лишён недостатков. Во-первых, специалисты по кибербезопасности могут не заметить угрозу, ставшую вдруг актуальной, и прикладывать усилия не там, где это нужно. Во-вторых, у менеджеров, принимающих решение, есть соблазн принять выявленные риски кибербезопасности, чтобы сэкономить и без того весьма ограниченные ресурсы.

Мы считаем, что наиболее оптимальным является сбалансированный подход — использовать управление киберрисками там, где по объективным причинам требования отсутствуют или их невозможно выполнить. Чтобы такая система работала эффективно, управление киберрисками должно быть интегрировано в общую систему риск-менеджмента компании, а её руководство должно быть вовлечено в принятие решений.

Кроме того, защититься от всех киберугроз невозможно, поэтому в цифровом мире не существует абсолютно защищённых компаний. Здесь очень важно обеспечить так называемую «киберустойчивость»: возможность оперативно и без существенных затрат в полном объёме восстанавливать свои бизнес-процессы в случае успешной атаки киберпреступников, сохраняя при этом работоспособность компании. Управление киберрисками — важнейший элемент киберустойчивости, поэтому призывы Банка России можно только поприветствовать.

На форуме Antifraud Russia 2017 вы заявили, что основной проблемой информационной безопасности для Сбербанка является социальная инженерия, с помощью которой осуществляется около 80% атак на клиентов. Как именно Служба кибербезопасности пришла к такой оценке данного риска и как им управляет?

Мы фиксируем тысячи попыток в неделю, которые предпринимают кибермошенники, чтобы завладеть деньгами наших клиентов. Статистика получена из наших систем фрод-мониторинга. Они позволяют фиксировать подавляющее большинство подозрительных операций в режиме онлайн, и нам удаётся вернуть деньги клиенту, попавшемуся на удочку мошенников. Однако это решает проблему лишь частично. К сожалению, культура кибербезопасности населения по-прежнему достаточно низкая, и мошенники этим пользуются.

Атаки на клиентов банка по сути относятся к компьютерным преступлениям. Какова практика расследования таких инцидентов в Сбербанке?

Служба кибербезопасности Сбербанка помогает расследовать каждое такое преступление. При нашем непосредственном участии силами МВД России и ФСБ России в период за 2014-2016 гг. ликвидировано несколько киберпреступных групп. В настоящее время наше взаимодействие с правоохранительными органами активно продолжается.

Что главное в практике расследования инцидентов информационной безопасности: наличие специальных методик и технологий или профессиональные компетенции исследователей?

На мой взгляд, подобное сравнение вряд ли уместно: важны и методология, и инструменты, и профессионализм сотрудников. Всё это элементы одной системы, и недостаточное внимание к одному из них неизбежно скажется на результате.

В прошлом году Сбербанк приступил к реализации проекта строительства собственного центра мониторинга информационной безопасности (Security Operation Center, SOC), как утверждалось, крупнейшего в Европе. Пожалуйста, расскажите об этом проекте подробнее: с какими проблемами пришлось столкнуться в ходе его реализации и какие результаты ожидаете получить от будущего SOC?

Проекты такого масштаба всегда реализуются непросто, но мы успешно справляемся со всеми поставленными задачами. Многие из них уже решены. Например, в SOC 2.0 появилось подразделение Cyber Threat Intelligence, цель которого — заменить реактивную модель SOC на проактивную, пресекать возможные инциденты до их возникновения. Системы поддержки процессов Ticketing System и Reporting System полностью внедрены в новый SOC. Кроме того, мы активно внедряем Threat Intelligence Platform и Incident Response Platform.

Согласно положениям 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» Сбербанк, вероятно, будет признан субъектом, владеющим значимыми объектами КИИ, с вытекающими отсюда требованиями по обнаружению и реагированию на угрозы, подключению к ГосСОПКА и др. Каково ваше отношение к этому закону в целом? Не считаете ли избыточными его требования, в частности, применительно к банковскому сектору?

Мы серьёзно относимся и внимательно изучаем законодательство в этой области и подзаконные акты, выпускаемые регуляторами, — более того, принимаем активное участие в их обсуждении. Считаем, что закон в целом способен существенно улучшить ситуацию с защитой критической информационной инфраструктуры России от кибератак — конечно, при надлежащем его исполнении со стороны субъектов. По нашей оценке, большинство требований, закреплённых в нём, уже реализованы в компаниях, которые заботятся о своей кибербезопасности. Есть несколько моментов, которые вызывают вопросы — но мы находимся в конструктивном диалоге со ФСТЭК России и ФСБ России, поэтому решаем их в рабочем порядке.

Как известно, Герман Греф высоко оценивает потенциал для развития банковской сферы таких новых технологических концепций, как искусственный интеллект и блокчейн. Какой вы видите возможную пользу от их применения для решения задач обеспечения кибербезопасности Сбербанка и его клиентов?

Мы уже создали систему фрод-мониторинга, основанную на искусственном интеллекте. Она выявляют подавляющее большинство всех попыток мошенничества. Модель, выполняющая скоринг операций, строит динамические правила на основе анализа больших данных. Система не только отслеживает в автоматическом режиме подозрительные операции и оповещает клиентов, но и предостерегает их от действий, совершаемых под влиянием мошенников.

Для работы с новыми технологиями необходимы специалисты соответствующей квалификации. Но в отечественной сфере ИТ, а особенно в области защиты информации, сформировался дефицит квалифицированных кадров. Как Служба кибербезопасности Сбербанка решает кадровый вопрос? Есть ли у вас в этой области свои ноу-хау?

Действительно, кадровая проблема очень актуальна. Убеждён, что специалист по безопасности — прежде всего эксперт в ИТ. А российское образование устроено так, что специалистов по безопасности не учат ИТ-технологиям. В нашей службе внедрена система сертификации. Сотрудник должен предоставить сертификаты по компетенциям, которые соответствуют его позиции. Он сам решает, где и как он будет учиться, а банк оплачивает его обучение. Мы применяем и другой способ, на мой взгляд, ещё более эффективный: подтверждение квалификации «с рынка». Мы оцениваем то, как проявляет себя сотрудник в жизни профессионального сообщества: на каких конференциях выступает, какие статьи и для каких изданий пишет. Кроме того, мы повышаем грамотность наших специалистов за счёт хакерских скиллов.

Мы знаем, что Сбербанк располагает собственной немалой по численности службой информационной безопасности, но есть еще и внешняя организация, занимающаяся вопросами вашей кибербезопасности, — компания BI.ZONE. Как распределяются роли и задачи между собственной и внешней службами и взаимодействуют ли они в рамках каких-то общих задач и проектов?

Компания BI.ZONE — неотъемлемая составляющая нашей экосистемы кибербезопасности. Она проводит мониторинг внешнего периметра, собирает данные о потенциальных угрозах, тестирует наши системы, проводит глубокие технические исследования, разрабатывает собственные уникальные продукты. Всё это и многое другое она делает в интересах Сбербанка и наших дочерних компаний. Её сотрудники тесно взаимодействуют с сотрудниками Службы кибербезопасности, а результаты совместной работы используются для совершенствования процессов и систем защиты.

Что предполагается делать для повышения общего уровня цифровой грамотности и осведомлённости в вопросах ИБ для клиентов Сбербанка, чтобы снизить количество инцидентов и ущерб от действий хакеров?

Необходимо создавать в России культуру кибербезопасности, и мы немало делаем в этом направлении: обучаем клиентов, повышаем их осведомлённость, помогаем им вырабатывать практические навыки противостояния мошенникам. Наши сотрудники участвуют в публичных мероприятиях с докладами по теме кибербезопасности и готовят для СМИ материалы по этой теме. Мы участвуем в крупных мероприятиях, разрабатываем для них различные интересные форматы: например, интерактивные игры и квесты по правилам кибербезопасности. Мы придаём большое значение подобной просветительской работе и намерены активно её развивать.