Интервью с заместителем директора Департамента безопасности, начальником управления информационной безопасности Россельхозбанка Артемом Сычевым о проблемах информационной безопасности банка Артем Сычев, заместитель директора Департамента безопасности, начальник управления информационной безопасности ОАО «Россельхозбанк». Кандидат технических наук. Принимал активное участие в разработке комплекса документов в области стандартизации информационной безопасности Банка России. Лауреат профессиональной премии «Серебряный кинжал». Защита банковских систем и средств клиента – задача финансовых учреждений. Борьба с организованной преступностью – прерогатива государства. Сегодняшние проблемы информационной безопасности во многом результат того, что долгое время банкам приходилось противостоять мошенникам в одиночку, считает заместитель директора Департамента безопасности, начальник управления информационной безопасности Россельхозбанка Артем Михайлович Сычев. - Артем Михайлович, СМИ, профессиональные конференции регулярно формируют перечни актуальных угроз информационной безопасности. Могли бы Вы огласить свой собственный список основных проблем? - Если мы говорим конкретно о банковской системе, то первая проблема – это хищение денег клиентов через систему дистанционного банковского обслуживания. Проблема номер два характерна практически для всех субъектов, которые используют те или иные информационные технологии, – это инсайдерская угроза и утечка информации. Третья по значимости опасность – внутренний фрод. Причем, на мой взгляд, для банков эта проблема более актуальна, чем для других сфер деятельности. - Вторая и третья проблемы имеют общий корень - они связаны с недобросовестностью сотрудников. - Тут разная модель нарушителя и различное целеполагание. Когда мы говорим об инсайдерской угрозе (сливе информации, значимой для банка), то в ее основе лежит стремление преступников к финансовому обогащению. Как правило, это целенаправленная атака, которая не придумывалась за пять минут и не была спровоцирована случайными обстоятельствами. Она направлена на получение максимальной выгоды в соучастии с другими заказчиками, с использованием различных видов доступа, поскольку чаще всего эти заказчики вообще находятся где-то за пределами банка. Внутренний фрод совершается людьми, работающими на свой собственный карман и пользующимися доступными им механизмами исключительно для личного обогащения. Если мы говорим о внутреннем фроде, то здесь преступником, как правило, становятся спонтанно: что-то плохо лежало, появилась острая потребность в дополнительных средствах и т.д. Как правило, человек, реализующий внутренний фрод, долго работает на одном месте, видит существующие бреши в защите и начинает ими пользоваться. Либо он оказывается в таких исключительных условиях, когда просто не может найти нужные ему средства иным способом. Но вернемся к другим проблемам ИБ. Еще один, четвертый, момент – модная тема безопасности АСУТП (автоматизированных систем управления технологическим процессом), т.е. технологическая безопасность на производстве. Уровень автоматизации на современных предприятиях достаточно высок, практически везде сегодня используются вычислительные средства, но как работают эти контроллеры, подвергаются ли они атакам, установлены ли на них какие-либо вредоносные программные обеспечения, остается тайной. И это серьезная проблема. И пятый момент, который я бы связал с самым первым, заключается в том, что уровень осознания вопросов информационной безопасности, в особенности в российском обществе, на самом деле крайне низок. Есть такая поговорка: безопасности не бывает много, бывает либо поздно, либо очень дорого. Поздно, это когда пользователь спохватывается, что у него ключи украли или деньги с карты увели и т.п. Раньше люди держали деньги в кошельке или дома в тумбочке, и их задачей было обеспечить надежное хранение этого кошелька или поставить надежную дверь в квартире. Почему же теперь, когда деньги перекочевали в виртуальное пространство, мы все время забываем про «двери» и не следим за тем, чтобы никто не совал руки в наш «кошелек»? Вот вам классическая схема развода по СМС. Пользователю приходит сообщение, что его карта заблокирована и дальше указывается телефонный номер. Каждый банк в обязательном порядке печатает на пластиковой карте номер своего контакт-центра. Что мешает человеку сравнить номер в СМС и на карте? Кто об этом должен думать – он или банк? Но вместо того чтобы сравнить номера, человек берет телефон и набирает номер, который есть в СМС. Дальше начинает работать социальная инженерия. - То есть проблема вовсе не в банковской защите? - На самом деле многие вопросы лежат на стыке интересов хозяйствующих субъектов и государства. Потому что, например хищение денежных средств через ДБО – проблема, которую пытаются повесить на банки. Но это проблема не только банков, а прежде всего государства. Фактически этим сейчас занимаются преступные группировки, а не отдельные, непонятно где живущие хакеры. Бороться с ними – задача не банков. Дело банка – обеспечивать надежность функционирования кредитной и расчетной системы в рамках своей компетенции. А вопрос поиска и поимки преступников относится скорее к правоохранительным органам. Даже не столько к полиции, сколько к ФСБ, прокуратуре, Следственному комитету и законодателям. Говоря о российском законодательстве, нельзя не отметить, что оно часто не соответствует существующим сегодня реалиям. Нет учета того, что преступления, о которых сейчас идет речь, происходят не в физическом мире, а в виртуальном. Нет учета того, что они трансграничны по отношению к субъектам федерации, к государству. В какой точке мира находится преступник, который заказал разработку вредоносного ПО, мы с вами можем не узнать никогда. Сегодня он находится в России, завтра – на Украине, а послезавтра – в Великобритании. Сложные преступные схемы должны быть учтены в законодательстве, а этого нет. Банки принимают для защиты своих клиентов все доступные им меры. Но это как гонка брони и оружия, притом что мы заранее знаем: преступники гораздо сильнее и быстрее. Они организованнее, нацелены на получение прибыли именно от этого вида деятельности и им абсолютно все равно, клиент какого банка попался на их удочку. Рентабельность этого вида хищений выше, чем наркоторговли и торговли оружием. А государство, вместо того чтобы понять, что в борьбе с преступностью есть и его интерес, тщательно пыталось дистанцироваться от этих проблем. Правда, сейчас, когда уже нарастает критическая масса, ситуация начинает понемногу изменяться. Надо сказать, что Министерство внутренних дел старательно выполняет свою работу, но и оно находится в неудобных рамках законодательства. - Почему преступники на шаг впереди, ведь им приходится работать в условиях нелегальности? - Да, но они особо не скрываются и втягивают в свою деятельность огромное количество людей. Например, на интернет-сайтах злоумышленники зазывают студентов, желающих заработать, участвовать в незаконной деятельности по обналичиванию ворованных денег. Организаторы при этом хорошо зарабатывают и не имеют проблем с законом. Их общение происходит на открытых интернет-площадках, которых миллион. На вопрос: «Это законно?» – они честно отвечают: «Нет, но если предпринимать необходимые меры, то вполне безопасно». Может ли банк справиться с таким потоком объявлений в Интернете? Нет, потому что это не его задача. У банка нет механизмов для осуществления подобных операций, он не является субъектом оперативно-розыскной деятельности. Ведь нужно не публикации убирать, а заказчиков выявлять и ликвидировать. Преступники прекрасно понимают, что сегодня нет необходимости грабить банки. Задача государства в том, чтобы сократить эту высокую латентность преступлений. Банки не в состоянии этим заниматься. Они прикладывают все силы для защиты своего клиента. А для этого практически все финансовые организации вкладывают деньги в дополнительное обеспечение безопасности своего программного обеспечения и технологий. Предложения на рынке есть. - А какие задачи Вы поставили бы перед поставщиками оборудования? - Во-первых, пора думать о выработке определенных стандартов информационной безопасности в платежных технологиях. Кроме того, в России существуют достаточно жесткие требования со стороны регуляторов, того же ФСТЕК, ФСБ. В связи с чем необходимо ставить вопрос о пересмотре ряда процедур сертификации. В противном случае к тому моменту, когда оборудование получит сертификат, оно уже успеет функционально устареть. - В Вашем рейтинге актуальных проблем ИБ нет хакерских атак. Насколько эта проблема серьезна? - Сама по себе? В отрыве от других проблем, о которых я говорил в начале нашего разговора, она не настолько серьезна. Серьезнее другое. Если раньше это были талантливые единицы, которые в редких случаях занимались хищениями, то сейчас это поставленное на поток производство инструментария для осуществления преступной деятельности. Страшно не наличие хакеров как таковых, они будут всегда. Никто не скрывает, что многие компании, занимающиеся информационной безопасностью и на Западе, и у нас берут к себе на работу так называемых «белых хакеров». Этот класс людей всегда будет по одной причине: то, что один человек разработал, другой – сможет сломать. А если он может это сломать, всегда найдутся люди, которым это интересно. Опасно другое. Если раньше мы не видели массового применения этого инструментария в преступных целях, то сейчас это есть. Более того, сейчас вредоносный инструментарий пишется на заказ и продается. И самое интересное, что тот, кто его пишет, даже не узнает, где он был использован. Как правило, поиском уязвимостей и производством программного обеспечения занимаются разные люди. А есть еще третьи люди, которые обслуживают то, что создала вторая группа на основе результатов деятельности первой. - Сложная система. - Да. Как работает софтверная индустрия? Одни люди думают, что и как сделать, другие – выступают архитекторами, третьи – формируют программный код, четвертые – занимаются сопровождением, пятые – продажей и установкой. Вот сейчас то же самое происходит с вредоносным программным обеспечением. Работает целая индустрия, и это страшно. - Сегодня многие компании берут на работу удаленных сотрудников. Насколько это опасно? - Нет ничего страшного в том, что люди будут работать удаленно. Это не такая большая проблема. Есть механизмы контроля. Проблема заключается в том, что когда человек переходит на такую работу, он, с точки зрения соблюдения политики информационной безопасности, перестает ощущать себя частью компании, и здесь очень важно заставить такого сотрудника на тех средствах, на которых он работает, соблюдать корпоративную политику информационной безопасности. - Какова, на Ваш взгляд, основная отличительная черта преступлений в сфере ИБ в 2012 году? - Особенность 2012 года заключается в том, что, если раньше зараженного клиента и его счет «пасли» в ручном режиме, то сейчас этот процесс настолько автоматизирован, что даже наличие оператора на той, преступной, стороне необязательно. Зараженная машина клиента начинает сама формировать и отправлять платежки. То есть можно говорить о появлении функции «автозалива». Нормальный хакер ленив по определению. Отработав какую-то технологию, он стремится ее по-максимуму автоматизировать, чтобы не заниматься рутинными операциями. - Летом многие сотрудники компаний разъедутся в отпуска, кого-то ждут дальние командировки. Как им обезопасить себя во время путешествий? - Во-первых, практически все банки, когда выдают карты, обязательно оповещают своих клиентов о правилах безопасности. Но обычно, получив какую-то бумажку, ее сразу же выбрасывают. Поэтому настоятельно рекомендую все-таки ознакомиться с теми рекомендациями, которые формируют банки для своих клиентов. Во-вторых, если говорить о чисто практической безопасности, большая часть банков поддерживает услугу смены ПИН-кодов. Целесообразно периодически проводить смену ПИН-кода, по аналогии со сменой пароля для доступа к информационным ресурсам. О том, что никому нельзя сообщать свой ПИН-код и передавать карту, знают все. Кроме того, для минимизации рисков имеет смысл иметь две карты. Одна используется для получения зарплаты и трат в тех источниках, которым вы доверяете. Вторая – для того чтобы расплачиваться, когда вы сомневаетесь в надежности источника. Например, когда вы даете свою карту официанту в ресторане, вы теряете ее из вида и не знаете, что с ней делают. Или платежи в Интернете – не самый доверенный канал использования вашей платежной карты. О важности наличия антивирусов в актуальном состоянии говорить не буду – это правило хорошего тона. Регулярные обновления операционной системы, программного обеспечения – такими вещами пренебрегать нельзя. Подготовила Адель Соколова Раздел: информационная безопасность Дата: 14-10-2013 |
№8 - 2013
В октябрьском номере журнала "Безопасность: Информационное обозрение" мы рассмотрели такие важные вопросы, как правила построения кадровой и информационной безопасности компании, выявление рисков корпоративного мошенничества и подбор частного охранного предприятия.
|