“ИБ-служба банка — это бизнес-структура, продающая ИБ-услуги”

Банковский бизнес в нашей стране — один из наиболее зрелых в отношении использования информационных технологий и защиты информации. Именно банки в числе первых сталкиваются с современными угрозами в области обеспечения информационной безопасности (ИБ). Об актуальных задачах, стоящих перед ИБ-специалистами этой отрасли, научному редактору PC Week/RE Валерию Васильеву рассказывает заместитель директора департамента безопасности — начальник управления информационной безопасности Россельхозбанка Артем Сычев.

PC Week: Какие проблемы волнуют вас сегодня как начальника управления информационной безопасности Россельхозбанка в первую очередь?

Артем Сычев: Волнует защита каналов связи и периметра сети банка, безопасность его внутренних ИТ-ресурсов, волнуют вопросы защиты от инсайдерских действий. То есть беспокоит целый комплекс вопросов, неразрывно связанных с деятельностью банка и его ИТ-инфраструктрой. Поэтому в целях минимизации рисков нарушения ИБ и, как следствие, операционных рисков необходимо обеспечить контроль технологий построения банковских бизнес-систем и бизнес-процессов и тем самым исключить появление в них “дыр”, в том числе технологических, через которые банку может быть нанесен ущерб.

Но при этом нельзя забывать и об организационной составляющей самой ИБ-службы, о налаживании связей с другими подразделениями, о взаимодействии с руководством банка с целью повышения уровня осознания важности вопросов информационной безопасности, а это порой бывает очень непросто.

Целесообразно рассматривать подразделение информационной безопасности как бизнес-структуру, продающую ИБ-услуги, прежде всего внутри банка. Поэтому важно заинтересовывать бизнес-руководство в услугах ИБ, разъяснять ему, что “безопасники” могут обеспечить другим структурам банка такие условия, при которых они не только не будут нести убытки из-за проблем с ИБ, но еще смогут получать дополнительные прибыли. Более того, в настоящий момент ИБ-службы в состоянии предлагать ИБ-сервисы, которые банк может продавать клиентам.

PC Week: То есть зрелость ИБ-службы может достичь такого уровня, что из затратной структуры превратится в приносящую прибыль?

А. С.: Именно так. Приведу пример. Современные проблемы дистанционного банковского обслуживания (ДБО) не являются проблемами классических банковских бизнес-процессов или используемых банками технологий. Прежде всего это проблема безопасности клиента. Решение данной задачи можно оставить за клиентом, потому что из-за ненадлежащей защищенности подключения страдает в первую очередь он — ведь крадут именно его деньги. А можно существенно облегчить ему жизнь и предложить ему готовую услугу по защите его работы в системе ДБО. Те клиенты, у которых через ДБО ежедневно проходят не сотни, а миллионы рублей, сами интересуются подобным сервисом и они готовы за него платить. Соответственно служба ИБ банка может предложить востребованную клиентами услугу, которую банк может продавать.

Разумеется, внутреннее ИБ-обслуживание тоже приносит банку прибыль. Так, например, предотвращая утечки, ИБ-служба способствует защите, прежде всего, экономических интересов банка и снижения уровня правовых рисков, оберегая репутацию банка и поддерживая лояльность клиентов.

PC Week: В связи с коммерциализацией какие задачи в работе подразделения выдвигаются на первый план?

А. С.: Прежде всего — обеспечение безопасности банковских технологий. Банк — это живой организм, который не стоит на месте; здесь постоянно появляются новые бизнес-процессы, модернизируются действующие. Одна из основных задач ИБ-службы заключается в том, чтобы внедряемые в банке технологии были безопасны и при этом безопасность не довлела над бизнесом. Практика показывает, что если изначально бизнес-технологию проектируют с учетом требований обеспечения ИБ, то и внедряется она быстрее, и работает эффективнее.

PC Week: А нет ли у вас ощущения, что обеспечение ИБ порой тормозит продвижение в банковском бизнесе новых технологий, например облачных вычислений?

А. С.: Что касается облаков, то сначала неплохо было бы проработать для них вопросы экономической целесообразности — имеет ли смыл внедрять их сейчас. Не нужно ставить телегу впереди лошади, ведь пока даже неочевидно, как строить ИБ в облаках. К тому же то, что сегодня выдается за облачные вычисления, как правило представляет собой вариант аутсорсинга, на который навесили новую модную рекламную табличку.

Конечно, с аутсорсерами нужно работать. Но делать это следует аккуратно. Сервисы, связанные с обработкой и передачей информации различной степени конфиденциальности (банковская или коммерческая тайны и т. д.), на мой взгляд, рано выносить в облака, будь то облака публичные или частные, обслуживаемые по схеме аутсорсинга. Зато сервисы, не связанные с такой информацией, доверять аутсорсерам можно. На самом деле так оно и происходит. Например, услуги бюро кредитных историй по сути реализуются как облачный сервис, которым пользуется огромное количество банков. Фактически это публичный сервис, регулируемый законом.

PC Week: А какие проблемы волнуют вас сегодня как представителя направления ИБ банковского сообщества России?

А. С.: В первую очередь — совершенствование нормативной базы, причем по нескольким направлениям, прежде всего в сфере защиты персональных данных, а также в области взаимоотношений банков, возникающих при функционировании ДБО, и в области ДБО в целом.

Регулирование ИБ в банковской сфере требует специального подхода. Деятельность ЦБ России, направленная на реализацию такого подхода через отраслевой стандарт, абсолютно верна, но ему следует идти дальше. Как отраслевой регулятор банковской сферы ЦБ должен найти общий язык с госрегуляторами ИБ и добиться права полностью регулировать ИБ как в банках, так и в платежных системах страны. На мой взгляд, в развитии закона о национальной платежной системе должна быть предусмотрена более значительная роль ЦБ. Ведь именно по этому пути идут многие страны не только с развитыми экономиками, но и наши ближайшие соседи: Украина, Армения, Азербайджан…

PC Week: Насколько общими являются ИБ-проблемы российских банков для всего ИТ-сообщества страны?

А. С.: Начну с той же проблемы регулирования ИБ: она актуальна для страны в целом. Требуются новые подходы на основе опыта международных стандартов, саморегулируемых организаций.

Большую проблему с точки зрения ИБ в стране представляет собой также вопрос кадрового обеспечения. Те ИБ-специальности, которые сейчас есть в образовательном стандарте, не покрывают всех реальных потребностей. ИБ-специалистов готовят с упором на технические вопросы. Считается, что “безопасник” должен быть крутым технарем уровня хакера или криптоаналитиком. А реально в компаниях не хватает ИБ-технологов, специалистов, способных организовать связку ИБ-службы с юристами и финансистами. В идеально выстроенной ИБ-службе обязательно должны быть технари, юристы, финансисты, технологи плюс грамотный аналитик. Это еще один из моментов, который роднит ИБ-службы с ИТ-структурами. Отсутствие любого из этих специалистов чревато перекосами в работе служб ИБ и ИТ. Они оказываются не в состоянии просчитать эффективность своей работы, тяготеют к техническим решениям в ущерб целесообразности.

PC Week: Про перекосы в ИБ в техническую сторону говорят много. А встречаются ли перекосы в сторону администрирования?

А. С.: Конечно. В ситуации, когда хорошего технаря не нашли, а тому, который есть, не доверяют, центр тяжести смещается на “бумажную” ИБ. В результате получается, что документально все организовано, а на деле далеко не так. Без техники сегодня ИБ не построишь. В то же время даже высококлассное, сертифицированное ИБ-средство без корректного встраивания в бизнес-технологии и последующего контроля его работы в лучшем случае бесполезно, если не вредно. Однако и это не всё. Контроль дает информацию о состоянии контролируемого объекта или процесса. А дальше данную информацию нужно довести до руководства. Вот как раз это и должны делать сотрудники ИБ-службы тех специализаций, о дефиците (точнее, об отсутствии) которых я говорил. Чтобы осознание этой проблемы стало массовым, думаю, придется ждать еще лет пять. Изменить ситуацию в образовании может реальный заказ со стороны государства и рынка в целом. Но рынок сегодня предпочитает искать либо молодых специалистов, хорошо знакомых с техникой, либо отставников-силовиков, которые умеют административно “правильно решать вопросы”. Только очень развитые компании, у которых есть надлежащие ресурсы, идут по пути воспитания из таких приобретенных “заготовок” высококлассных специалистов. Но далеко не все обладают таким ресурсом, а многие и не понимают, что ресурс этот нужен.

PC Week: В банковской сфере, как мы выяснили, масса специфических ИБ-проблем. Имеет ли смысл обсуждать их на таких широких площадках, как, например, Межотраслевой форум директоров по информационной безопасности, или эффективнее делать это все-таки на отраслевых ИБ-мероприятиях, которых, кстати, проходит немало?

А. С.: Обсуждать банковские проблемы нужно и там и там. Если мы будем вариться только в собственном соку, то можем впасть в заблуждение, будто бы нам, ИБ-специалистам из банковской сферы, все понятно и это только наши проблемы. Широкая трибуна дает возможность избежать подобных заблуждений. Обсуждение в таких представительных аудиториях, как упомянутый форум, позволяет консолидировать разные мнения, оформить их в виде документов и в последствии использовать для лоббирования выработанных позиций на уровне исполнительной и законодательной властей. Это одна из целей таких мероприятий.

Кстати о Межотраслевом форуме директоров по информационной безопасности. Он заметно отличается от других подобных мероприятий малым числом спонсорских маркетинговых докладов, избыточно нацеленных на продажу. Форум дает возможность поднять актуальные проблемы отрасли, выделить наиболее общие и способствует конструктивному диалогу с регуляторами.

PC Week: А регуляторы на этом форуме представлены в достаточной степени, чтобы услышать голос ИБ-руководителей?

А. С.: Если судить по прошлому году, то да, в достаточной. Правда, как это часто бывает на всех мероприятиях, самые высокие гости предпочитают, сделав свой доклад, тут же уходить. Но зато они оставляют свои “уши” — коллег и подчиненных. Поэтому можно считать, что голоса ИБ-директоров, звучащие на Межотраслевом форуме директоров по информационной безопасности, регуляторы слышат.

PC Week: На состоявшемся в марте этого года семинаре представитель Россельхозбанка докладывал о практике взаимодействия с правоохранительными органами при расследовании инцидентов в ДБО. В чем суть этого опыта?

А. С.: Прежде всего в том, что мы отстаиваем интересы наших клиентов. Если мы не поможем правоохранительным органам сформировать оценку реального масштаба преступлений в сфере ДБО, если не будем консолидировать вокруг проблемы с ДБО коллег из других банков, то мы не справимся с эскалацией преступности в этой области. Будем бить по хвостам, решать частные технические задачи, а количество подобных преступлений будет только расти. Страдать от этого будут прежде всего наши клиенты.

Должны быть созданы условия для однозначного понимания банками факта преступления в сфере ДБО, единообразных действий для блокировки похищенных денег и возврата их на счет клиента. Это задача Банка России.

Должен быть изменен подход к оценке факта преступления и места его совершения. Преступление должно считаться завершенным не в момент зачисления украденных денег на счет “дропперов” или в момент обналичивания денег, а в момент, когда они покинули счет клиента. Возбуждение и расследование уголовного дела должно происходить по месту открытия счета клиента, подвергшегося нападению. В настоящее время дело, с трудом возбужденное там, где деньги реально украли, постепенно затухает после его перенаправления по подследственности, то есть туда, где их пытались снять со счета. Понятно, что заинтересованность правоохранительных органов в расследовании таких дел крайне низкая, тем более когда пострадавшая сторона далеко от следователя.

Мы стремимся доступными нам законными способами добиваться действия принципа неотвратимости наказания. Наша задача, задача всего банковского сообщества — выбить экономическую основу, позволяющую развиваться этому виду преступлений. А это будет возможно тогда, когда проблема станет понятна как правоохранительным, так и регулирующим органам — ЦБ РФ, Минэкономразвития, Минфину и конечно законодателям.

PC Week: А масштабы бедствия требуют привлечения их внимания?

А. С.: В среднем каждый банк, имеющий развитую систему ДБО, фиксирует по шесть-восемь покушений на хищение со счетов клиентов каждую неделю. В одном эпизоде фигурируют суммы от 150 тысяч до нескольких десятков миллионов рублей. Банки научились противостоять таким покушениям (это к разговору о сервисе безопасности для клиента), и в большинстве эпизодов клиент не теряет своих денег. Однако потенциал преступного сообщества удручает. В масштабах страны речь идет о хищениях миллионов долларов каждую неделю. Поэтому Банк России, как регулятор отвечающий за стабильность банковской и финансовой системы страны, должен вплотную заняться этой проблемой. Вывод из легального оборота ворованных денег и масштабы подобного вывода несут в себе не меньшую, а возможно даже большую опасность, чем например, проблемы “серого” импорта.

PC Week: Благодарю за беседу.