Около трех лет назад российский банковский рынок захлестнула мода на цифровой бизнес, все крупные банки и многие средние начали активно развивать системы дистанционного банковского обслуживания, интернет-эквайринг, модернизировать call-центры. Однако в качестве цифрового уже более десяти лет в России работает «Тинькофф Банк», который к настоящему моменту вырос до крупнейшего в мире онлайн-банка (без отделений). О том, как обеспечивается безопасность цифрового финансового бизнеса, нам рассказал Станислав Павлунин, вице-президент, директор департамента безопасности группы «Тинькофф».
PC Week: В чем заключаются специфические отличия цифрового бизнеса «Тинькофф Банка» от обычных финансовых компаний? Как они влияют на организацию безопасности?
Станислав Павлунин: «Тинькофф Банк» правильнее будет назвать онлайн-компанией с банковской лицензией, главная особенность которой заключается в огромной скорости бизнес-процессов. Каждый год запускаются несколько новых бизнес-линий, выходят новые продукты, поэтому службе безопасности нужно поспевать за бизнесом, быть в тренде и в целом держать руку на пульсе деловой жизни банка. Для службы безопасности во взаимодействии с бизнесом критичны оперативность, скорость и погруженность её сотрудников в бизнес-процессы банка.
Во-вторых, в отличие от других банков наш штат примерно на 70% состоит из ИТ-специалистов. Их необходимо соответствующим образом контролировать и взаимодействовать с ними, в том числе с привилегированными пользователями.
PC Week: У группы «Тинькофф» несколько бизнес-направлений, в том числе страховой бизнес. В связи с этим вопрос — какова зона ответственности службы безопасности «Тинькофф»? Как распределяются сотрудники по классическим направлениям информационной, экономической и физической безопасности?
С. П.: Действительно, кроме банка в группу входит компания онлайн-страхования «Тинькофф Страхование» и в структуре департамента безопасности создано и функционирует управление по противодействию страховому мошенничеству, обеспечивающее возврат денежных средств, которые злоумышленники пытаются так или иначе вывести из группы.
Среди других подразделений службы безопасности важно выделить те, что касаются информационной безопасности, — управление ИБ, управление кибербезопасности, а также создаваемые сейчас управления безопасности приложений и безопасности инфраструктуры. Могу сказать, что управление безопасности приложений в первую очередь займется защитой мобильных приложений, анализом кода и внедрением процесса безопасной разработки.
Если же говорить о других областях, то кроме упомянутого управления противодействия страховому мошенничеству существует подразделение экономической безопасности, и, конечно, мы занимаемся безопасностью физической.
В разрезе штатных единиц примерно половина сотрудников занята информационной безопасностью, по 20% — экономической безопасностью и противодействием страховому мошенничеству и 10% — физической безопасностью.
PC Week: В структуре службы безопасности довольно много различных подразделений, а чем занимается управление ИБ, если есть управление кибербезопасности?
С. П.: Для повышения управляемости службы безопасности несколько лет назад мы из управления ИБ выделили управление кибербезопасности, передав ему специализированные программно-аппаратные комплексы, аналитику, всевозможные расследования, в том числе взаимодействие со смежными подразделениями в рамках расследований.
В управлении ИБ остались классические процессы и такие меры, как управление доступом, повышение осведомленности пользователей, методология ИБ, соответствие нормативным требованиям (в том числе банковским и ФЗ-152), а также типовые средства защиты банка — DLP, AV, сетевая безопасность и т. п.
PC Week: Можно сказать, что в управлении информационной безопасности остались commodity-практики?
С. П.: Именно так, к уже упомянутым можно добавить обеспечение работы СОТ и СКУД. Новые практики мы выводим в отдельные направления: так проще управлять развитием, и к тому же большинство новых стандартов и лучших практик касаются скорее кибербезопасности вообще, а в частности детализируют стандарты качества работы.
PC Week: Вы описали вертикально-интегрированную структуру безопасности группы, существуют ли горизонтально-ориентированные подразделения, например бизнес-партнеры (как в Сбербанке, ФК «Открытие», Ситибанке)?
С. П.: Мы про это думаем, но пока не решили, нужно ли это нам. Сейчас все подразделения безопасности входят в структуру департамента безопасности.
PC Week: Кто является внутренними заказчиками сервисов информационной/кибербезопасности и кто ваши союзники в реализации сервисов?
С. П.: Внутренними заказчиками у нас являются де-факто все подразделения банка. Начать, наверное, нужно с ИТ-департамента, так как у нас очень много разработчиков и администраторов. Соответственно, мы много внимания уделяем построению процесса безопасной разработки приложений внутри банка, начиная с правильной постановки задач на разработку и контроля самого процесса разработки в дальнейшем. Мы планируем до конца 2017 г. завершить проект по совершенствованию процессов безопасной разработки.
Безусловно, есть и бизнес-заказчики, которые двигают бизнес вперед и зарабатывают деньги. Когда запускается новый продукт или проект — у нас это называется новая бизнес-линия, — специалист по безопасности садится вместе с представителем бизнеса и они вместе смотрят, какие могут быть риски и как их избежать.
Кроме уже упомянутых важно выделить HR-департамент, который заказывает у нас сервис security awareness, и мы делаем его вместе с группой по обучению HR-департамента.
PC Week: Какие внутренние сервисы безопасности у вас сейчас наиболее востребованы и «продвинуты»?
С. П.: Уже упомянутая безопасная разработка приложений, сервисы по обнаружению и аналитике кибератак, расследование кибератак, а также внутренние контроль и процедуры службы безопасности. Наверное, нужно говорить о том, что востребован комплекс сервисов, позволяющих защищаться от внешнего и внутреннего нарушителя, строить модель рисков и планировать метод защиты в целом.
PC Week: То есть мы говорим о некой целостной архитектуре безопасности, из которой сложно вынуть один кирпичик, ведь это нарушит стабильность бизнеса в целом? И даже если какой-то компонент в этой архитектуре так или иначе мешает бизнесу, то он тут не просто так и от него, значит, нельзя отказаться...
С. П.: Безусловно, служба безопасности выступает за целостную модель, однако превалирует все-таки подход Security for Business — безопасность для бизнеса. В сложных ситуациях мы вместе с бизнесом вырабатываем оптимальную схему взаимодействия и управления возникающим риском.
Мы — служба безопасности коммерческого банка, и мы помогаем бизнесу зарабатывать и сохранять, а не мешаем. Мы строим процессы так, чтобы бизнесу было удобно работать, чтобы он не тратил время на безумную бюрократию и ненужные согласования.
Есть большое стремление совместить security и usability, мы очень много работаем над этим, даже когда это непросто.
PC Week: Как вы обеспечиваете свои многочисленные подразделения персоналом?
С. П.: Во-первых, мы очень долго ищем, поскольку требовательны к персоналу.
Нам здорово помогает то, что у нас сильный позитивный бренд, нас знают, а также то, что у нас открытая корпоративная культура (все сидят в открытом помещении и спокойно обсуждают рабочие вопросы друг с другом) и очень много интересной работы.
Во-вторых, мы удерживаем людей не просто формальным обучением и планами развития, но и высокой вовлеченностью персонала службы безопасности в решение задач. Для этого предоставляем им всё для интересной работы — новейшие практики и системы, которых в принципе может не быть в других банках.
PC Week: Действительно, на рынке ИБ «Тинькофф Банк» — практически индикатор новинок, сперва всё появляется у вас, а потом у других.
С. П.: Да, мы тестируем всё новое, что появляется на рынке, и если это нам действительно нужно и подходит по параметрам, то ставим на вооружение.
PC Week: Существует ли специфика угроз для небанковского бизнеса «Тинькофф» — страхового, маркетплейс?
С. П.: Естественно, с ростом применения информационных технологий риски возрастают кратно. В частности, есть схемы покупки авиабилетов и других товаров с помощью краденых кредитных карт, подделки и последующей продажи электронных полисов ОСАГО, «серые» схемы в страховании и многие другие.
PC Week: Значит, мошенники следуют за технологиями?
С. П.: Конечно. Наверное, они пионеры в использовании новых технологий.
Да и в принципе развитие технологий трансформирует жизнь. Сейчас вся наша жизнь — «в цифре»: фото, деньги, контакты, данные... Это создает единую точку отказа (Single Point of Failure), и если потерять мобильный телефон, то всё можно начинать как будто с чистого листа.
PC Week: Как изменился ландшафт угроз для банка и его клиентов за последние год-два?
С. П.: Сейчас сильно выросла актуальность киберпреступлений, они совершаются гораздо чаще, чем раньше. Для клиентов особых изменений не произошло — всё так же актуальна социальная инженерия и фишинговые рассылки.
Мы активно повышаем осведомленность клиентов — создан специальный раздел на сайте, рубрика в «Тинькофф Журнале». Например, в «Тинькофф Журнале» есть тест, позволяющий клиентам проверить, насколько они знают схемы мошенничества.
Наша цель — донести до клиента идею, что его роль в обеспечении безопасности его собственных денежных средств очень важна. Конечно, в банке выстроена большая система внешнего и внутреннего контроля, но простое знание клиента о мошеннических схемах и угрозах уже очень помогает защититься.
PC Week: Замечу, что я читатель «Тинькофф Журнала» и проходил этот тест. Понравилось, очень доступно.
С. П.: Мы всегда стараемся максимально упростить задачу клиенту, писать простыми словами и обычными фразами, показывать наглядные картинки — ведь большинство клиентов не являются техническими специалистами и по-другому просто не поймут или не запомнят. Мы рассказываем, в чем риски и как их избежать, по возможности просто и наглядно.
PC Week: Спасибо за беседу.
