Руслан Ложкин: «Регулятор накладывает очень много требований на безопасность»

13 февраля 18:16

Руководитель службы информационной безопасности Абсолют Банка Руслан Ложкин поделился с нашим изданием своей точкой зрения на проблемы кибербезопасности в банковской отрасли, рассказал о метриках эффективности ИБ, а также выделил перспективные технологии обеспечения информационной безопасности.

«Банковские технологии»: Как вы оцениваете ситуацию в сфере информационной безопасности банков на начало 2020 года?

Руслан Ложкин: В банковской сфере наблюдается, с одной стороны, весьма продуктивная из-за множества новшеств Банка России ситуация, но, с другой стороны, тот же Банк России создает множество противоречий. В отличие от других организаций, где можно выбрать одну модель информационной безопасности, банкам приходится лавировать между желанием соблюсти требования регулятора, сделать бизнес-ориентированной модель информационной безопасности и защититься от реальных угроз и целевых атак.

Отмечу, что регулятор накладывает очень много требований на безопасность. Эти требования не гибки и формируются на базе отработанной модели инцидентов, а потому на момент их публикации являются устаревшими. То есть это контрмеры на риски «вчерашнего» дня.

Второе — нужно понимать, что банки — это бизнес. Банк оказывает услуги в соответствующем сегменте рынка. Например, в сегменте ритейла, нужна очень быстрая реакция на клиента. Необходимо провести анализ, понять, что требуется клиенту, сделать это, продать и получить за это деньги. Отсюда следует, что услуги, оказываемые банком, должны быть доступными для клиента и конкурентоспособными. С одной стороны, клиенту необходимо предоставить высокоэффективный сервис, с другой стороны, необходимо снижать издержки себестоимости таких услуг. Итог всего — удаленные сервисы, облачные технологии, омниканальные платформы, к которым российский регулятор очень долго приспосабливается.

Третье — реальные целевые атаки. Нужно понимать, что современные кибервооружения используют лазейки как текущего законодательства, так и текущих уязвимых технологий. Такие средства вооружения становятся доступными для массового сегмента.

В идеале банки хотели бы получить стандарт по информационной безопасности, адаптированный для коммерческих организаций. В таком стандарте хорошо было бы озвучить вопросы: положение ИБ в организации, кто такой CISO, обязательные процессы информационной безопасности, требования и компенсирующие мероприятия.

На данный момент банкам приходится затрачивать денежные средства на требования регуляторов и аудиты, на возможность вести бизнес и «выкручиваться» ввиду коллизий регуляторов, либо отсутствия нормативной базы, на защиту от целевых атак, так как соблюдение требований регуляторов не гарантирует реальной безопасности. Результат всего этого на начало 2020 года — дорогая банковская ИБ.

«Б. Т.»: Какие основные тенденции будут господствовать на рынке?

Р. Л.: Основные тенденции рынка 2020 года — это работа с большими данными (Big Data) и различные формы многофакторного анализа, такие как: поведенческий анализ, биометрия, использование статистики единых баз, проверка удаленного хоста — все это даст возможность с высокой вероятностью идентифицировать клиента. Роботизация превентивного труда также будет использоваться. Удаленная аутентификация и возможность предложить клиенту то, что он желает раньше других, будут являться основными тенденциями развития рынка. Отдельные элементы блокчейна, искусственный интеллект уже применяются, но сейчас это больше маркетинговая «фишка», и в целом это технологии на долгосрочную перспективу, по крайней мере, до тех пор, пока не будет подготовлена законодательная база. Эти технологии также имеют свои недостатки. Нужно понимать, что «локальный» блокчейн не имеет особого смысла. Эта технология должна поддерживаться на уровне государства.

«Б. Т.»: Какие технологии обеспечения ИБ являются перспективными, по вашему мнению?

Р. Л.: К перспективным можно отнести технологии глубокой корреляции событий реального времени. Здесь нужно отметить, что средства защиты и конечные хосты в день создают колоссальные объемы «сырого» трафика. Из такого трафика инцидентами являются только единичные события, часто среди «сырого» трафика полезных событий нет вовсе. Выявить полезное событие часто недостаточно. Необходима регистрация всей цепочки событий, по которой можно квалифицировать инцидент. При возникновении определенной комбинации событий необходимо принять решение и срок принятия такого решения должен составлять секунды. Именно поэтому в соответствии с современными тенденциями необходимо наличие единого центра реагирования, или Security Operation Center (SOC).

Также важную роль играют технологии адаптивной защиты. Выявить событие инцидента в минимальный срок не является решением возникшей проблемы. Необходимы контрмеры и такие контрмеры должны также возникать на события реального времени. Необходимо полагать, что изменять физически средство защиты в ручном режиме — задача крайне неэффективная. Таким образом, средства защиты должны быть адаптивными к изменению вектора угрозы и опять все должно происходить в реальном времени.

Поведенческий анализ также относится к разряду перспективных технологий. Основная задача состоит в определении и отличии легитимного лица от робота или мошенника. Поведенческий анализ широко применяется в DLP и Antifraud системах. Но если использовать за основу адаптивные технологии и поведенческий анализ — такую технологию можно расширить и использовать, например, в аутентификации. Таким образом, возможно распознать робота бота, вредоносное ПО или мошенника при попытке доступа к любым системам. Система поведенческого анализа может запрашивать дополнительные аутентификаторы, если на этот счет возникнут актуальные подозрения.

«Б. Т.»: Какова, на ваш взгляд, наиболее эффективная практика борьбы с социальной инженерией?

Р. Л.: Наиболее эффективным способом борьбы с социальной инженерией является обучение сотрудников и повышение общей культуры информационной безопасности. В качестве контрмер, возможно, использовать системы поведенческого анализа. Эти процессы должны совершенствоваться непрерывно и создавать предпосылки неэффективности социальной инженерии.

«Б. Т.»: Метрики информационной безопасности. Как показать эффективность работы CISO бизнесу?

Р. Л.: Эффективность CISO определяется культурой самого CISO и культурой ИБ организации. Здесь нужно отметить, что уровень зрелости CISO в России отличается от CISO западных стран. CISO — это менеджер уровня бизнеса. Его показатели эффективности следующие.

Во-первых, умение общаться бизнес-языком. В РФ CISO часто вырастает из технического персонала, и, как следствие, такого CISO не всегда понимает бизнес.

Во-вторых, одноранговость. То есть CISO должен быть одного ранга с руководителями схожих структурных подразделений. В РФ часто CISO на один-два ранга ниже. Позиция Директора по информационной безопасности в РФ развита слабо.

В-третьих, эффективный менеджер. CISO должен выстраивать вокруг себя коллектив единомышленников и должен уметь делегировать задачи. В России CISO часто мастер на все руки, который может сам сделать работу в подразделении. Результат такого подхода — отсутствие времени или желания выстраивать партнерские отношения с коллективом.

В-четвертых, возможность мыслить шире. Основная задача CISO — работа на бизнес. В наших реалиях уход от стандартной классической модели ИБ для CISO часто считается проблемой и часто мы слышим от CISO слово «нет». В результате такого CISO не всегда желают вовлекать в бизнес.

Наконец, развитие. Задача CISO — развивать ИБ, потому что из-за неспособности CISO показать развитие подразделение ИБ переходит в разряд затратных.

К метрикам ИБ в целом можно отнести: снижение регуляторных рисков; показатель бизнес-ориентированности ИБ в целом; показатель скорости реакции на угрозы реального времени; общую культуру информационной безопасности в организации.

«Б. Т.»: Каковы угрозы открытому API и наиболее действенные методы обеспечения безопасности в открытых API?

Р. Л.: Открытым API уже никого не удивишь. Никому не нужны системы, которые не интегрируются с другими системами, либо интегрируются очень сложно и дорого. Здесь присутствуют риски, аналогичные внешним сервисам. Необходима правильная настройка демилитаризованной зоны. Необходимо использование межсетевого экрана уровня веб-приложений. API, используемые для подключения мерчантов, необходимо ставить на антифрод-контроль. Все API необходимо тестировать и проверять на уязвимости.

«Б. Т.»: Каких законодательных и регуляторных инициатив и последствий от их принятия вы ожидаете в 2020 году?

Р. Л.: В 2020 году ожидается документ от Банка России по Операционным рискам. В середине года все кредитные организации обяжут получать квалифицированную подпись в Банке России.

Также ожидаем разъяснений по документу, обязывающему проводить оценку на уязвимости по классу доверия не ниже чем ОУД4 для платежного ПО.

Наблюдается череда изменений в связи с изменениями закона о национальной платежной системе.

Все документы вызовут дополнительные бюрократические процедуры и финансовые затраты на выполнения требований.

«Б. Т.»: Проблема киберкультуры: как ее формировать и сколько на это потребуется времени?

Р. Л.: Любая культура является следствием устоявшихся ценностей и стереотипов общества. Для ее полноценного формирования требуется как минимум поколение. Другое дело, когда происходят резкие изменения в обществе, к которым общество подготовлено не было — это приводит к проблемам. Проблемой киберкультуры является неподготовленность общества, с одной стороны, и дискредитация основ культуры со стороны мошенников, с другой стороны. В результате мы имеем общество, находящееся в тренде культуры, и которое выбирает путь «белого», «серого», «темного» хакера, и общество, не поспевающее за трендом, которое становится объектом совершения махинаций. У второй категории, как правило, могут выработаться предпосылки к недоверию культуре кибербезопасности или к банкам в целом. Таким образом, частное влияние на культуру возможно через постоянное обучение персонала, уведомление клиентов. Но глобально повлиять на киберкультуру возможно только с развитием базовых основ со школьной скамьи. Необходимо создать предпосылки и развивать киберкультуру наравне с финансовой грамотностью населения при поддержке государства. Необходимо подчеркнуть, что эта информация в той или иной степени является основным активом современного общества.

Журнал «Банковские технологии», №1, 2020.



© 2020 БАНКОВСКИЕ ТЕХНОЛОГИИ
Первое издание на российском рынке, посвященное информационным технологиям для банков.
Москва, Проспект Мира, д.3, корп. 1
+7 (495) 120-81-42
info@int-bank.ru

Свидетельство СМИ ФС77-39103 от 11 марта 2010 года.
По вопросам сайта просим обращаться к администрации сайта: info@int-bank.ru.
При использовании материалов необходимо давать ссылку на www.banktech.ru.