Интервью с Марией Вороновой, заместителем начальника Управления информационной безопасности, «Пробизнесбанк», ФГ «Лайф»
– Каковы, на ваш взгляд, наиболее актуальные угрозы информационной безопасности банковского бизнеса сегодня? Угрозы ИБ финансовой группы в общем случае отличаются от «банковского набора»?
– Среди наиболее значимых угроз информационной безопасности в банковской сфере могу выделить следующие: мошенничество в электронных каналах (вывод денежных средств со счетов, опустошение банкоматов, кражи с банковских карт), утечки данных, различные атаки на инфраструктуру (DDoS, попытки взлома), внутреннее мошенничество.
В целом модель угроз для банковской сферы, как правило, одинаковая и, если отличается, то не намного. Однако для каждого конкретного банка в связи с его особенностями и определенной организацией инфраструктуры какие-то угрозы наиболее вероятны для реализации, а какие-то наименее. То же касается и ущерба от реализованных инцидентов – он также может быть оценен по-разному.
Если еще несколько лет назад вопрос, связанный с массовыми заражениями банковской инфраструктуры вредоносным программным обеспечением, был крайне актуален, то сегодня данная угроза вызывает меньше опасений, так как современные атаки более «интеллектуальны» и носят таргетированный (целевой) характер – заражается конкретная точка, представляющая наибольший интерес для злоумышленника. В качестве примера можно привести инциденты, связанные с кражей денежных средств со счетов клиентов через каналы дистанционного банковского обслуживания. По статистике, в 90–99% таких случаев вредоносным ПО оказывается заражен именно компьютер клиента, с которого осуществлялся вход в системы ДБО. При этом совсем не обязательно, чтобы вредоносный код заработал сразу после попадания на ПК, он может долго «дремать» в пассивном режиме, ожидая, к примеру, поступления большой суммы на счет клиента (как правило, от нескольких дней до нескольких месяцев).
– Чем больше масштаб бизнеса, чем сложнее его организационная структура – тем сложнее ИТ-инфраструктура и соответственно задача обеспечения информационной безопасности (ИБ) бизнеса. Какова стратегия обеспечения ИБ ФГ «Лайф»?
– Основная задача, стоящая в настоящий момент перед информационной безопасностью ФГ «Лайф» и перед ИТ в целом, – поддержание долгосрочной бизнес-стратегии. С точки зрения ИБ это означает, что все сервисы и инновации, как уже существующие, так и создаваемые в результате реализации новых бизнес-инициатив, должны быть безопасными для конечного пользователя. Эти цели обеспечения ИТ-безопасности отражены на стратегической карте ИТ.
Кроме того, Финансовой группой в настоящий момент рекомендованы для развития следующие парадигмы информационной безопасности: риск-ориентированный подход к обеспечению ИБ взамен угрозо-ориентированному, сфокусированность на процессном управлении, «проактивный» подход, вовлечение в обеспечение ИБ бизнес-подразделений. Это позволит превратить информационную безопасность из «cost center» в «value-add».
– Для обеспечения ИБ на практике, по всей видимости, важна методическая база. Как вы относитесь к концепции Security Operation Center (SOC)? Нашла ли она отражение в стратегии/тактике отработки инцидентов ИБ Финансовой группы?
– Считаю, что SOC-концепция – это современный тренд обеспечения информационной безопасности и управления инцидентами. Проекты по созданию центра управления инцидентами информационной безопасности крайне масштабны для крупных компаний. Причем в подобных проектах одинаково важны и технологическая, и процессная составляющие. Необходимо не только правильно выбрать и внедрить разнообразные средства мониторинга, сбора и корреляции событий ИБ, но и обеспечить корректное и точное реагирование на инцидент, его обработку и быстрое восстановление прежнего состояния инфраструктуры, минимизировав насколько возможно ущерб, принять меры по превентивному противодействию подобным инцидентам. В ФГ «Лайф» подобный подход к обеспечению информационной безопасности активно развивается.
– Специалисты по ИБ не устают подчеркивать, что информационная безопасность – это процесс, который надо поддерживать непрерывно и целенаправленно. Как удается обеспечить непрерывность процесса обеспечения ИБ в Финансовой группе? Какие подходы/инструменты для этого используются?
– Именно процессное управление рекомендовано огромным количеством стандартов в области обеспечения информационной безопасности. Банки ФГ «Лайф» придерживаются стандарта Банка России по информационной безопасности (СТО БР ИББС), в свое время он был принят как основополагающий. Данный стандарт также рекомендует процессный подход к обеспечению информационной безопасности. Поэтому в соответствии со сроками, установленными в СТО БР ИББС, банки Финансовой группы осуществляют самооценку, выделяя места, на которые надо обратить внимание, реализуют мероприятия по повышению уровня ИБ, проводят аудит, составляют отчеты. Классический «PDCA» в действии.
– ЦОД – ядро ИТ-инфраструктуры современного бизнеса. Какие специфические задачи можно выделить в плане информационной безопасности ЦОД?
– Основная задача в обеспечении информационной безопасности ЦОД – обеспечение доступности. Требуемый уровень доступности достигается в ФГ «Лайф» за счет резервирования ключевых сервисов, как инфраструктурных, так и связанных с телекоммуникационными услугами. Кроме того, в Группе существует служба эксплуатации ЦОД.
В случае использования коммерческого ЦОД наряду с доступностью высокоприоритетным становится вопрос обеспечения физической безопасности в целях предотвращения несанкционированного доступа в помещения. В Финансовой группе арендуемые в коммерческом ЦОД площади располагаются на отдельном защищенном периметре, доступ в который контролируется банковскими СКУД. Эти площади оборудованы банковской системой видеонаблюдения. Большое внимание уделяется вопросу управления доступами сотрудников и подрядчиков, созданы соответствующие процедуры контроля. Таким образом обеспечивается полный контроль со стороны банковских служб, что максимально снижает перечисленные риски.
– Виртуализация ИТ-инфраструктуры удобна в плане обеспечения гибкости ИТ. Насколько реальны уже сегодня специфические угрозы виртуальной составляющей ИТ-инфраструктуры? Какие подходы/решения используются в Финансовой группе для обеспечения ИБ виртуальной части ИТ-инфраструктуры?
– Основная и наиболее актуальная угроза виртуальной инфраструктуры, существующая на данный момент, – атаки на гипервизор. Успешная атака на гипервизор способна привести к отказу всей инфраструктуры. Поэтому в первую очередь необходимо обеспечить ИБ гипервизора, что и реализуется в нашей Группе. Гипервизор размещен в изолированных сетях, особое внимание уделяется вопросам управления доступом с целью предотвратить несанкционированный доступ. Для защиты виртуальных машин применяются стандартные ИБ-средства.
– Какие угрозы ИБ для финансового рынка, на ваш взгляд, сегодня второстепенны или вовсе незаметны, но уже завтра-послезавтра могут выйти на первый план?
– На мой взгляд, продолжится тенденция разнообразных таргетированных атак, направленных на извлечение выгоды. Если говорить о конкретных областях, которые могут быть подвержены атакам, выделю все, что связано с мобильными приложениями. Эта область активно развивается, в том числе и в финансовой сфере, разрабатывается огромное количество приложений, многие из них являются платежными, а некоторые даже могут хранить данные банковских карт. «Apps» – это тренд, а вот в вопросах обеспечения безопасности пока можно отметить некоторое отставание. Такое масштабное развитие потенциально может привлечь в данную область и большое число злоумышленников.