Банковская сфера является одной из наиболее требовательных к обеспечению высоких стандартов информационной безопасности. Банк Хоум Кредит относится к крупнейшим розничным банкам в России. Он занимает второе место по размеру сети отделений, а также входит в ТОП-5 банков по размеру портфеля кредитов физическим лицам и объему срочных вкладов населения. Об особенностях обеспечения информационной безопасности в столь крупном розничном банке нам рассказал Юрий Лысенко, начальник управления информационной безопасности Банка Хоум Кредит.
– В чем концептуальная сложность обеспечения информационной безопасности бизнеса сегодня?
– Основная сложность при обеспечении ИБ в современных условиях заключается в том, что по отношению к ИТ-инфраструктуре больше нет «своих» и «чужих» пользователей программного обеспечения. Сегодня все – «чужие». Парадигма ИБ изменилась кардинально. Не обязательно речь идет об облачных технологиях или инсайдерстве: обычная программа может быть плохо написана, обновление плохо протестировано и т. д. Все это порождает уязвимости в системе информационной безопасности в самых неожиданных местах, а также новые угрозы корпоративной ИС.
– Многие специалисты по информационной безопасности являются сторонниками централизации компетенций банка по обеспечению ИБ. А существуют ли среди банковских специалистов-безопасников сторонники децентрализации управления ИБ?
– Это зависит от специфики работы банка и видения руководством того, как бизнес будет развиваться. Существуют розничные банки, есть те, кто занимается корпоративным бизнесом, ценными бумагами, существуют те, кто включает в себя все направления. Каждая из сфер деятельности имеет свои риски, а значит, и свой подход к обеспечению информационной безопасности. Хоум Кредит специализируется на рознице, и концепция централизованного управления ИБ соответствует специфике нашего бизнеса. В нашей клиентской базе 29 млн клиентов, почти 6 тыс. офисов. Банк обладает мощной ИТ-инфраструктурой, которую необходимо контролировать из единой точки, обеспечивая взаимодействие службы ИБ банка и ИТ-департамента.
– Что удалось реализовать на практике в контексте централизации ресурсов по ИБ? Что предстоит сделать в перспективе?
– В банке внедрено множество специализированных инструментов и решений, обеспечивающих многостороннюю, комплексную защиту информации. В частности, это связано с необходимостью подтверждения соответствия банка международным стандартам карточных платежных систем PCI DSS, предъявляющих к информационным системам банка – эмитента банковских карт очень жесткие требования в плане обеспечения безопасности информации. Уже в третий раз банк проходит аудит на соответствие PSI Data Security Standard, ежегодно получая сертификат, подтверждающий выполнение требований данного стандарта.
– В ИТ-инфраструктуре банков последние годы появилась новая важная компонента – ЦОД. Где расположен основной ЦОД банка? Предусмотрена ли в ИТ-инфраструктуре резервная площадка?
– Банк имеет основной и резервный ЦОД. Основной ЦОД, собственность банка, расположен в Обнинске (в этом городе наш банк является одним из крупнейших работодателей с примерно 2 тыс. сотрудниками). Мощности и площадка для резервного ЦОД арендуются в Москве. Главные промышленные информационные системы банка, включая базы данных, а также инструментарий, обеспечивающий ИБ, расположены в основном ЦОД. Он также является центром обеспечения комплексной информационной безопасности банка. Банк обеспечивает как физическую защиту оборудования, на котором работают информационные системы, так и системы поддержки жизнедеятельности оборудования, такие как резервное питание, охлаждение, пожаротушение и т. п.
– При такой централизации особую роль играет пропускная способность и надежность телекоммуникационных каналов. Существует ли проблема безопасности передачи информации через телекоммуникационные каналы? Как она решается?
– Данной проблемы как таковой нет. Передаваемая информация шифруется, сами каналы резервируются (договоры заключены с несколькими телекоммуникационными провайдерами) и при необходимости пропускная способность может быть увеличена в разы в течение короткого времени.
– Одни и те же термины часто трактуются специалистами по-разному. Распространенная в среде специалистов по ИБ трактовка концепции Security Operation Center (SOC) подразумевает постоянный мониторинг инцидентов ИБ и реагирование на них. Как вы оцениваете данную концепцию?
– Трактовка правильная. И сама по себе концепция SOC – тоже. Можно поставить любое количество инструментов и решений, но если вы не будете контролировать инциденты ИБ и своевременно реагировать на них, то грош цена всем этим системам.
– Последние годы специалистами обсуждается возможность обеспечения ИБ бизнеса внешними специализированными компаниями. На ваш взгляд, целесообразна ли передача банком функций обеспечения ИБ на аутсорсинг?
– В отдельных случаях это действительно целесообразно. Например, мы передали на аутсорсинг защиту от DDоS-атак. Выполнение этой задачи предполагает круглосуточный мониторинг, который осуществляют специалисты узкого профиля. Штатные сотрудники не обладают необходимыми компетенциями и могут просто не заметить атаку или не суметь ее отразить, а это может привести к отказу в обслуживании. Любой простой сегодня приводит к потерям огромных сумм, поэтому недопустим.
– Какие дополнительные риски берет на себя банк при передаче функций ИБ на сторону?
– Риск банкротства и ухода аутсорсера с рынка. Также существует риск доступа к конфиденциальной информации. Например, в случае DDоS-атаки при переключении системы на режим очистки трафика сотрудник аутсорсинговой компании может получить доступ к банковским транзакциям, совершаемым в данный момент.
– Как банк может защитить себя в такой ситуации?
– На уровне SLA прописать положения о конфиденциальности информации и в том числе предусмотреть штрафы в случае несоблюдения критичных с точки зрения непрерывности бизнеса параметров (например, предельно допустимая длительность простоя в случае атаки). Крупные аутсорсеры идут на это, прописывая в договорах стоимость простоя каждого часа, и даже минут.
– Безопасность информации обеспечивается не только техническими средствами, но и организационными. Какие организационные моменты прежде всего следует держать на контроле службе информационной безопасности банка?
– В первую очередь – обучение персонала основам информационной безопасности, повышение грамотности в этой области. Обучение не обязательно означает прохождение специализированных курсов. Не так давно мы запустили на всех мониторах специальные скрин-сейверы, которые в шутливой форме регулярно напоминают пользователям 10 основных правил безопасной работы на компьютере. Мы регулярно распространяем специальные корпоративные дайджесты по различным вопросам ИБ: например, правилам использования пластиковых карт, предотвращению мошенничества с личными мобильными устройствами и другим вопросам. При этом обучать ИБ необходимо как сотрудников операционных подразделений, так и ИТ-служб банка. В силу специализации сегодня ИБ и ИТ имеют свои особенности, поэтому ИТ-специалистов также надо обучать аспектам безопасности. Особое внимание в плане обучения ИБ уделяется в отношении программистов, поддерживающих и развивающих автоматизированные банковские системы (АБС). На разработчиках лежит особая ответственность, ведь их ошибки могут обойтись очень дорого. Повышенное внимание к обучению персонала диктуется в числе прочего и требованиями PCI DSS, о которых я уже говорил.