"Наблюдается тенденция перехода внимания мошенников от банковских денег к деньгам клиентов"

Исполнительный директор, начальник управления информационной безопасности "Ренессанс Кредит" Дмитрий Стуров в интервью нашему изданию дал оценку ситуации на банковском рынке с точки зрения кибербезопасности, определил наиболее перспективные и эффективные технологии защиты, а также высказал свое мнение по вопросу формирования киберкультуры в нашем обществе.

"Банковские технологии": Дмитрий, как вы оцениваете ситуацию в сфере ИБ банков на начало 2020 г.? Какие основные тенденции будут господствовать на рынке?

Дмитрий Стуров: Наблюдается тенденция перехода внимания мошенников от банковских денег, доступ к которым злоумышленники получали через платежные системы (АРМ-КБР, SWIFT и т. п.), к деньгам клиентов. То есть имеет место развитие по спирали - именно клиентские деньги были основной целью 6-7 лет назад. В последнее время выросли риски, реализуемые через утечку данных из банков. Раньше с украденными данными особо не умели работать, теперь мошенники их используют в скриптах, строя все новые и новые схемы кражи денег у клиентов банков.

"Б. Т.": Среди таких новых технологиий, применяемых в ИБ, как блокчейн, VR, ИИ, роботы и т. п., какие вам кажутся реально работающими?

Д. С.: На мой взгляд, из перечисленного пока работает только роботизация процессов. Остальное - громкий маркетинг, который либо еще на волне хайпа (ИИ), либо сходит с него (блокчейн). Однако все эти технологии, даже если они не будут реализованы, становятся платформой для чего-то нового, поэтому говорить, что все активности ушли в песок, нельзя.

"Б. Т.": Какие технологии обеспечения ИБ являются перспективными, по вашему мнению?

Д. С.: В настоящий момент отрасль не нуждается в каких-либо прорывных и сложных технологиях в области ИБ. Минимизация подавляющего большинства рисков ИБ возможна при помощи того, что уже есть на рынке. Вопрос лишь в эффективном использовании. Однако всегда идут исследования, появляются Next-Generation решения, которые сложны, дороги, решают узконаправленные задачи, но интерес к ним все равно имеется.

"Б. Т.": Как вы думаете, можно ли победить социальную инженерию? Как ей противостоять?

Д. С.: Данную уязвимость нельзя искоренить до конца, потому что нельзя убрать человека из процессов обслуживания. Нужно бороться с факторами, которые делают социальную инженерию эффективной - подмена номеров, ненадежная двухфакторная аутентификация, утечки данных. Что касается вопросов повышения осведомленности, то банки не могут "дотянуться" до всех клиентов, например, до тех, кто не является активным пользователем сети Интернет - здесь было бы полезно подключение регулятора, например, образовательные ролики на ТВ от имени Банка России и т. п.

"Б. Т.": Как показать эффективность работы CISO бизнесу?

Д. С.: Это большая и сложная работа, которую нужно провести CISO. Если говорить коротко, то необходимо понять ожидания от ИБ заинтересованных сторон в организации, попытаться оцифровать их и построить метрики. Данные ожидания могут быть вполне как конкретными, например, внутренний контроль ожидает, что будут исполняться все нормативные документы, так и достаточно расплывчатыми, например, чтобы у организации "не было проблем по части информационной безопасности". С первыми можно работать - они вполне измеримы. С абстрактными ожиданиями можно попробовать поработать, например, при помощи интегральных показателей.

"Б. Т.": Каковы угрозы открытому API и наиболее действенные методы обеспечения безопасности в открытых API?

Д. С.: Безопасности API уделяется мало внимания. Традиционно веб-угрозы рассматривали применительно только лишь к фронтальным приложениям - фильтровали вводимые данные, проводили типизацию параметров, настраивали веб-серверы в соответствии со стандартами и лучшими практиками. Но API обычно рассматривается как доверенная зона, то есть сервер-приложение полностью доверяет источнику и не проводит никаких проверок. По крайней мере, это считается стандартным подходом де-факто, и я редко встречаю исключения. На мой взгляд, с развитием микросервисной архитектуры и, тем более, c появлением открытых API, безопасности такого рода взаимодействия нужно уделять больше внимания. Уже есть решения, которые отслеживают профили вызова приложений и сигнализируют о выявленных аномалиях.

"Б. Т.": Каких законодательных и регуляторных инициатив и последствий от их принятия вы ожидаете в 2020 г.?

Д. С.: Ожидаем от Банка России нового положения об управлении операционным риском, в которое будет включено управление риском информационной безопасности, внесения изменений в формы обязательной отчетности, которые неизбежно произойдут вслед за пересмотром 382-П, а также появления нового ГОСТа по управлению риском. Последствия от принятия, в первую очередь, вызовут сначала бурное обсуждение в отрасли, разнообразные трактовки написанного, разъяснения регулятора, а уж только потом выработку какого-то общего, устраивающего всех подхода к реализации таких инициатив на практике.

"Б. Т.": Проблема киберкультуры: как ее формировать и сколько на это потребуется времени?

Д. С.: На мой взгляд, термин "киберкультура" несколько искусственно затянут в область информационной безопасности, лучше говорить о повышении осведомленности сотрудников в этой области. Как эффективно выстроить этот процесс - зависит от организации: ее структуры, размеров, характера взаимодействия сотрудников и подразделений. Единого подхода нет. Где-то будут эффективными легкие красочные слайды, где-то - формальные документы "под роспись". Где-то нужно объяснять сотрудникам, почему их действия могут привести к нежелательным последствиям для них самих и организации, где-то будет работать безусловная "запретиловка". Задача везде одна и та же - сформировать понимание пользователя о том, как действовать в стандартных типовых ситуациях, и объяснить, что делать в "любой непонятной ситуации". Для ключевых сотрудников, отвечающих за чувствительные процессы компании, будут полезны более глубокие знания, которые можно дать, например, в формате "киберучений" по информационной безопасности.