Логотип сайта
Платежи и переводы

Ролевая модель «Ренессанс Кредита»

Интервью Дмитрия Стурова, исполнительного директора, начальника управления информационной безопасности «Ренессанс Кредит»

- В чем заключается специфика защиты информации в финансовом секторе? Чем она обусловлена?

- Главная отличительная черта финансов - это наличие платежных процессов, которые накладывают определенные требования и ограничения.

Поэтому я бы выделил три основные особенности в защите информации в финансовом секторе. Во-первых, это общий подход к защите информации, который основывается на защите ее целостности, то есть введение запрета на несанкционированное изменение, конфиденциальность, так как подобного рода информация всегда относится к банковской тайне, и доступность - возможность свободного использования клиентами платежных процессов.

Вторая особенность - это наличие сильного регулятора в банковской сфере, который не только следит за соответствием и актуальностью информационных стандартов, но и ведет большую постоянную работу по гармонизации всех нормативно-правовых актов.

И, наконец, третья составляющая - большое количество клиентов, которые потребляют банковские услуги ежедневно. А следовательно, банки должны быть готовы работать с большими объемами и нагрузками.

- Какие крупные проекты по информационной безопасности ваш банк завершил в 2016 году?

- На завершающую стадию у нас вышел большой проект - "Ролевая модель", который существенно облегчает функционирование всей информационной инфраструктуры банка. Мы провели большое внутреннее исследование по выявлению, группировке и классификации всех сотрудников банка в соответствии с их бизнес-ролями. Согласно этим бизнес-ролям мы сформировали группы доступов к той или иной информации. Система работает автоматически, и в течение 15 минут мы имеем возможность открыть доступ к необходимой информации, требующейся сотруднику для выполнения им должностных обязанностей. "Ренессанс Кредит" - банк розничный, многие позиции имеют массовый характер, много и переводов сотрудников внутри самого банка, поэтому внедрение "Ролевой модели" позволило нам существенно оптимизировать рабочее время, свести к нулю вероятность ошибки в предоставлении неправильного доступа какому-либо сотруднику.

Также в самом конце 2015 г. мы завершили сертификацию банка по стандарту Банка России СТО БР, получив внешнее соответствие от аудиторской компании. Согласно их заключению, мы получили четвертый уровень соответствия. Это очень высокая оценка, которую банк имеет по всем групповым показателям, таким как криптография, антивирус, защита мобильных сервисов и др.

Что касается менеджмента информационной безопасности, то здесь банк "Ренессанс Кредит" соответствует наивысшему баллу - пяти, так как вопросам безопасности всегда уделялось особое внимание. Еще в 2008 г. банк был сертифицирован по международному стандарту СО 27001.

Сейчас стандарт Банка России еще не является обязательным для исполнения всеми кредитными организациями и решение о соответствии ему фиксируется во внутренних документах банков, однако ведется активная работа по созданию нового ГОСТа в части информационной безопасности, и за его основу будет взят именно СТО БР. Ожидается, что к 2018 г. внедрение таких стандартов будет обязательным для всех.

- Приложения для онлайн-платежей являются излюбленной мишенью киберпреступников. Как ваш банк обеспечивает их безопасность?

- До недавнего времени считалось, что основные риски, связанные с онлайнплатежами, ложатся на клиентов, то есть именно клиенты теряли свои деньги в результате действий киберпреступников. В целях защиты банки стали активно использовать антифрод-системы, которые в автоматическом онлайн-режиме следят за совершаемыми платежами, и если по какому-либо показателю нарушаются антифрод-правила, то такие платежи сразу же блокируются для их дополнительной защиты.

Однако за последние полтора-два года ситуация кардинальным образом изменилась: мы все стали свидетелями того, как преступники сменили свои приоритеты, обратив более пристальное внимание на сами банки, системы межбанковских платежей и крупные платежные системы. Безусловно, размер хищений в подобном случае несопоставим с потерями физического лица. В результате таких хакерских атак некоторые банки теряли несколько сот миллионов рублей со своих корреспондентских счетов.

Поэтому мы подходим к вопросу информационной безопасности комплексно: с одной стороны, занимаемся защитой самого сервиса и банка в целом, с другой - активной работой с клиентами, в ходе которой мы проводим обучение и информирование клиентов об основных правилах безопасности: знание даже базовых принципов безопасности платежей способно существенно снизить вероятность мошеннических действий в отношении таких клиентов.

Кроме того, банки активно используют "тестовые" проникновения, в результате которых можно посмотреть, какие есть уязвимые места и что нужно предпринять для более эффективной защиты.

- Каковы основные векторы развития платежных онлайн-сервисов и интернет-банков с точки зрения обеспечения безопасности?

- Так как приоритеты преступных групп сместились, то сейчас все активнее разрабатываются новые способы защиты от таргетированных атак. Платежные системы и системы межбанковских переводов также повышают уровни защиты и меняют стандарты безопасности.

Так, например, SWIFT, а к этой системе подключено более 400 российских банков, с 1 апреля 2017 г. ввела дополнительные требования к антивирусным решениям, обеспечению и проверке целостности программного обеспечения и баз данных, квалификации и организации работы специалистов, а также к местам хранения устройств.

- Есть ли в вашем банке классификация инцидентов в соответствии с уровнем угроз?

- Безусловно, такая классификация инцидентов в банке есть, причем носит она расширенный характер и содержит множество атрибутов. В целом инциденты мы классифицируем по их критичности: высокий, средний, низкий; в зависимости от угрозы; реализации; величины затронутых активов. Также есть единая система хранения этих инцидентов, где мы ведем учет статистики, какие инциденты случались, а также осуществляем сбор регулярных метрик о состоянии защиты информации.

- Как вы видите развитие технологий информационной безопасности в банковской сфере в перспективе ближайших трех лет?

- Развитие технологий информационной безопасности будет связано с тем, что банки начнут уделять внимание тем активам, на которые они ранее не обращали внимания, так как риски появляются в совершенно неожиданных сферах.

Например, потенциальную угрозу несет возможная интеграция платежных систем с социальными сетями. Как только появится возможность вывода реальных денежных средств, сразу соцсети окажутся под пристальным вниманием преступников, став легкой добычей: пароли у многих пользователей слишком простые и не представляют труда для взлома у профессионалов.

Еще один тренд, который может вызывать повышенную опасность, - стремление многих организаций финансовой сферы к интеграции, глобализации и упрощению своего взаимодействия с клиентом. Многие сервисы полностью переходят в онлайн, получив возможность производить удаленную идентификацию клиентов, что тоже может стать еще одним фактором появления новых рисков.

Уязвимым местом с точки зрения хакеров также могут быть биржи. Если банки уже научились справляться с хакерскими атаками и у них начинают появляться эффективные механизмы защиты, то биржи, с широко распространенной практикой роботизированной торговли, представляют серьезный интерес. Поэтому в целом информационная безопасность будет "подстраиваться" под появляющиеся ИT-технологии, которые уже стали самостоятельными точками роста для многих направлений бизнеса. Кроме того, киберпреступники научились зарабатывать в том числе и на информационной безопасности, проводя аналитические исследования новых сервисов и выявляя их слабые места. Говоря о развитии технологий информационной безопасности, нельзя не упомянуть о том, что основным источником угроз по-прежнему остаются сотрудники компании, которые по различным причинам - влияние извне, халатность, ошибки - наносят организациям ущерб, с которым пока не могут сравниться даже хакерские атаки. Это было, есть и будет основной головной болью подразделений информационной безопасности.

Не стоит забывать и о теневом ИТ - самостоятельном выстраивании бизнес-подразделениями процессов "сбоку" от основных систем, используя для этого все доступные инструменты, начиная от настольных приложений типа Excel и заканчивая "молчаливым" использованием облачных сервисов или услуг сторонних технологических компаний. В связи с этим в настоящее время набирают обороты системы поведенческого анализа пользователей, которые, работая с огромным объемом данных, строят профили типичного поведения и выявляют аномалии.


Обратная связь
Если у вас есть вопросы или предложения, заполните форму обратной связи
8 800 200-0-981
круглосуточно, бесплатно по России
8 495 783-46-23
номер может использоваться для исходящих вызовов
Мобильный банк
Интернет-банк
Денежные средства застрахованы в государственной системе страхования вкладов
© 2007-2024, КБ «Ренессанс Кредит» (ООО). Лицензия Банка России №3354 от 26.04.2013 г. Лицензия на осуществление брокерской деятельности №045-14081-100000 от 05.11.2019 г.