Аванпост: преступники сделают ставку на инсайдеров

Как могут измениться ключевые тренды банковской информационной безопасности в 2017 году? Насколько серьезны угрозы, связанные с развитием Интернета вещей? Какие корректировки вносит перевод бизнес-процессов на Agile-принципы? На эти и другие вопросы ответил Андрей Конусов, генеральный директор компании «Аванпост», одного из ведущих российских разработчиков систем идентификации и управления доступом к информационным ресурсам предприятия.

ПЛАС: Ваша оценка общемировой ситуации с информационной безопасностью в банковском секторе. Как прогнозирует Герман Греф, к 2020 году этот показатель во всем мире может достигнуть 1 трлн долларов. Чем, на ваш взгляд, обусловлено резкое увеличение крупномасштабных хакерских атак на дистанционные банковские сервисы и услуги, наблюдаемое во всем мире в 2015-2016 гг? Насколько стойкой окажется данная тенденция в наступившем 2017 году?

А.Конусов: В последние годы банки и другие финансовые организации, безусловно, стали самыми привлекательными целями для хакерских атак, поскольку в них аккумулируются и циркулируют в электронном виде наиболее крупные и привлекательные для злоумышленников суммы. По данным отчета компании Group IB, средняя сумма хищения при одной хакерской атаке на банк составляет 140 млн. руб. Вы только вдумайтесь, о суммах какого порядка идет речь! А ответственность за эти преступления минимальна. Да и умение их раскрывать, а главное проводить четкую доказательную линию в суде пока является безумно сложной задачей, как с точки зрения совершенства законодательной базы, так и с точки зрения уровня подготовки людей, проводящих расследования.

Так что сейчас мы имеем идеальную почву для дальнейшего роста кибер-преступности. Максимальная прибыльность при минимальных рисках! И конечно же эта ситуация с высокой вероятностью приведет к тому, что рост количества атак продолжиться и в 2017 году.

Справедливости ради, надо заметить, что работа по улучшению законодательной базы в вопросах противодействия кибер-преступлениям ведется. И очень большую роль в этом процессе занимает Центральный Банк, как ключевой регулятор банковской отрасли. Приведу лишь один пример. Сейчас активно обсуждается вопрос серьезного ужесточения ответственности за проведение мошеннических операций по банковским картам и даже готовиться соответствующий законопроект. Чтобы вы понимали масштаб того, что есть сейчас и что планируют ввести в будущем, приведу реальные цифры. Сейчас ответственность за подобные преступления составляет до 2-х лет условно, а в готовящемся законопроекте планируется ужесточить наказание до 8-ми лет реального заключения. И вот такие изменения действительно могут серьезно повлиять на сокращение подобных преступлений.

Но поскольку 2017 год уже наступил, а данный законопроект пока находиться в стадии обсуждения, то говорить о том, что эти изменения окажут серьезное влияние на уровень кибер-преступлений 2017 году, наверное, не стоит.

ПЛАС: Чем объясняются участившиеся атаки на банк «изнутри», когда целью преступников являются уже не клиентские счета, а центральная АБС банка, АРМ КБР, интерфейс системы SWIFT и т. п.? Насколько объективно мнение, что это связано, в том числе, с потерей работы большого количества  банковских специалистов, знания которых попали в распоряжение злоумышленников? Или основной причиной является нарушение мер информационной безопасности, включая низкий уровень защищенности компьютеров, ограничения доступа к ним и т. д.?

А.Конусов: Не думаю, что на эту тенденцию оказало какое-то влияние потеря работы банковскими специалистами. Систем класса АБС на рынке совсем не много, и для их изучения злоумышленники, обладающим во истину огромными финансовыми возможностями, могли найти профессиональных экспертов в любое время. И до кризиса и сейчас. Да и надо сказать, что уровень востребованности специалистов по информационной безопасности в банках только возрос. А ведь именно эти специалисты нужны злоумышленникам в первую очередь. Т.к. рядовые операционисты и банковские аналитики, ряды которых подверглись наибольшему сокращению, работали с АБС и другими банковскими системами лишь как пользователи. А, следовательно, не обладали сакраментальными знаниями об их внутреннем устройстве и тем более о возможных уязвимостях.

Я вижу причины увеличения атак на банк «изнутри» не в нарушениях мер ИБ, а как раз в повышении уровня информационной безопасности в банковском секторе и уровня осведомленности сотрудников кредитных организаций о базовых принципах безопасности. И если раньше для проникновения вредоносного кода в сеть банка было достаточно просто разослать зараженные письма или осуществить незаметный взлом, то теперь эти внешние атаки чаще всего качественно блокируются и пресекаются ИБ системами банков. Вот и остается только самый сложный и опасный путь, поиска или внедрения инсайдера. А использовать инсайдеров они будут для получения необходимой для организации атаки информации и первичного заражения троянами сетей банков.

ПЛАС: Интересы бизнеса, диктующие максимально быстрый запуск на рынок нового сервиса, и необходимости обеспечить при этом максимально возможный уровень безопасности, часто конфликтуют, причем зачастую правила игры здесь диктует именно бизнес. Сегодня на запуск эффективного информационного сервиса может потребоваться не более нескольких недель, в то время как на то, чтобы сделать этот сервис действительно защищенным, действующие документы регуляторов заставляют тратить годы. По мнению ряда экспертов, на этом фоне нужно как можно скорее адаптировать требования регуляторов к реалиям современного рынка. Насколько справедливо подобное мнение?

А.Конусов: Я бы не проводил параллели между необходимостью обеспечения реальной безопасности некоего нового сервиса и сроками выхода документов регуляторов. Само собой, выпуск любого регулирующего документа - это очень долгий и сложный процесс. Поскольку этот документ должен учитывать специфику очень большого числа организаций, а также особенности уже существующей нормативной базы и мнения смежных министерств и ведомств. В итоге не редко обсуждения сложных моментов растягиваются на многие месяцы, а иногда и годы. И реальных инструментов ускорить эту работу, к сожалению, очень мало.

Но для обеспечения безопасности отдельно взятого сервиса в отдельно взятой организации, да еще и в сфере, не описанной регулирующими документами, решить вопросы защиты можно относительно оперативно. Другое дело, что бизнес часто не хочет инвестировать в это деньги или не хочет усложнять процесс предоставления этой услуги для клиентов в угоду требованиям безопасности. Но это уже вопрос управления рисками в конкретном банке, а также профессионализма сотрудников ИБ - насколько качественные и бизнес-ориентированные средства защиты они смогут предложить и на сколько убедительно смогут их обосновать перед руководством своей организации.

ПЛАС: Если говорить о технологической стороне вопроса, то, по мнению экспертов, использование Agile-метода для гибкого управления проектами и разработкой ПО, которые требуют темпы современного бизнеса наряду с не менее гибким подходом к проектированию и внедрению бизнес-процессов, зачастую подразумевает отказ от построения бизнес-системы на основе планирования и постепенной реализации всех ее слоев, в том числе – и «слоя» информационной безопасности. Таким образом, сегодня не остается места для «навесной» безопасности: когда по всем правилам проектирования выстраивается бизнес-система, а затем на нее «навешиваются» системы ИБ. С результатами нам приходится сталкиваться каждый день, особенно критичны последствия в финансовой сфере, включая банковский сектор. Что можно (и нужно) предпринять, чтобы выйти из этого замкнутого круга – как на уровне разработки, так и на уровне реализации бизнес-стратегии?

А.Конусов: Ответ на этот вопрос очевиден. Если вся организация переводит развитие своих информационных систем и бизнес процессов на Agile –принципы, то и подразделения ИБ не имеют права остаться в стороне. Им необходимо перестать быть некой таинственной и обособленной структурой, делающей что-то и где-то на благо компании, и становиться более открытыми и бизнес-ориентированными. Физически это должно выливаться в то, что представители ИБ должны входить в рабочие группы, планирующие и создающие те самые мини-изменения, чтобы их мнение влияло на учет требований не только бизнеса, но и безопасности.

Но конечно и безопасникам, оказавшимся в такой непривычной для них среде, потребуется серьезно изменить свое мировоззрение, чтобы совместно с командой видеть возможности и их ценность, а не только выявлять угрозы и на этом основании тормозить все развитие.

Другими словами, вместо упомянутой Вами «навесной» безопасности, компании должны будут переходить к безопасности, встроенной в свои процессы развития.

ПЛАС: Буквально пять лет назад изменения информационных систем проходили раз в месяц, а чаще – раз в квартал. Было время провести тестирование в лабораторных условиях и заказать сторонний аудит безопасности. Сегодня в условиях Agile изменения идут уже раз в 2-3 дня, и каждое изменение бизнес-системы несёт в себе угрозы ИБ. Что смогут сделать защитники информации, если изменения будут идти чаще: каждый час, каждую минуту? Кому будет нужен penetration test (тест на проникновение), если он длится неделю, а изменения идут ежедневно? Какой вы видите выход из создавшейся ситуации?

А.Конусов: Давайте честно признаемся, что информационные банковские системы, и особенно АБС - это огромные комплексные продукты. Конечно постоянные требования регуляторов и новые бизнес-идеи заставляют достаточно часто вносить в их работу небольшие изменения. Но ключевой термин здесь «небольшие».  Поэтому необходимо прямо на уровне разработки этих изменений дорабатывать и систему автоматического тестирования этого функционала, как на корректность работы в обшей большой системе, так и на появление новых уязвимостей в связи с введением этой новинки в промышленную эксплуатацию.

Ну а относительно penetration test я абсолютно уверен, что эта услуга будет востребована еще долгие годы. Поскольку позволяет реально проверить на прочность всю текущую ИТ-инфраструктуру и ИБ-системы банка в условиях, максимально приближенных к боевым, а не тестировать отдельно взятые «фичи».

ПЛАС: Как отметил в ходе Международного банковского форума заместитель начальника главного управления безопасности и зашиты информации Банка России Артем Сычев, есть основания ожидать, что с конца 2016 года злоумышленники активизировать работу по рассылке вредоносных программ в адрес кредитных организаций. Практика показала справедливость такого рода прогнозов. Насколько российские банки готовы к такому развитию событий? Насколько готова к нему отечественные разработчики антивирусных решений в целом?

А.Конусов: Действительно, основываясь на опыте прошлых лет, когда активность хакеров возрастала ближе к концу года и особенно в декабре, представители Центрального Банка и Правоохранительных органов делали заявления о возможности массированных кибератак на финансовые организации.

Однако в одном из последних интервью, сделанных уже в феврале 2017 года Артем Михайлович Сычев сообщил что «Декабрь прошел спокойно. То, что мы заранее сделали несколько предупреждений, сориентировало банки и помешало активным действиям злоумышленников».

Тот факт, что в 2016 году удалось переломить тенденцию, которая с завидной регулярностью повторялась много лет до этого, свидетельствует о том, что общий уровень банковской информационной безопасности развивается в правильном направлении и вышел на достаточно высокий уровень, адекватный нынешнему уровню угроз.

ПЛАС: Как вы оцениваете имеющийся опыт и перспективы использования банками схемы аутсорсинга безопасности информации? Какие преимущества обеспечивает такой подход? Как риски существуют на этом пути? Какие ключевые требования стоит предъявлять к партнерам? Какие направления ИБ не стоит отдавать на аутсорсинг никогда?

А.Конусов: Тема аутсорсинга является в настоящее время одной из самых популярных на рынке ИБ. Хотя, как обычно бывает с популярными темами, уровень разговоров о них значительно опережает реальную готовность поставщиков этих услуг их оказывать, а потребителей их приобретать. Но перспективность этой темы сомнений не вызывает.

Для эффективного противостояния современному уровню кибер-преступников необходимо использовать самые современные средства защиты, содержать штат высококвалифицированных специалистов, да еще и быть готовыми отразить атаку в любое время дня и ночи. Очевидно, что подобная оборона стоит очень недешево, и по карману далеко не всем финансовым организациям. Да и вероятность и частота атак на отдельно взятый банк, к счастью, не настолько велика, чтобы бизнес с легкостью рвался инвестировать в это крупные суммы, достаточные для создания «непреступной крепости» в масштабах отдельно взятого банка. А вот возможность регулярно оплачивать некую разумную сумму за то, что твоей безопасностью будет заниматься профессиональная компания выглядит вполне логично. Тем более, что такая компания за счет обслуживания многих аналогичных клиентов, имеет экономически обоснованную возможность содержать и самые современные технические средства, и достаточное количество действительно высококлассных специалистов, да еще и оказывать услуги круглосуточно, за счет посменной работы.

Конечно у классического руководителя службы ИБ, да еще и в такой консервативной отрасли как банковская, наверняка будет куча психологических сомнений о том, не опасно ли отдавать такие важные функции внешней компании. И здесь мне очень импонирует позиция Центрального Банка, который уже приступил к процессу разработки Рекомендаций по «Аутсорсингу Информационной Безопасности». И есть основания полагать, что до конца 2017 года этот документ будет согласован и утвержден. А поскольку его разработка идет в тесном сотрудничестве с экспертами отрасли ИБ, то можно быть уверенным, что качество его проработки будет очень достойным.

А дальше вполне легко предположить, что появление подобного документа от уважаемого регулятора, снимет те самые психологические опасения перед представителями банковской безопасности, и тем самым придаст сильное ускорение спросу на услуги аутсорсинга, который в свою очередь спровоцирует рост предложения.

ПЛАС: Какие наиболее актуальные и критичные угрозы информационной безопасности в банковском секторе вы могли бы назвать – сегодня и на ближайшее будущее? Насколько уязвимы в этом отношении мобильные устройства? POS-терминалы и mPOS? Насколько серьезные риски, на ваш взгляд, обусловлены развитием Интернета вещей?

А.Конусов: Работа по противодействию хакерским атакам очень напоминает игру в догонялки. Злоумышленники постоянно находятся в поисках новых способов кражи и взлома, а люди, осуществляющие защиту, должны оперативно выявлять и мгновенно реагировать на все новые и новые вызовы. Поэтому я бы не стал сейчас гадать о том, что еще смогут придумать криминальные умы в наступившем году. Пока заметны следующие тенденции: возросло число успешных хищений с использованием Android-троянов. Все чаще стали предприниматься попытки атаки на SWIFT. Продолжают активно совершенствоваться технологии для организации целевых атак. Как уже было сказано выше, все чаще хакеры пытаются использовать в своей деятельности инсайдеров.

Будет увеличиваться и число DDoS-атак с целью последующего вымогательства. И ушедший 2016 год стал знаменателен тем, что именно в нем для проведения DDoS-атак стал активно использоваться интернет вещей. Так в ноябре были атакованы сайты восьми кредитных организаций, включая и сайт Центрального Банка. И в этой атаке были активно задействованы бытовые роутеры и интернет-видеокамеры.

Так что уверенно можно говорить, что в наступившем 2017 году скучать нам не придется!

Однако в завышении хочу отметить и очень значимое событие для информационной безопасности всей банковской отрасли. С 2017 года Центральный Банк впервые начал проводить проверки систем дистанционного банковского обслуживания (ДБО) на предмет их защищенности от киберугроз и последующих мошеннических действий.

В этом году планируется провести более ста подобных проверок. И важно, что по итогам выявления проблем с безопасностью систем ДБО планируется введение дополнительной ответственности для банков. Пока ЦБ рассматривает два варианта: либо требования к увеличению капитала банка, либо начисление дополнительных резервов на величину выявленного риска. В любом случае любая из этих мер будет стимулировать банки принять меры по минимизации выявленных рисков, т.к. их игнорирование станет экономически не выгодным.

И на мой взгляд, это нововведение даст очень серьезный толчок к дальнейшему развитию отрасли банковской информационной безопасности.

Андрей Конусов, генеральный директор Аванпост

ПЛАС Журнал