Контакты
Подписка
МЕНЮ
Контакты
Подписка

Специфика проектов информационной безопасности в финансовом секторе

Специфика проектов информационной безопасности в финансовом секторе

В рубрику "Персоны" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Специфика проектов информационной безопасности в финансовом секторе

Мария Воронова
Заместитель начальника управления
информационной безопасности, Пробизнесбанк, ФГ Лайф

– Мария, расскажите, пожалуйста, какова специфика проектов по информационной безопасности в ФГ Лайф?
– Если говорить именно о проектной деятельности в области информационной безопасности, то она получила свое развитие в ФГ Лайф не так давно – несколько лет назад. В группе появляются новые системы и направления бизнеса, поэтому потребность в построении безопасных, защищенных технологий также растет. В качестве главной специфики проектов по информационной безопасности можно выделить следующее: ничего не внедряется с целью "просто внедрить". Любые проекты начинаются после высокоточных исследований, подтверждающих наличие в той или иной области определенных рисков информационной безопасности, которые требуется снизить. При этом никогда не внедряется просто техническое решение, всегда досконально прорабатывается будущий процесс, который состоит как из внедрения технологического решения, так и из построения организационной части, включающей в себя множество аспектов: от создания нового подразделения и набора людей до выстраивания операционного взаимодействия между подразделениями-участниками.

– Какая проблема в сфере ИБ стоит перед банковской отраслью в целом и перед ФГ Лайф в частности?
– Не секрет, что банковская отрасль уже несколько лет активно атакуется киберпреступниками, вследствие чего проблема кибербезопасности и защиты от фрода (fraud – мошенничество) становится одной из самых значимых. Способов мошенничества в сфере высоких технологий с каждым годом становится все больше, схемы, используемые преступниками, достаточно разнообразны. Это не только проблема для банковской отрасли, но и своеобразный вызов для нее, потому что обеспечение сохранности денежных средств клиентов – одна из наиболее важных задач для каждого банка.

– Какие технологии и разработки предлагаются на рынке для решения этой проблемы?
– В настоящее время рынок предлагает большое количество антифрод-решений от различных вендоров. Однако остается вопрос: существует ли панацея, или так называемая таблетка от всех ИБ-проблем? Мой ответ на этот вопрос – вряд ли. Помогает все в комплексе. Для снижения рисков информационной безопасности требуется построение комплексных, как процессных так и технологических, платформ обеспечения ИБ. То есть недостаточно просто внедрить антифрод-систему, защищающую каналы ДБО от определенных видов угроз, сначала необходимо построить модель угроз, изучить, какие угрозы и откуда (внешние или внутренние) могут воздействовать на инфраструктуру, после чего уже разрабатывать методы противодействия и оценивать их целесообразность. Если говорить о комплексном подходе, то его "китами", с точки зрения защиты от киберпреступлений, должны являться следующие процессы и технологии: управление уязвимостями (vulnerability management), наличие систем обнаружения и предотвращения вторжений (NIPS/NIDS) и защита от мошенничества (antifraud management). Дальнейшим шагом может являться построение процессов сбора и корреляции событий (SIEM), защиты от DDoS-атак, проверки кода на его качество и безопасность (application security testing) в случае, если организация занимается активной внутренней разработкой приложений или же покупает готовые на стороне. Для конкретной организации конечный набор рекомендованных защитных технологий может немного отличаться в ту или иную сторону, но в усредненном варианте, как правило, это выглядит именно так. При этом важно понимать, что внедрение описанных мер будет эффективным в случае наличия в организации фундаментального или базового уровня защиты. Иначе вся построенная защита в целом будет похожа на железный сейф с картонной задней стенкой.

- Какие решения по защите информации уже реализованы в вашем банке?
- На текущий момент внедрены средства защиты конечных точек (в том числе антивирусная защита), защиты интернет- и почтовых шлюзов, парольные политики и политики стандартизации рабочих мест, существуют технические средства, применяющиеся, как правило, с целью расследования инцидентов. Развиты процессы управления доступом на базе IDM-системы собственной разработки и разграничения доступом в конечных системах. Регулярно проводятся аудиты, часть из них автоматизирована. Кроме того, нередко проводятся "пилотные" проекты с целью ознакомления с новыми решениями на рынке ИБ. При всем этом присутствует понимание, что банку есть куда расти в вопросах информационной безопасности.

– Над какими ИБ-проектами вы сейчас работаете?
– В настоящее время мы внедряем антифрод-систему для контроля платежей в канале дистанционного банковского обслуживания юридических лиц и защиты от мошенничеств. Не секрет, что более 95% случаев мошенничества через каналы ДБО происходят по вине клиентов, тем не менее, банк должен обеспечивать безопасность транзакций в любом случае, это является как требованием законодательства, так и внутренней политикой группы с точки зрения обеспечения своего положительного имиджа и репутации. Параллельно мы занимаемся проектной деятельностью, направленной на предотвращение утечек конфиденциальной и чувствительной информации. Помимо этого, инициируются другие проекты, среди них – обеспечение безопасности разрабатываемых для финансовой группы приложений, защита банкоматов и платежных терминалов. Кроме того, ряд внутренних проектов, таких как приведение в соответствие с СТО БР ИББС, выполнение требований 152-ФЗ "О персональных данных" или выполнение требований 382-П, давно уже перешли в операционную деятельность: повышением текущего уровня соответствия требованиям мы занимаемся в регулярном порядке.

– Как вы оцениваете риски ИБ в банковском секторе?
– Риски информационной безопасности в банковском секторе всегда были высокими. Другое дело, что сейчас существует огромное количество мер и способов для их снижения, начиная с построения качественных процессов в области информационной безопасности внутри банка и заканчивая передачей требуемых ИБ-задач на аутсорсинг. Другим немаловажным аспектом является оценка рисков. Ведь если максимальный ущерб от реализации риска составляет 100 руб., а защитные меры потребуют вложения 1000 руб., наверное, такой риск имеет смысл принять или постараться закрыть его не столь дорогостоящими компенсирующими мерами.

Если говорить в целом, то процесс оценки рисков информационной безопасности должен быть непрерывным: разработали или актуализировали модель угроз, оценили существующие риски, ранжировали их по степени критичности, снизили наиболее критичные. Далее – все по кругу, как рекомендовано наиболее популярными стандартами в области ИБ, в частности, ISO 27005.

– По каким критериям происходит выбор систем ДБО в ФГ Лайф?
– В ФГ Лайф несколько систем ДБО, в частности, существуют отдельные системы для юридических и физических лиц. Для юридических лиц используется сторонняя, для физических лиц – собственная разработка банка. Кроме того, у нас есть мобильные банкинги, SMS-банкинги. И для ДБО физлиц, и для юрлиц постоянно производятся различные доработки, при этом основным критерием с точки зрения реализации нового функционала являются безопасность и возможные риски. На мой взгляд, переход в оценке приоритетных свойств от "юзабельности" функционала для клиента к вопросам его информационной безопасности – это практически переломный момент в развитии систем ДБО. Если говорить о других критериях выбора систем ДБО, то, конечно, немаловажным остается вопрос цены: оценивается, в первую очередь, стоимость внедрения, эксплуатации и дальнейшей поддержки той или иной системы дистанционного обслуживания.

Не секрет, что более 95% случаев мошенничества через каналы ДБО происходят по вине клиентов, тем не менее, банк должен обеспечивать безопасность транзакций в любом случае, это является как требованием законодательства, так и внутренней политикой группы с точки зрения обеспечения своего положительного имиджа и репутации.

– Сейчас много говорится про защиту персональных данных в свете принятия поправок в закон. Какие меры предпринимает ФГ Лайф, чтобы защитить данные своих клиентов?
– ФГ Лайф как оператор персональных данных начала уделять внимание вопросам защиты ПДн своих клиентов достаточно давно, еще до момента вступления закона 152-ФЗ "О персональных данных" в полную силу. Задача обеспечения сохранности клиентских данных и в настоящий момент является одной из наиболее актуальных. В целом, ее реализацию можно разложить на несколько крупных составляющих. Первое – нужно ограничить возможность ознакомления с ПДн клиентов тем сотрудникам, которым в этом нет необходимости в соответствии с их должностными обязанностями: это так называемый принцип "необходимо знать" (need to know). Второе – важно обеспечить конфиденциальность обработки данных в самих банковских системах, то есть защитить системы от взломов как извне, так и изнутри. Третье – необходимо защитить персональные данные от выхода за пределы охраняемого периметра (банка) посредством отправки их на внешние почтовые адреса, выгрузки в Интернет, копирования на съемные носители и так далее. Эта защита может быть реализована на базе DLP-систем. Четвертое – нужно обеспечить защиту персональных данных при их легитимной передаче третьим лицам, что можно достичь как технологическими мерами, так и организационными, например путем ограничения перечня этих третьих лиц и ввода строгих договорных обязательств по обеспечению защиты передаваемых персональных данных. И наконец, немаловажным аспектом является выстраивание в банке необходимых организационных процессов обеспечения информационной безопасности персональных данных: к ним можно отнести инвентаризацию персональных данных, определение уровней и классов защищенности, разработку внутренних регламентов обеспечения безопасности обработки персональных данных, внедрение программ повышения осведомленности в области защиты ПДн для сотрудников и многое другое.

– Каких угроз следует опасаться бизнесу в 2015 году?
– 2015 г. начался с известий о валовом количестве атак на мобильный банкинг. Не спасают уже ни дополнительные способы аутентификации с отправкой SMS-кодов для подтверждения транзакции, ни обязательные, с точки зрения законодательства, уведомления клиентов о совершенных платежах. Чаще всего мошенники производят либо подмену SIM-карты, либо заражение мобильного устройства (как правило, на платформе Android) с целью перехвата SMS-сообщений. Ни в первом, ни во втором случае клиент не догадывается о выводе денежных средств с его счетов, обычно он узнает об этом гораздо позже, после получения выписок по транзакциям. С учетом имеющейся статистики и последних тенденций, подобные атаки продолжатся в 2015 г. и дальше.

Помимо этого, с конца прошлого года по банкам прокатилось огромное количество атак на банкоматы. Реализации таких атак могли быть разными: в одних случаях это подключение физических устройств в периферию банкомата, загрузка с дисков или через USB-порты вредоносного ПО, в других – удаленное управление банкоматом посредством подключения в корпоративный сегмент сети. Результат один: в один прекрасный момент зараженный банкомат начинает "выплевывать" денежные средства либо после набора злоумышленником на pin-паде определенного кода, либо при подаче команды на выдачу денег через удаленное управление. Подобных угроз тоже следует опасаться.

Помимо всего выше перечисленного, нельзя не упомянуть тему кризиса и необходимости в связи с ним активной защиты клиентских данных и финансовой информации. Каким образом кризис может внести свой вклад в вопрос информационной безопасности? По стране уже прокатилась волна сокращений в различных сферах. "Обиженные" сотрудники, как правило, не любят уходить с текущего места работы с пустыми руками. В качестве хоть какой-либо моральной компенсации они забирают с собой, например, клиентские базы – это наиболее популярный вид утечки в финансовых организациях. Как следствие – отток и переманивание клиентов, использование их данных для злонамеренных мошеннических действий или даже шантажа. Данный вид угрозы приводит к прямому ущербу для бизнеса, и ему следует уделять должное внимание с точки зрения необходимости защиты. В целом, с развитием новых технологий появляются и другие новые угрозы, и бизнес должен это понимать и уделять достаточное внимание вопросам информационной безопасности

Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2015

Приобрести этот номер или подписаться

Статьи про теме