Подписаться
Читать в телеграм
«Эффект зарубежного банка»: Росбанк в новой ИБ-реальности
Дата публикации:
11.10.2022
Посетителей:
832
Просмотров:
840
Время просмотра:
2.3
Почему уход западных вендоров не сильно повлиял на Росбанк?
Как изменилась ИБ-стратегия банка в связи с кризисом?
«Серые носороги» на российском рынке ИБ.
— Выросло ли количество кибератак на Росбанк за последние месяцы?
Да, причем значительно. Увеличилось давление на всю отрасль, яркий пример — масштабные DDoS-атаки на российские банки со стороны других государств. При этом из-за ухода вендоров с рынка эффективность зарубежных средств защиты либо понизилась, либо упала до нуля. Это привело к возникновению дополнительных рисков. Тем не менее, Росбанк продолжает развиваться, и ИБ должна оставаться эффективной, поэтому где-то пришлось перестраиваться, а где-то вводить новые ограничения и меры контроля.
Например, мы ввели дополнительные ограничения на доступ к интернет-ресурсам, чтобы снизить риск фишинга и закачки зловредов. Делаем баннеры на внутренних ресурсах, проводим обучающие рассылки, чтобы коллеги внимательнее относились к входящим письмам. Плюс скорректировали права доступа пользователей к критичным системам, чтобы минимизировать последствия возможных атак.
— Сотрудники банка стали бдительнее относиться к вопросам ИБ, например, к тем же фишинговым рассылкам?
И да, и нет. Нам стали чаще писать о потенциально опасных письмах, но это связано как с повышением бдительности сотрудников, так и с временным снижением эффективности некоторых средств защиты, как мы уже обсуждали. Раньше у нас прекрасно отрабатывали зарубежные антиспам-машины и другие решения. Но их эффективность поддерживалась за счет ежедневных обновлений, доступ к которым мы потеряли, как и многие другие компании. В результате до конечного пользователя стало доходить чуть больше спама, соответственно, выросло и количество обращений.
— По вам сильно ударил массовый уход вендоров?
Росбанк входил в международную группу Societe Generale, у которой есть свои ИБ-стандарты, поэтому в основном мы использовали зарубежные решения. Не ощутить ухода вендоров в этих условиях невозможно. При этом не могу сказать, что все пропало, и ИБ в банке остановилась.
У нас выстроена эшелонированная защита: на каждую угрозу приходится более одной меры противодействия и контроля. Возьмем, к примеру, прокси. Вендоры, решениями которых мы пользовались, ушли, и мы потеряли доступ к подпискам. Но в целом прокси-сервис в банке остался, плюс мы оперативно ввели дополнительные ограничения на доступ пользователей к внешним интернет-ресурсам. В результате риск вырос, но не катастрофически.
Отмечу, что по большей части мы использовали on-premise, а не облачные решения, поэтому продуктов, которые совсем перестали работать, у нас было буквально единицы. Например, когда отключили облако от Qualys, мы потеряли функционал выявления уязвимостей. Антивирусы же стояли локально или были отечественными: часть защиты обеспечивали решения Kaspersky, часть — McAfee, поэтому здесь ИБ не потеряла эффективность.
Нужно отдать должное западным вендорам — не все сразу отключали свои решения. Опять же, нам помог «эффект иностранного банка»: ограничения доходили до нас чуть медленнее, чем до других компаний.
— Изменилась ли стратегия банка в части ИБ?
Мы оперативно скорректировали ее с учетом новых вводных, но глобально угрозы не изменились: возросла вероятность реализации некоторых из них, а профиль по большей части остался прежним. Де факто стратегические изменения сводятся к импортозамещению технологий ИБ ушедших производителей для митигации соответствующих рисков. Это шаг на месте, а не вперед, но уж точно не назад.
Также в связи с продажей банка потеряли приоритет задачи, связанные с выполнением международных требований Societe Generale. Многие подходы и практики приходили к нам из материнской организации, отчасти она была драйвером повышения зрелости ИБ. Но не могу сказать, что мы полностью от них отказались. Для нас это своеобразные «скрижали» — мы стараемся сохранять лучшие рекомендации, но не делаем лишнего. В целом уровень управления безопасностью в мире выше, чем в России, поэтому грех не пользоваться best practice. Это всегда позволяло Росбанку быть одним из лидеров рынка в части ИБ. Мы думали о многих нюансах задолго до других российских банков и регулярно привлекали «Инфосистемы Джет» для реализации таких проектов и совместного взращивания экспертизы.
Интересный момент: в целом российский ИБ-рынок гораздо более зрелый, чем рынок ИТ-продуктов. Да, не все средства защиты эффективны настолько, насколько бы хотелось, но они есть, и с этим можно работать. Стратегия ИБ-импортозамещения в Росбанке была утверждена достаточно быстро.
Сегодня «Инфосистемы Джет» участвует в нескольких проектах банка по импортозамещению. Кроме того, недавно мы вместе завершили классическую процедуру аудита PCI DSS.
Приходят серые носороги
— ИБ-решения на базе Open Source для вас под запретом?
Многие средства защиты ценны именно своей интеллектуальной составляющей: за ними стоит R&D — исследования, лаборатории и т. д. В Open Source этого нет, соответственно, его эффективность намного ниже. Чтобы антивирус работал качественно, нужны аналитики, и открытое ПО просто не может конкурировать здесь с коммерческими продуктами. Аналогично с Vulnerability Management: за теми же Qualys и Tenable стоят лаборатории и люди, которые выявляют уязвимости и формируют актуальную базу.
В то же время для нас важна стабильность работы систем, а в случае Open Source никто не может ее гарантировать. Пойти на такое с нашим риск-аппетитом мы не можем. Более того, в новой реальности открытое ПО само по себе стало угрозой — в него легко вставить зловредный код и нанести урон компании. Этот момент отражен в ИБ-стратегии банка: раньше мы считали Open Source «полудоверенным», а теперь — «недоверенным». Да, Росбанк продолжает использовать открытое ПО для решения некоторых ИТ-задач, но мы стали гораздо пристальнее следить за его безопасностью.
Не существует более или менее опасных атак, все угрозы равноценны.
— Возможно ли появление закладок в продуктах западных вендоров?
Думаю, да. Это один из рисков, который мы учитываем в части иностранных решений. Первый, самый очевидный — закладки в средствах защиты. Второй — зарубежные продукты в любой момент могут выключить извне. Третий риск — даже если вендоры вернутся, они снова могут уйти. К сожалению, доверие исчезло не только к продуктам, но и к производителям.
— Год назад Росбанк внедрил платформу RSA Archer. Есть ли у вас планы по ее развитию?
Цель платформы — сделать ИБ-процессы более структурированными и прозрачными как для ИБ-подразделения, так и для банка в целом. Ей пользуются не только безопасники, но и другие сотрудники — владельцы и администраторы ИС и т. д. Процесс управления уязвимостями в Росбанке построен на базе RSA Archer, и мы продолжим развивать его с учетом накопленного опыта, замечаний аудиторов и внутренних пользователей.
— Чего отрасли ждать в ближайшем будущем и к чему готовиться в перспективе?
В первую очередь — ужесточения требований и надзора со стороны госорганов, в том числе с точки зрения комплаенс. Другой важной особенностью будет продолжение технологической изоляции, которая повлияет на ИТ- и ИБ-составляющие отрасли. Это основные тренды, но неожиданности могут случиться в любой момент.
— Будет ли нарастать кадровый голод в ИБ?
Да, это как раз связано с новыми требованиями регуляторов. Во многих отраслях и компаниях ИБ была вторична и зачастую подчинялась ИТ-подразделению. Теперь, когда безопасность выделяется в отдельную структуру, конкуренция за людей вырастет и кадровый голод станет сильнее.
Чтобы в этих условиях найти хороших специалистов, нужно применять комбо-подход. Во-первых, мы продолжаем мониторить рынок. Во-вторых, растим собственные кадры (в Росбанке есть стажерские программы для студентов и молодых специалистов). Кроме того, мы привлекаем для решения определенных задач подрядчиков. Это может быть аутсорсинг, аутстаффинг, проектная работа вместе с интеграторами. Банк должен оставаться эффективным — мы не можем бесконечно брать людей в штат.
— Существуют ли угрозы, к которым рынок пока не готов, и которые могут выстрелить, к примеру, через полгода?
«Серые носороги» уже здесь, и мы вместе с вами и другими компаниями не всегда к ним готовы. Я их уже упоминал. Кибервойны между государствами, массовый исход западных вендоров, отключение решений — все мы полагали, что эти риски относятся к области фантастики и не могут реализоваться. А теперь мы живем в этой реальности, и надо готовиться к новым изменениям: квантовые вычисления, искусственный интеллект как «атакующий» и т. д.
КОММЕНТАРИЙ
Павел Волчков
заместитель директора центра
информационной безопасности компании «Инфосистемы Джет»
Росбанк, без преувеличения, — наш стратегический ИБ-партнер. Мы совместно реализовывали разные проекты: от вполне классических, таких как аудит на соответствие требованиям PCI DSS, до уникальных, не имевших аналогов в России на момент реализации.
Наиболее знаковые проекты:
- Защита инфраструктуры приложений. Это было первое в России внедрение системы защиты контейнеризации Prisma Cloud. Для проекта мы вместе с ИБ-экспертами банка разработали фреймворк по защите сред контейнеризации.
- Автоматизация ИБ-процессов с помощью платформы RSA Archer. Мы значительно доработали логику платформы. Это позволило не просто автоматизировать часть процессов ИБ, но и вовлечь в них бизнес-пользователей, что улучшило управление активами и рисками в банке.
- Серия проектов по защите инфраструктуры от внешних и внутренних угроз ИБ.
Проекты с Росбанком — источник ценной экспертизы из-за их масштаба, сложности и требовательности со стороны заказчика. У банка чрезвычайно высоки требования к доступности функции ИБ и ее бесшовной интеграции в основные бизнес-процессы. Поэтому практически каждый наш проект нетиповой, требует выработки новых подходов и методик выполнения работ.
