«Информационная безопасность — это страховка для бизнеса. Бизнес либо покупает эту страховку, либо нет»

— У нас был такой опыт. Мы в свое время обратились за подобной услугой, так как хотели получить внешнюю оценку защищенности наших онлайн-сервисов. У нас была и другая цель — мы хотели понять, по какому пути нам двигаться дальше: проводить ли пентесты на регулярной основе, своими силами или силами подрядчика?

В результате мы отказались от идеи проводить пентесты силами подрядчиков на периодической основе — это связано прежде всего со сложностью оценки эффективности данных работ и полученного результата. Чтобы оценить качество работы пентестера, надо быть пентестером, но если вы — пентестер, зачем заказывать работы?

В итоге мы приняли решение наращивать собственные компетенции, чтобы иметь возможность выявлять уязвимости самостоятельно. При этом сотруднику, проводящему пентест, знание архитектуры позволяет увидеть гораздо больше угроз, чем пентестеру, который часто работает по принципу «черного ящика». К сожалению, у этого подхода есть одно существенное ограничение: иметь в штате такого квалифицированного специалиста достаточно затратно.

Внешних пентестеров мы тоже планируем привлекать, но только на разовой основе для проверки результатов нашей работы.

— Сложно сказать. При проведении пентеста мы всегда заботимся об отказоустойчивости системы, а это накладывает определенные ограничения. Конечно, у хакеров в этом смысле руки развязаны. Второй момент — все-таки пентестеры используют определенный набор уже известных приемов, чтобы получить доступ к системам компании, хакеры же зачастую идут еще нехожеными путями, и предугадать их действия сложно.

— Если глобально — нет. Безусловно, нужно работать с персоналом, обучать людей, как распознать методы социальной инженерии и правильно на них реагировать. Например, когда мы сами проводим у себя в банке такое моделирование, мы всегда думаем о некотором балансе, потому что прекрасно понимаем, что всегда можно подготовить такое письмо, которое сотрудник откроет с вероятностью 99,9. Поэтому успех злоумышленника, использующего эти инструменты, зависит от его целей, ресурсов и возможностей, финансовых и технических.

Очень показательны последние случаи, связанные с массовыми рассылками по банкам. Содержание этих писем говорит о том, что злоумышленники достаточно хорошо готовятся и делают неплохую целенаправленную социнженерию. А что будет, если они постараются еще лучше, и своей целью выберут конкретный банк или, даже, конкретного сотрудника? На мой взгляд, результат очевиден… Но с другой стороны, если даже злоумышленники получат несанкционированный доступ — это всего лишь первая или вторая линия обороны. Безусловно, безопасность должна быть комплексной. Важнее, на мой взгляд, то, как быстро мы сможем это обнаружить и устранить последствия. На текущий момент у нас есть определенные процедуры реагирования, мы используем комплекс систем для мониторинга — это позволяет нам оперативно выявлять и устранять инциденты ИБ. Скорость в этом вопросе — наш приоритет.

— В банке существуют различные обучающие материалы, которые в том или ином виде затрагивают и вопросы социальной инженерии. Организовано тестирование, позволяющее оценить уровень осведомленности персонала.

Кроме этого, 2–3 раза в год мы выбираем фокус-группу из числа сотрудников и, используя методы социальной инженерии, воздействуем на нее. Смотрим, как сотрудники, входящие в эту группу, реагируют на те или иные методы, какие из них в итоге оказываются удачными, а какие нет. А далее проводим разбор удачных методов — почему они сработали? Если на этом этапе мы поймем, что какой-то метод может быть применен массово и многие сотрудники попадутся на удочку, мы доводим информацию о том, как правильно вести себя, на что следует обращать внимание.

— Степень актуальности DDoS-атаки для каждого банка, на мой взгляд, различна: чем больше банк, чем больше у него онлайн-сервисов, тем актуальнее эта угроза. Наш банк не входит в топ-10 банков, но при этом у нас есть определенное количество онлайн-сервисов, поэтому, конечно, защищаться необходимо. Хотя тема не нова, мы с DDoS столкнулись еще в 2008 году. Сейчас реализация такого рода атак стала намного проще — все это превратилось в реальный теневой бизнес с достаточно дешевым входом. Но по большому счету DDoS ничуть не хуже и не лучше других видов атак на ИТ-инфраструктуру. Успешно проведенная DDoS-атака — это чаще недополученная выгода для банка, а вот несанкционированное проникновение в ИТ-инфраструктуру, получение привилегированных прав доступа и, как результат, кража финансовых средств — это уже реальные финансовые потери.

— В Екатеринбурге проблема еще более усугубляется по сравнению с Москвой. Хороших специалистов действительно мало. Кроме этого, нашему рынку несвойственна постоянная ротация кадров. Обычно люди на одном месте работают достаточно долго, поэтому найти специалиста сложно. По своему опыту могу сказать, что в моем подразделении почти нет сотрудников, которые бы пришли к нам с опытом работы. В основном это были либо студенты, которые только окончили вуз, либо сотрудники ИТ-службы, например, администраторы, которым захотелось попробовать свои силы в ИБ. Отдельно найти специалиста по информационной безопасности можно, специалиста по банковским технологиям — тоже, можно взять сотрудника из кадрового резерва. Но найти сотрудника, совмещающего эти два качества, крайне сложно.

Бывают такие случаи: приходит кандидат на собеседование и ему кажется, сейчас он попадет в информационную безопасность и сразу станет особенным, и это является его основной мотивацией. На самом деле это не так. Я не беру тех кандидатов, которым без разницы, чем заниматься: информационной безопасностью или в ИТ работать, разработчиком быть или администратором. Стараюсь брать только тех кандидатов, которые хотят заниматься именно ИБ, которые готовы развиваться в этом направлении.

— Правила игры мы определили достаточно давно, и им следуем. Мы просим, чтобы нас привлекали к таким проектам на ранних стадиях, еще на уровне планирования архитектуры. Нам необходимо быть в процессе, чтобы понимать, какие задачи пытаются решить ИT или бизнес. Конечно, случаются ситуации, когда у ИТ горит проект, в таких ситуациях про нас иногда забывают, но ничего — договариваемся и решаем вопрос.

— Банк, как и любая другая организация, может и должен помогать клиентам своих сервисов обеспечивать безопасность, информировать их о рисках и о правильном поведении. Но тут есть один важный момент: клиент в свою очередь должен к этому серьезно относиться. Конечно, банк не может 100% защитить своего клиента, тем более, если клиент к этому относится легкомысленно — тогда риски в его отношении рано или поздно будут реализованы как в финансовой сфере, так и в личной жизни.

— Банк взаимодействуем с FinCERT — мы подключились к нему, как только он появился. Они нам шлют индикаторы, консультации, уведомления по актуальным угрозам, мы их отрабатываем. Если мы находим что-то у себя, мы тоже стараемся их информировать. При этом опыта взаимодействия в режиме диалога у нас пока не было, возможно, это связано с отсутствием значимых инцидентов. Безусловно, информация, получаемая нами от FinCERT, очень полезна. Мы всегда проверяем индикаторы компрометации предоставляемые FinCERT. Если же мы выявляем атаку, реализованную на банк, мы анализируем, все ли индикаторы компрометации мы выявили, совпадает ли это с рекомендациями FinCERT. С этой точки зрения нам бы хотелось большей оперативности, ведь когда мы получаем эти рекомендации, часто уже все свершилось. Конечно, я понимаю, FinCERT необходимо время, чтобы собрать информацию, исследовать ее и разработать рекомендации, но я думаю, это будущее, не стоит от них требовать всего и сразу. Чего действительно не хватает — обратной связи. Я бы хотел, чтобы был портал или любая другая онлайн-площадка для совместного взаимодействия, где можно было бы обмениваться опытом, получать обратную связь, видеть статус заявки (принята она или нет) и результаты ее обработки.