Подписаться
Читать в телеграм
«Информационная безопасность в банковской сфере – это предмет «торга»
Дата публикации:
29.04.2015
Посетителей:
132
Просмотров:
123
Время просмотра:
2.3
Если обеспечить 100%-ную техническую защищенность бизнеса, он просто не сможет приносить прибыль. Если же не ставить никаких защитных ограничителей при проведении операций или реализации банковских продуктов, мошенники, скорее всего, камня на камне не оставят». В таком ключе проходила наша беседа с Василием Окулесским, к. т. н., начальником управления информационной безопасности Департамента по обеспечению безопасности Банка Москвы.
Василий Андреевич, какова Ваша оценка текущей ситуации с мошенничеством в банковской сфере?
Сейчас мы наблюдаем рост от 30 до 50% по разным видам мошенничества по сравнению с прошлым годом. Изменилась и его видовая структура: в первую очередь идет резкий возврат к мошенничеству с банкоматами.
За последний год совокупная банкоматная сеть российских банков выросла на 40%, этот чисто технический фактор стал подспудной причиной роста преступлений. Изменились и сами методы атаки на банкоматы. Появились так называемые «взрывники», причем их отличает высокая скорость «работы» – вся операция по хищению занимает меньше минуты. Вернулись программные средства атаки, находившиеся на пике популярности в 2009 году. Причем наблюдаются принципиально новые методы: банкоматы атакуют дистанционно, провоцируют перезагрузку, или атака идет непосредственно на исполнительные устройства – на тот же депозитор. Объем ущерба от таких действий существенно превышает потери от других видов мошенничества с банкоматами.
В российской банковской сфере наблюдается устойчивый тренд на развитие функциональности web-банкинга для физических и юридических лиц. Мошенникам новый функционал тоже нравится, прежде всего в плане потенциально открывающихся возможностей для хищения денег. Соответственно, банки просто не могут не вкладываться в повышение безопасности своих интернет-сервисов. Отмечу, что из всех российских банков «просто так» инвестирует в свою ИБ только Тинькофф Банк – для него это единственное средство обеспечить безопасность бизнеса.
Тенденция последних нескольких месяцев – атаки на информационные системы банков. Атакуют непосредственно средство управления корреспондентскими счетами – это позволяет мошенникам одномоментно выводить огромные деньги. Подобные операции требуют от злоумышленников высокой квалификации и серьезной подготовки.
То есть объектом атак зачастую является уже не клиент, а сам банк?
Да, это связано с несколькими факторами. Во-первых, банки тратят много усилий на защиту своих клиентов, и это действительно работает. Во-вторых, клиенты стали более продвинутыми в ИБ-вопросах. Сейчас формулировка «купил антивирус, поставил на компьютер, но он почему-то не работает» встречается гораздо реже. Клиенты уже знают, что и как нужно ставить, обновлять, каковы юридические последствия от применения лицензионного и нелицензионного ПО и т.д. Люди более подготовлены, их стало труднее атаковать, все это вынуждает мошенников «переходить» на банки.
Отмечу, что сама структура и средства подобных атак принципиально другие. Поэтому необходимо пересмотреть парадигму формирования банковских информационных систем. Безопасники должны подключаться к работе еще на первых этапах жизненного цикла системы, а не на стадии ее сдачи в промышленную эксплуатацию. То есть нужно учитывать все ИБ-вопросы еще при разработке.
Более того, должно измениться само понимание информационной безопасности. Защита информации – это не дискретный процесс «поставили решение, все работает, расслабились», а непрерывная деятельность, своеобразный способ мышления людей, которые разрабатывают системы, работают с конфиденциальными документами и др.
Каким именно должно быть это мышление?
Приведу простейший пример, касающийся 3 основных составляющих ИБ – конфиденциальности, целостности и доступности данных. В отношении этой триады наблюдается интересный логический парадокс: если понятие, на первый взгляд, кажется простым и ясным, его реализация на практике практически невозможна. Что такое целостность? Простой вопрос. Но вот вы подписываете документ электронной подписью, основное требование при этом – вы должны быть уверены в том, что именно подписываете. То есть должна быть обеспечена целостность изначального объекта подписи и того, что вы видите на экране. Насколько вообще электронный документ в базе данных соответствует бумажному оригиналу? Насколько легитимна воспроизведенная на бумаге подписанная электронная версия? Кто имеет представление о том, что такое Windows, понимает, что озвученное выше требование в принципе не реализуемо. Или нужно отказываться от столь популярной операционной системы и технологии работы в многозадачных режимах, причем изобрести такой способ визуализации электронных документов, который бы обеспечивал целостность на всех стадиях их преобразования.
Вопрос не так уж и прост, он упирается в технические средства, технологию работы. Если мы не будем решать его на уровне изначальной постановки задачи, то попросту не сможем понять, что именно должны защищать, что для нас является объектом обеспечения ИБ. Не факт, что документ, который мы реально защищаем, соответствует тому, что был на входе и действительно подлежал защите.
Какой тип мошенничества наиболее опасен в настоящий момент?
Пальма первенства сейчас, как и последние несколько лет, – у внутренних мошенничеств. Их невозможно блокировать системами противодействия. Если сотрудники сговорятся между собой, вам, грубо говоря, ничего не поможет. Выявить внутренних злоумышленников очень трудно, а последствия таких сговоров существенно масштабнее, чем ущерб от какого-либо другого вида мошенничества.
Отдать % мошенникам?
В чем заключаются основные подходы к обеспечению ИБ в Вашем банке?
Мы планомерно усиливаем безопасность наших сервисов. Но фокус внимания в части обеспечения ИБ сместился. Если раньше мы защищали клиента от периодически возникающих угроз – фишинга, возможности подмены его реквизитов, обеспечивали защиту средств аутентификации, то сейчас мы априори считаем, что клиент всегда поражен. 80% клиентов изначально пользуются банковскими сервисами под контролем мошенников. Поэтому парадигма защиты должна быть изменена. Мы предполагаем, что периметр уже достаточно защищен, поэтому переключаем внимание на транзакции. Собственно, одно из наиболее эффективных современных направлений – это анализ транзакций.
Возможно, через определенное время банки будут вынуждены признать, что их инфраструктура также является априори уязвимой и управляемой мошенниками на 80%. И значит, единственным выходом будет контроль уже внутрибанковских транзакций с помощью систем, аналогичных решениям для контроля клиентских транзакций.
В этом есть доля истины. Я не открою Америку, если скажу, что обеспечение информационной безопасности развивается по спирали, и каждый виток происходит на принципиально другом уровне. 10 лет назад мы говорили практически о том же – нужно защищать внешний периметр банка. За эти годы мы прошли несколько витков защиты клиента и снова вернулись к начальной точке – банку. Только теперь речь идет об изменении самой идеологии построения информационной инфраструктуры для изначального учета ИБ-вопросов.
Как известно, бизнес зачастую негативно относится к развитию и ужесточению ИБ. Как Вам удается приводить банк в соответствие современным практикам обеспечения информационной безопасности?
Самый эффективный стимул для повышения уровня ИБ в компании – обязательное участие бизнеса в процессе возмещения финансового ущерба от мошенничества. Например, у нас идет разработка нового банковского продукта. Мы посмотрели свою ИБ-триаду, выдали замечания, закрыли видимые нам дыры. Именно видимые нам, поскольку в каждой разработке есть несколько связанных пластов. Уязвимости в пластах мы устраняем, а вот особенности связей между ними гораздо лучше знает команда разработчиков. В документах по продукту, с которыми мы работаем, они не прописываются. В то же время эти связи зачастую и являются объектами атаки. Если разработчики совершенно не заинтересованы в том, чтобы выстроить их правильно с точки зрения ИБ, по выходу продукта мы рискуем ощутить на себе повышенное внимание мошенников. Если же финансовые потери будут коррелировать с конкретными премиями разработчиков и тех бизнес-подразделений, которые инициировали появление продукта, они сами будут стремиться по максимуму «вычистить» его.
Если правильно выстроить систему баланса финансовой ответственности между подразделениями, бизнес-процессы, имеющие высокую фродулентность, автоматически становятся более безопасными
Механизм обеспечения ИБ, действующий уже на этапе предложения продукта на рынке, – всем известные stop loss. Как только по нему фиксируются несколько мошеннических операций или сумма ущерба от действий злоумышленников превышает допустимое значение, банк останавливает предложение. Мы анализируем продукт, устраняем узкие места и только потом снова запускаем его в работу. Естественно, для любого бизнеса первостепенна прибыль от оказываемых услуг, поэтому он, скорее, заинтересован в увеличении допустимого числа мошеннических операций или суммы ущерба. По факту это предмет торга между ИБ- и бизнес-подразделениями, наша общая задача – находить компромисс. Мы постепенно выстроили у себя этот подход. «Мы уже знаем – будут stop loss и лимиты, так что давайте совместно работать» – такова позиция бизнеса при внедрении нового продукта. Наш мобильный банкинг – пример того, как ответственно бизнес подходит к вопросам ИБ: изначально он озвучил более жесткие условия аутентификации клиентов на мобильных устройствах, чем предлагали мы.
Допустим, нужно максимально быстро вывести на рынок новую услугу, чтобы опередить конкурентов и не потерять потенциальную прибыль. Можете ли вы в этом случае несколько снизить критичность вопроса обеспечения ИБ?
«Закрыть глаза» мы в любом случае не можем, просто работаем в таком же напряженном темпе, что и разработчики. Явную шелуху отбиваем сразу, уязвимости, которые мы не успеваем проработать глубоко и детально до выхода продукта, устраняются на этапе stop loss.
Вообще если бизнес выпускает на рынок сырую с точки зрения ИБ услугу, он должен быть готов к тому, чтобы отдать мошенникам определенный процент с каждого заработанного на ней миллиона. Официальный ущерб здесь может составлять и 5, и 50%. Ответственность за риски мошенничества в данном случае целиком будет лежать на бизнес-подразделении, и это должно быть отражено в соответствующем бизнес-соглашении.
Как я уже говорил выше, распределение ответственности действует отрезвляюще. Допустим, вы устанавливаете банкомат в потенциально опасном месте, невзирая на рекомендации ИБ-шников по поводу сигнализации, видеонаблюдения и т.д. Стоимость современного банкомата – около 30 тыс. долларов. Если мошенник ломает его, ремонт может быть отнесен на общебанковский счет, на счет процессинга или же вашего розничного подразделения. В аналогичной ситуации в будущем к ИБ-специалистам прислушаются. Мы говорим с бизнесом на его языке – о потере прибыли, рисках, финансовой ответственности и т.д.
Доверяй, но проверяй
Не так давно Банк Москвы внедрил систему защиты от мошенничества в каналах ДБО для юридических лиц. Расскажите, какие цели стояли перед проектом? Достигнуты ли они?
Наш проект в некотором роде уникален – мы ставили своей целью не повышение уровня безопасности, а снижение стоимости самой процедуры выявления мошенничества. До этого 400 операционисток банка звонками подтверждали каждый новый платеж – их было около 10 тысяч в день. В результате мы уменьшили число контрольных звонков во фронтальных подразделениях при проведении платежей – по отдельным направлениям более чем в 10 раз. Нагрузка на операционисток снизилась, они переключились на продажу банковских продуктов – деятельность, напрямую приносящую прибыль.
Наш бизнес пришел к пониманию, что, с одной стороны, безопасность стоит денег, а с другой – без нее денег будет гораздо меньше.
Правильная формулировка цели проекта с нашей стороны – «давайте сделаем безопасность дешевле» – привела к тому, что бизнес-подразделение согласилось внедрить антифрод-систему и задействовало для этого свой бюджет.
Внедренный аналитический инструмент, по сути, сам принимает решения. Где проходит грань между достаточностью и избыточностью автоматизации? Какие решения нельзя доверить программному мозгу?
Граница все время находится в движении, она располагается между автоматическим проведением и автоматической блокировкой платежа. Если уровень мошенничества, по которому выставлен уровень риска в системе, снизился/повысился, мы корректируем в ней критерии принятия решений. При этом нельзя полностью автоматизировать оценку операций и отдавать весь процесс на откуп аналитическому инструменту. То есть доверие к антифрод-системе есть, но его уровень должен контролироваться. Иногда решение по платежу может принять только человек, у нас это неоднократно подтверждалось. Как сказано в одной пословице, машина – «дура»: она не может предусмотреть все нюансы. Например, технический сбой привел к увеличению времени отклика между системами, в итоге решение не определилось с ответом. У нас в штате есть обученные специалисты, которые порой могут сработать быстрее, чем антифрод-решение. Поэтому в нашем случае мы говорим об автоматизированной системе, а не об автоматической. Так что мы доверяем, но проверяем.
«Штучный товар»
Внедрение и эксплуатация сложной системы контроля рисков – это большой труд банковской команды. Какими компетенциями должны обладать сотрудники, призванные обеспечивать эксплуатацию подобных решений? Существует ли дефицит таких кадров?
Отвечу вопросом на вопрос: сколько оттенков красного может увидеть среднестатистический человек? Сложно сказать. А в нашей работе это как раз самое важное – уметь различать максимальное количество «оттенков» рисковых операций в системе. Специалист должен уметь выявлять признаки возможного мошенничества, в том числе с помощью профессиональной интуиции. Это приходит исключительно с опытом. В нашей области работают люди с разным изначальным багажом знаний. У одних – ИТ-шников – хороший бэкграунд по системному анализу больших объемов данных, но они никогда не работали с мошенническими операциями. Другие – «опера» – собаку съели на оценке операций, они мыслят в терминах IP-адресов, логов, но при этом не представляют себе принципы организации баз данных, не знают, как проводить системный анализ. Обмен опытом, совместная командная работа таких экспертов дают синергетический эффект. Крайне важно иметь грамотного руководителя подразделения по борьбе с фродом, который выстроит весь процесс, правильно расставит акценты. Резюмируя все вышесказанное: подготовленные, обученные специалисты в нашей области – «штучный товар».
Вы уже частично затронули вопрос взаимодействия ИБ-службы с бизнес-подразделениями. Какой Вы себе представляете оптимальную структуру функции противодействия мошенничеству?
Самое главное – взаимодействие ИБ и бизнеса должно быть описано в формате бизнес-процесса. Причем все его участники должны четко понимать, что нужно делать в случае инцидента, – детально представлять себе порядок реагирования. Для этого в Банке Москвы существует положение о порядке взаимодействия. При описании бизнес-процесса нужно разделить зоны и меру (не исключено, что и материальную) ответственности каждой группы участников. Вспоминается «Про Федота-стрельца, удалого молодца» Леонида Филатова: «Сознаю свою вину. Меру. Степень. Глубину». В нашем Департаменте по обеспечению безопасности есть внутренние документы, описывающие, что, куда, в какой форме и как быстро ИБ-специалисты должны передавать при инциденте. Счет зачастую идет на минуты, поэтому сидеть и размышлять о том, что нужно сделать и кто виноват, недопустимо. У сотрудника должен срабатывать четкий алгоритм действий «раз-два-три». При этом у него под рукой все шаблоны документов, которые нужно отправить, актуальные списки электронных адресов. То есть нужно наладить процесс и тренировать людей.
Как можно оценить экономическую эффективность работы подразделений, чьи функции связаны с борьбой с мошенничеством?
Никак. Нашу экономическую эффективность невозможно измерить. Например, в этом месяце мы выявили больше случаев мошенничества, чем в прошлом. О чем это говорит? Мы стали лучше работать? Или мошенники взяли ударные темпы «производства»? ИБ-подразделение может оценивать свою деятельность только с точки зрения процентного соотношения отработанных и выявленных инцидентов. Грубо говоря, если у нас отработаны все выявленные факты мошенничества, мы эффективны. Но в любом случае остается слепое пятно – невозможно узнать, всё мы вычислили или нет.
Как ни парадоксально, бизнес может оценить эффективность нашей работы исключительно по потерям. Ущерб от мошенничества есть? Есть – прогнозируемый, попадающий в рамки планируемых потерь. Значит, баланс, о котором мы говорили выше, соблюден, безопасность работает хорошо. Если уровень ущерба выше допустимого, значит, где-то «дыра». Причем не факт, что это недоработка в ландшафте информационной безопасности. Возможно, один из бизнес-процессов требует детального пересмотра для повышения уровня ИБ. И над этим мы будем работать совместно с командой экспертов из других подразделений банка.
Большое спасибо, что нашли время для беседы!
