Организованная киберпреступность, кадровый голод и другие ИБ-вопросы. Опыт Росбанка

Портировать нельзя изолировать

Для меня развитие ИТ — это промышленное использование новых технологий, которые ранее применялись в тестовом режиме или для решения узких академических задач. Например, ML, Big Data, контейнеризация и блокчейн уже стали окружающей нас действительностью.

Ужесточилось регулирование сферы безопасности: появились новые нормативные акты в области ИБ. Требования ИБ изменились не только количественно, но и качественно, в результате банковская отрасль стала еще более зарегулированной. Последние примеры: выпуск нового ГОСТ Р 57580.1-2017, появление нормативной базы по работе с Единой биометрической системой, внесение поправок в Положение Банка России № 382-П.

Прерывание бизнес-процессов, утечка данных и прямая кража денег. Остальные угрозы — по сути, варианты реализации этих основных рисков. Например, в 2019 г. была зафиксирована масштабная атака на клиентов крупнейших российских банков, злоумышленники использовали методы социальной инженерии. Анализ атаки выявил новые ИБ-угрозы, связанные с двусторонней аутентификацией банк-клиент и клиент-банк. Это означает, что нам нужно разрабатывать релевантные способы защиты.

Это актуально для любой компании, которая работает на рынке более 7–10 лет, в том числе для банков. У многих есть legacy-оборудование, которое до сих пор выполняет свои функции, — сетевое железо или рабочие станции на Windows XP, для которых не выпускаются обновления безопасности. Ребята с темной стороны продолжают заниматься «ресерчем» и находят в них все новые и новые уязвимости.

Важно соблюдать баланс между затратами на новое оборудование и ожидаемой выгодой. Для устаревшего оборудования мы разрабатываем и применяем компенсирующие меры. Это дешевле его замены, при этом риски нивелируются. Также необходимо понимать, что существующий в компании бизнес-процесс не всегда подразумевает возможность замены оборудования. Некоторый старый софт может работать только на устаревших версиях операционных систем (например, на Windows XP), и портировать его на новую версию гораздо сложнее, чем просто изолировать этот хост в сети.

Росбанк активно использует технологии Big Data. Цифровизация, накопление данных и аналитика на больших объемах — неотъемлемая часть современного бизнеса. Для нас вопрос защиты хранилища стоит остро на всех уровнях: инфраструктурном, на уровне взаимодействия с системами-источниками, при подключении пользователей и администраторов, на уровне прикладного ПО. Мы ориентируемся на рекомендации производителей, используем встроенные средства и строим комплексный контур безопасности больших данных.

Принцип лебедя, рака и щуки

Мы идем от конкретных проблем: проводим анализ рисков, оцениваем степень их актуальности. Производители действительно выпускают много новых решений, но зачастую их работоспособность подтверждена только маркетинговыми исследованиями. Нужно смотреть, какие конкретные задачи будет «закрывать» та или иная технология, вовлекать в процесс отбора ИТ-шников, поскольку новый ИБ-инструментарий не должен мешать их процессам. Некоторые риски можно уменьшить с помощью простых мер (настройки харденинга, введение регламентов и т.д.). Экономическую целесообразность никто не отменял.

Как и в любом крупном enterprise, у нас формализован процесс бюджетирования потребностей ИБ. К сожалению или к счастью, финансовые организации, с одной стороны, достаточно зарегулированы с точки зрения ИБ, а с другой — часто атакуемы. Поэтому доказывать бизнесу крупного технологического банка необходимость повышения безопасности не нужно, он все прекрасно понимает и готов к тратам. Другой вопрос, что каждая отдельная трата должна быть обоснована.

Суть DevSecOps в том, что разработчики, инфраструктурщики и ИБ-специалисты вместе делают безопасный продукт. Сама идея не нова, мы и без подобных ярких ярлыков всегда стремились к ней. Поэтому к подходу относимся положительно и внедряем его. Безопасность должна закладываться в продукты еще на этапе их создания и контролироваться на протяжении всего жизненного цикла ПО. Основная сложность здесь — коммуникативная. Понятно, где и какие уязвимости могут возникнуть, гораздо труднее выстроить сотрудничество большого количества стейкхолдеров с разными KPI. Они могут взаимодействовать друг с другом по принципу лебедя, рака и щуки из известной басни — проще говоря, ставить во главу угла свои цели, а не желаемый общий результат.

Я бы не стал делить по отраслям, в каждом сегменте рынка есть компании, которые строят свой бизнес на максимальной автоматизации, самостоятельной разработке и использовании собственных ноу-хау. Для них DevSecOps актуален. В то же время у этих компаний могут быть прямые конкуренты, которые пользуются коммерческим софтом и у них нет разработки. Им DevSecOps не нужен.

На мой взгляд, сейчас происходит переосмысление роли ИБ в CI/CD, поэтому компании и начинают привлекать satellite, или Security Champions. Это разработчики, специалисты по тестированию, архитекторы, не являющиеся ИБ-экспертами, но заинтересованные в выпуске безопасного и качественного бизнес-продукта.

Основная задача ИБ — оказывать для бизнеса и ИТ сервис соответствующего уровня с необходимой скоростью. ИБ в вопросах разработки и TTM, создания новых банковских услуг является функцией вспомогательной и контрольной. Система должна быть выстроена таким образом, чтобы результаты контрольной функции не тормозили процесс. Наша задача — предоставлять бизнесу информацию о возможных рисках и путях их оперативного устранения. А бизнес уже решает, готов ли он в каком-то моменте поступиться безопасностью ради скорости вывода продукта на рынок.

ИБ-кадры и организованная киберпреступность

Мы крупный банк, наша потребность в ИБ-кадрах исчисляется десятками человек, и их крайне сложно найти на рынке. Мы ведем десятки ИБ-проектов, среди последних и крупных: присоединение банка «ДельтаКредит» в 2019 г. и создание in-house SOC. Так что нам приходится комбинировать все упомянутые подходы. Нельзя набрать только студентов и растить их — мы сразу просядем в квалификации. Перекупить всех необходимых специалистов мы тоже не сможем — слишком дорого. Нужно нанимать квалифицированные кадры, набирать под них студентов-стажеров, где-то переучивать наших ИТ-шников и программистов, которые хотят заниматься ИБ, вовлекать смежные подразделения.

Опыт последних лет показывает, что киберпреступники интенсивно прокачивают свои скиллы, атаки становятся все интенсивнее, а методы — изощреннее. Это настоящая организованная преступность, которая хочет заработать денег, а не поприкалываться, как это было какое-то время назад.

В то же время у ИБ-специалистов существует проблема с ростом квалификации. У команды, работающей на определенном участке, замыливается глаз, она может с головой уйти в операционную деятельность и перестать развивать свои компетенции, поскольку нет постоянного прессинга и тренировки на реальных кейсах. Чтобы не попасть в такую ситуацию, мы применяем целый комплекс мер. Это постоянное обучение и повышение квалификации наших ИБ-специалистов, поиск новых кадров, которые могут привнести что-то новое в подходы и методики защиты. Очень важна работа с нашими партнерами. Мы можем сделать один проект по определенной теме за год, а партнер — 20 подобных проектов. Естественно, он приобретает уникальный опыт. Поэтому один из самых действенных способов наращивания компетенций — общение с индустрией, рынком, партнерами и использование их аутсорсинговых услуг там, где это возможно. При этом мы не стараемся всё отдавать на аутсорсинг, используем гибридный подход. Нашей целевой моделью является развитие собственных компетенций и сервисов, при этом мы понимаем, что определенные вещи просто необходимо отдавать на аутсорсинг.

Мы подключаем партнеров по вопросам, связанным со сложной системной интеграцией и консалтингом, — например, регулярно проводим внешние аудиты. Используем их квалификацию и опыт для реализации ИБ-проектов, но затем стараемся перенять это и поддерживать системы самостоятельно.