Кроме того, Наталья – мать пятерых детей, и младших сейчас приходится обучать защите информации с самых азов. Её точка зрения на тенденции развития информационной безопасности, обучение этому предмету и профессиональную подготовку кадров представляет большой интерес для аудитории журнала «BIS Journal – Информационная безопасность банков».
БАНКИР, БУДЬ НАЧЕКУ!
– Наталья Ивановна, какие угрозы информационной безопасности, на Ваш взгляд, сегодня заслуживают наибольшего внимания банков?
– Не стану оригинальничать: угрозы со стороны мошенников-одиночек и киберпреступных группировок. Злоумышленники сегодня достигают небывалых высот в своём противозаконном деле. Банки ежедневно сталкиваются со всевозможными схемами хищений через интернет: в интернет-банкинге, мобильных приложениях и так далее. Для злоумышленников подготовка к такому преступлению и его осуществление намного проще, чем налёт на банк в масках, с оружием. Ловить этих мошенников, которые хорошо маскируются, пока трудно. Надежда безнаказанно заработать преступным путём вдохновляет многих.
Киберпреступники становятся всё более хитрыми и технически подкованными, объём мошенничеств нарастает. Эта угроза наиболее актуальна именно для банковского сектора. Не так страшны обычные вирусы, с которыми антивирусное программное обеспечение справляется, как специальные банковские трояны. Сейчас 90% всех вредоносных программ пишутся именно «под банки». Именно здесь преступниками есть чем поживиться: можно сразу похитить деньги.
Встречается очень разная статистика объёмов краж в сфере дистанционного банкинга, по разным оценкам – от $3 млрд до $5 млрд в год. Данные эти закрытые: банкам невыгодно демонстрировать свои промахи и отпугивать клиентов.
− Ваша компания как раз поставляет решения в сфере обеспечения информационной безопасности...
− Чтобы надёжно защитить своих клиентов, банкам приходится покупать продукты и услуги компаний, которые специализируются на обеспечении информационной безопасности. Или, как альтернатива, банку надо держать в составе подразделений информационной безопасности аналогичных специалистов высоко класса, способных решать подобные задачи.
Банки, которые стремятся максимально обезопасить клиента от злоумышленников, устанавливают дорогостоящие автоматизированные аналитические центры, содержат армию специалистов. В результате 24 часа в сутки 7 дней в неделю ведётся мониторинг всех транзакций, выявляются и дополнительно проверяются все подозрительные платёжные поручения. Есть и менее затратный, более простой путь, которым идут многие банки: многоступенчатая защита с аутентификацией в каждом шлюзе. Что менее удобно, зато безопасность выше, и compliance достигнут.
− В погоне за «максимальной бизнес-оптимизацией» бывает и по-другому?..
− По-другому банку остаётся только формальный юридический путь – хитро составлять с клиентами договоры обслуживания, перекладывать на них ответственность за инциденты. В тех случаях, когда деньги клиента были списаны с его счёта не из-за ошибки банка или уязви- мостей в его софте. На клиента полностью возлагается обязанность обеспечивать информационную безопасность своего рабочего места, на котором он пользуется дистанционным банковским обслуживанием. От клиента требуют устанавливать и регулярно обновлять антивирус, применять другие средства компьютерной безопасности...
− Разве банк не в состоянии помочь клиенту, использующему сервисы ДБО, надёжно защитить себя?
− Клиент в массе своей совершенно не профессионал в этих вопросах. Противостоит же ему хорошо подготовленный злоумышленник, который способен придумывать многоходовые комбинации. В особенности если решает узкую задачу, берётся за конкретного клиента. Расследуя инцидент, специалисты по информационной безопасности выявили схему атаки, которая поразила меня своей сложностью.
Нацеленный на конкретную жертву троян был создан под параметры определённого дистанционного банкинга и под конкретное антивирусное программное обеспечение. Проникая на компьютер пользователя, троян подменял собой все защитные системы. Стоило жертве после этого подключить к компьютеру смартфон, как заражалось и это устройство. Под контроль злоумышленников попадал второй канал аутентификации – приходящие SMS-оповещения с банковскими кодами и паролями.
− Не являются же киберпреступники всесильными!
− Нет, не являются. Просто противодействовать им нужно комплексом мер, с разных сторон. Информационные атаки на банковских клиентов происходят, как правило, без системы, но регулярно, в значительной степени тенденции их развития можно прогнозировать.
Специалистам по информационной безопасности известен перечень объектов атак – компьютер клиента, с которого он пользуется дистанционным банковским сервисом, составляемый им платёжный документ и другие потенциально уязвимые места. Достаточно стандартен инструментарий киберпреступников – подделка данных платёжного документа, хищение средств аутентификации клиента и другие.
Исходя из этого, в банках разработаны регламенты реагирования на инциденты – расследования в банках, обращения в правоохранительные органы, которые раскрывают преступления, задерживают преступников, а суды определяют их вину. Банки заинтересованы возвращать деньги невинно пострадавшим клиентам.
ВРАГИ СНАРУЖИ И ВНУТРИ
− Значит, существуют достаточно эффективные меры и средства противодействия "внешней угрозе". Вопрос в том, какие именно из них используются конкретными банками и насколько надёжно защищены их клиенты от киберпреступников.
− Кроме внешних, есть и другая группа угроз, – «невидимый» фронт. А именно – угроза противоправных действий внутри самого банка. Угроза утечки данных, исходящая от инсайдера, – как бомба замедленного действия, которая может сдетонировать через месяцы. Для кредитно- финансовых организаций этот тип угроз более чем актуален. Утечка данных оборачивается для банка всеми казнями египетскими, от скандалов в прессе до санкций государственных регуляторов. Искать справедливости банку в такой ситуации уже поздно, разве что вычислить «внутреннего врага» и уволить его, если он не уволился раньше сам. Лучше угрозу утечки информации заблаговременно нейтрализовать.
«Слабым звеном», постоянной скрытой угрозой для банков здесь является всё тот же «человеческий фактор». Только не таинственные киберпреступники и не клиенты – дилетанты в информационной безопасности, а его же собственные сотрудники. Они могут поддаться соблазну вначале получить несанкционированный доступ к данным, а потом использовать их к своей выгоде и в ущерб банку.
− Инсайдерская угроза исходит в первую очередь от топ-менеджеров?
− Вовсе нет. Каждый день через рядовых операционистов проходят важные сведения, в первую очередь, разная информация о клиентах. Их персональные, контактные данные, личная информация, договор с банком, движение средств на счетах и другие. Работают с этими ценнейшими сведениями банковские сотрудники не с самым высоким уровнем квалификации и зарплаты.
Налицо несоответствие уровней доступа и ответственности. Текучка кадров среди операционистов высокая, как показывает статистика – более 10%. Меняя места работы, уходя к конкурентам или откликаясь на «соблазнительное предложение», некоторые недобросовестные сотрудники без особых сомнений могут передать на сторону, скажем, базу данных заёмщиков.
Ущерб может оказаться столь значительным, что поставит крест на репутации и будущем банка. Иногда просто начинается массовый отток клиентов, который может стать летальным для бизнеса. Постороннему наблюдателю этот процесс может показаться мистически необъяснимым. Причина же проста: конкуренты, обладая похищенной базой данных, обзванивают всех клиентов, делая предложение всего на полпроцента выгоднее. Многие, для кого деньги лишними не бывают, соглашаются, на более выгодное предложение.
− Какими средствами банки могут нейтрализовать эту «внутреннюю угрозу»?
− Надёжно защищать информацию, в том числе от инсайдерской угрозы, банки обязаны не только исходя из здравого смысла, но и по закону. В частности, согласно формулировке банковской тайны в ст. 857 Гражданского кодекса РФ, также федеральными законами ФЗ-395-1 «О банках и банковской деятельности», ФЗ-152 «О персональных данных», ФЗ-98 «О коммерческой тайне», ФЗ-161 «О национальной платёжной системе» и некоторыми другими нормами. Автоматизированным средством контроля и предотвращения утечек данных являются DLP- системы. Раз последствия утечки устранить трудно, надо пресекать причину, просто-напросто делать утечки невозможными.
На основе гибридного анализа, объединяющего несколько различных технологий анализа информации, можно выявлять утечки целых классов сведений. Если правильно настроить фильтры, любые попытки переслать по почте файлы базы данных или условия контрактов будут обнаружены и доведены до сведения службы информационной безопасности. Это не ограничение свободы, не превращение компании в режимный объект. Просто на информационных каналах вовне ставятся фильтры, «вылавливающие» информацию, которая не должна уходить за пределы компании.
− В какой мере DLP-системы практически востребованы банками?
− Для банков, повторюсь, такая задача – типична. Мы проводили анализ публикаций в прессе об утечках, и выяснили, что случайные утечки составляют около 40% общего числа. Но в банках этот процент вдвое ниже, в 80% случаев «вынос за периметр» информации носит злонамеренный характер. В крупных банках это понимают, и разработанные компанией InfoWatch DLP-системы применяют около четырёх десятков российских банков.
− DLP-системы – сравнительно новый продукт. Как Вы пришли к его созданию?
− С 1994 года я занималась в «Лаборатории Касперского» продвижением антивирусного программного обеспечения. Успеха удалось добиться в том числе и благодаря обычным средствам маркетинга – регистрацией торговой марки, созданием востребованных компонентов продукта, хорошим продажным оформлением. Много сил было отдано работе с клиентами, выстраиванием каналов продаж. Уже руководя «Лабораторией Касперского» как директор, я задумалась о расширении бизнеса, о новом направлении.
В 2002 году была впервые вынесена на публику проблема утечек информации и противодействия им – новый важный аспект информационной безопасности. Я почувствовала, что у этого направления большое будущее. Решение родилось неожиданно: взять фильтры информации, защищающие от внешних информационных атак, и «перевернуть» их. Чтобы подобным же образом фильтровать информацию, исходящую из компании. Разработчики развили эту идею в готовый продукт.
Некоторые коллеги тогда были смущены: а вдруг использование такого продукта воспримут как слежку за сотрудниками? Было решено создать для дальнейшей разработки и продвижения DLP- систем отдельную компанию. Так появился InfoWatch, и вот уже более 8 лет, с декабря 2004 года, я занимаюсь развитием этой компании: выполняю административные функции, руковожу бизнесом. В моих руках и стратегия развития, и распространение продукта, крупные клиенты. Решением технических вопросов, содержанием продукта заняты светлые головы наших разработчиков, программистов.
ОТ ЛИКБЕЗА ДО ПОВЫШЕНИЯ КВАЛИФИКАЦИИ
− Ваша компания Info Watch стала серебряным призером премии HR-бренд 2012. Где Вы находите таких профессионалов? Сами выращиваете, в компании?
− Кадры сегодня – большая проблема: ощущается острая нехватка программистов и IT-специа- листов. Кандидатов подыскивают несколько наших сотрудников, на сайте нашей компании есть раздел «Вакансии». Главным для трудоустройства в InfoWatch является профильный опыт работы. Кандидат проходит несколько практических тестов, собеседование с техническим руководителем и другими членами команды, чтобы мы могли понять, насколько хорошо человек впишется в коллектив.
Но это отнюдь не главный путь. Более перспективный – выращивать собственные кадры, обогащать их профессиональный практический опыт, заниматься их образованием. Процесс, конечно, долгий, но зато вырастает специалист «под себя», именно с теми навыками, которые нужны в твоей компании. И такой сотрудник, как правило, всегда более лоялен компании. В InfoWatch за год пока удаётся вырастить одного- двух человек. «Лаборатория Касперского» – просто инкубатор: каждый семестр поступают на «производственную практику» 8 студентов. Те, кто подходит, – остаются работать в компании.
Человек, который пришёл со студенческой скамьи, как правило, лучше и на более долгий срок «приживается» в компании, чем тот, кто успел потрудиться в нескольких других местах. Мы приглашаем студентов 4–5 курсов, скорее даже четвёртого, потому что к пятому хороших специалистов уже «разбирают». Проводим конкурсы, выискиваем настоящие таланты, их сейчас не так и много из-за несовершенства системы образования.
− Что именно Вас не устраивает в отечественной системе образования, что бы Вы хотели изменить?
− Однозначно, что обучение информационным технологиям должно вестись не на словах, а на деле. Нельзя подменять понятия, недостаточно установить компьютеры в школах, отчитаться, «галочку поставить» и успокоиться на этом. Компьютеры нужны, на мой взгляд, в последнюю очередь; обучение информатике правильнее начинать без них. Чтобы ученик вначале развивал техническое, алгоритмическое мышление, думать начал, а не отвлекался раньше времени на яркие картинки. Без этого в лучшем случае можно получить на выходе программистов, которые будут уметь программировать только по шаблонам. Гораздо важнее и сложнее обучить детей алгоритмам, программированию, грамотному построению системы защиты информации.
Большая проблема в том, что для этого нужны специальные образовательные программы, обучающее программное обеспечение, и – квалифицированные педагоги. Проблема и со школьными учителями: многим преподавателям информатики – по 40–50 лет, они компьютер сами недавно освоили. Им трудно учить современных детей, которые в интернете живут с пелёнок, и мир без компьютера и планшета вообще представить не могут.
− Что думаете о «прививке» детям осторожности, – о том, что обучение информационным технологиям нужно вести рука об руку с разъяснением существующих угроз и правил безопасности?
− Это другая сторона медали. Я за обучение информационной безопасности с самого раннего возраста, начиная, в доступной форме, с детского сада. Интернет – чудо, но в нём есть и «бяки», и плохие дяди. По мере взросления, в школе, в начальных, средних и старших классах нужно давать дополнительную информацию, всё более подробную. Пока же школьникам объясняют, как правильно переходить дорогу и что не надо общаться с незнакомцами на улице, но мало сообщают про опасности интернета и как их можно избежать. По-моему, школьный курс информационной безопасности – очень актуальный вопрос сейчас.
Личный опыт: моя дочка играет на «планшете», всё вроде хорошо. Через некоторое время папе начинают приходить SMS-сообщения, что с его счёта списываются деньги. Вернувшись после работы домой, он разобрался, в чём дело, разъярился и устроил дочке разнос. Зато теперь она не заходит непонятно на какие ресурсы и не покупает что попало. Задним числом мы поразились, как ребёнок смог так ловко покупать, обходя ограничения доступа, и порадовались, что ещё дёшево отделались.
− Наталья Ивановна, как Вы считаете, в какой степени информационная безопасность должна сопровождать развитие и распространение IT-технологий, чтобы они были людям во благо, а не оборачивались во вред?
− Можно сравнить безопасность с камнем на ногах развития информационных технологий. Безопасность тормозит прогресс... Но разве можно ездить на автомобиле с педалью «газа», но без тормозов? Безопасность – как якорь, который не даст буре унести корабль в открытый океан. Можно ли предлагать массовому потребителю IT-продукты, риски которых не нейтрализованы мерами безопасности?
Всё дело в том, что любые новые технологии не только открывают небывалые прежде возможности, но и несут с собой неведомые ранее угрозы. Те, которые раньше даже представить было трудно! Главная задача информационной безопасности – разбираться с «побочными эффектами» прогресса, притормаживать его где надо. В одних областях это удаётся лучше, в других нужно ещё работать и работать.
BIS-СПРАВКА
Наталья Ивановна КАСПЕРСКАЯ,
генеральный директор компании InfoWatch: