Как меняется информационная безопасность в российских банках

Кроме самих банков, лучше всего изменения в информационной безопасности заметны тем, кто лично проверяет уровень ее соответствия - аудиторам. Мы поговорили с аудитором и руководителем направления ИБ компании ITGLOBAL.COM Александром Зубриковым, чтобы выяснить, насколько усложнились процессы ИБ в российских финансовых организациях, соответствуют ли требования Центробанка реалиям банковского сектора, чем отличаются плохие аудиторы от хороших и о многом другом.

Каким станет банк через пять лет?

- По моему мнению, банк в нынешнем его виде - со множеством офисов, отделений и филиалов - канет в Лету. Банк превратится скорее в ИТ-компанию. У него будет современная, хорошо продуманная ИТ-инфраструктура, хорошо выстроенные ИТ-процессы, включая все процессы по обеспечению информационной безопасности. Все клиентские операции будут проходить через мобильное и десктопное приложения. У банка будет одно, максимум два физических отделения. Такие банки уже есть - например, "Тинькофф".

Мне кажется, исчезнут и банкоматы. Потому что рано или поздно наличная денежная масса существенно сократится. Все операции будут происходить исключительно с использованием электронных денежных средств. Вряд ли, конечно, банкоматы исчезнут уже через пять лет. Потребуется, наверное, чуть больше времени, но их количество может существенно сократиться. Уже сейчас мы видим у некоторых банков тенденцию к поощрению клиентов за использование безналичных платежей.

Усложнятся ли ИБ-процессы в банках?

- Здесь нужно начать с того, что сейчас таких процессов во многих банках зачастую практически нет. Требования Банка России по ИБ во многих финансовых организациях выполняются не в полной мере. Не выполняются даже те требования, которые разработаны самим банком и прописаны в собственных документах. У нас популярна так называемая бумажная безопасность, когда все процессы по ИБ существуют только в журналах, актах и других многочисленных отчетах, а в реальности не выполняется даже малая часть. В таких условиях в цифровом банке существенно возрастает риск фрода или, например, утечки денежных средств. Поэтому главная сложность для банков будет в том, что информационной безопасностью придется заниматься всерьез, а не "для галочки". К счастью, такое происходит не во всех финансовых организациях. Есть и положительные примеры.

Все правила, все лучшие практики ИБ, которые существуют сейчас в ИТ-компаниях, начиная с процесса разработки ПО и заканчивая основными принципами в обеспечения ИБ, - всё это наложится на финансовый сектор. Банку уже нельзя будет просто взять, разработать регламенты и положить их в стол, чтобы они там пылились. Вся ИТ-служба, все программисты, девопсы, поддержка и т.д. - все они должны будут работать согласно регламентам ИБ, которые разработаны в банке, именно на практике, а не по-бумажному.

Насколько, кстати, эти регламенты и требования регуляторов успевают за цифровизацией банков?

- В большинстве случаев не успевают, в отличие от тех же международных стандартов. Взять тот же PCI DSS. Я считаю его одним из примеров тех стандартов, которые не то что успевают, а действуют на опережение. У PCI DSS сейчас версия 3.2.1 и ожидается 4-я. Он постоянно дополняется и адаптируется к реалиям финансовых организаций. То же самое, надеюсь, произойдет и с российской нормативной базой.

Есть ли у нас сейчас законы или положения, которые адекватны реалиям?

- Ну, разве что новый ГОСТ Р 57580, хотя и у него есть недостатки. До этого стандарта вся нормативка была все-таки больше про бумажную безопасность. Если ГОСТ будет качественно внедряться в финансовых организациях, думаю, это будет большой шаг вперед для всей отрасли.

Что сейчас требует Центробанк от финансовых организаций с точки зрения обеспечения ИБ в целом?

- Я думаю, что регулятор все-таки видит и понимает ключевые риски, как и все участники рынка. ЦБ понимает, что несанкционированное списание денежных средств со счета клиента - это нехорошая история. Центробанк действительно хочет поднять уровень ИБ. Другое дело, что он делает это в основном с помощью топора. Менеджмент в финансовых организациях видит в ИБ все-таки расходную статью. Никто не заинтересован вкладывать деньги в то, что не приносит прибыль. ИБ для тех же банков - это неочевидная выгода. Как страховку купить.

Но ЦБ сейчас активизировался: выпускает новые стандарты, заставляет проводить аудиты по тем же 382-П и шестисотым положениям (положения №672-П, 683-П и 684-П - прим. ComNews). Только благодаря регулятору эти требования начали выполнять. Много лет по 382-П была только самооценка, которую финансовые организации могли себе просто нарисовать. С 2018 года самооценку запретили, и слава богу.

То есть ЦБ все больше заботит безопасность именно клиентов?

- Конечно. И это очень похвально. Но здесь надо все-таки сделать так, чтобы безопасностью клиентов были озабочены и руководители финансовых учреждений.

А им это сейчас неинтересно, потому что это расход? И потому что возможные убытки от того же фрода несопоставимы с затратами на ИБ?

- Очень тяжело оценить возможные убытки, потому что убытки бывают разные - как материальные, так и нематериальные. Репутационный ущерб оценить вообще очень тяжело - насколько он ударит по бизнесу организации? Я думаю, мало кто возьмется посчитать.

Руководители очень часто спустя рукава относятся к ИБ, рассчитывая на русское авось. Закрывают все какими-то документами, галочками и т.д. А ЦБ заставляет, штрафует. И вот эта постоянная игра в кошки-мышки будет, мне кажется, продолжаться еще какое-то время - ровно до того момента, пока руководители финансовых организаций не осознают, что репутация все-таки что-то значит.
Тут еще такая особенность, что реальные случаи фрода, слива средств и т.п. часто замалчиваются.

Банки всячески стараются не допустить огласки подобных инцидентов. В моей практике было несколько клиентов, которые рассказывали разные любопытные истории, начиная с физической кражи банкоматов и заканчивая полноценными киберпреступлениями. И эти инциденты никогда не всплывали в СМИ.

Когда все это изменится?

- Во-первых, когда поменяется менталитет. А во-вторых, когда произойдет изменение структуры самого банка. То есть когда он перестанет быть физической организацией и станет именно виртуальной, полностью переместится в смартфоны клиентов. Сливы и утечки в таком случае могут очень сильно подкосить бизнес компании. Представьте, если у какого-нибудь крупного онлайн-банка сейчас произойдет массовый слив. Очень многие задумаются, стоит ли оно того.

Что собой представляет безопасник в банке? Как он на все это смотрит?

- Типичный безопасник типичного банка - это загнанная лошадь. Он постоянно находится между молотом и наковальней. С одной стороны, ему надо выполнять все требования регулятора, которые на него спускаются. С другой - у него дефицит финансирования, времени и других ресурсов.

Слава богу, есть коллеги, которые хорошо смотрят на историю с ИБ и выделяют достаточно ресурсов. Там все хорошо и с точки зрения СЗИ, и с точки зрения кадров. Но во многих российских банках сидит один бедный безопасник, который разрывается между массой различных задач, которые на него сыпятся. Плюс ему еще нередко пытаются в каком-то виде ИТ-задачи передать. Но конечно, в случае, если произойдет слив, все шишки упадут именно на безопасника.

И много в России банков, где такая ситуация?

- По моему опыту, достаточно много. Но как я уже говорил, не везде так.

Поговорим об аудиторах. Как обстоят дела с аудиторскими компаниями в России? Какие здесь тенденции?

- Я наблюдаю две крайности. Первая: так как самооценку банкам запретили, а регуляторку выполнять надо, они пытаются всячески экономить и иногда выбирают себе таких аудиторов, которые даже не приезжают посмотреть на процессы по ИБ.

Хорошему аудитору всегда важно увидеть, как работает процесс на практике: как люди общаются между собой, какие полномочия у отдела ИБ, какие ресурсы. У безопасников очень много точек соприкосновения со всеми отделами и бизнес-процессами - например, при найме и увольнении персонала, выдаче учетных записей, change-менеджменте и т.д.

Хороший аудитор сразу оценивает, что и как происходит в банке. Если ИБ-процесс есть, он всегда оставляет следы. Это не всегда может быть какая-то формализованная история, но след всегда остается: какая-нибудь запись в журнале, служебка, письмо в электронной почте, что угодно. Аудитор смотрит на мельчайшие детали и делает вывод, работает или не работает процесс. Если аудитор не приезжает в финансовую организацию, ему сложно сделать такой вывод. В этом случае мы опять скатываемся в бумажную безопасность.

Как банки, которые делают некачественный аудит, потом живут с этим? Ведь регулятор может прийти и проверить уровень соответствия.

- Здесь опять срабатывает русское авось. Но проблема еще в том, что все стараются закрыться по-бумажному, потому что регулятор раньше относился к ИБ более лояльно. В целом всё очень сильно зависит от того, кто придет проверять. Ведь даже у регулятора проверяющие имеют разный взгляд на вещи и предпочтения при проверках, от человеческого фактора никуда не деться. Если придет проверяющий, который не захочет глубоко погружаться в техническую составляющую и в реализацию ИБ на практике, русское авось сработает.

Хорошо, а как вы работаете?

- Мы никогда не делаем аудит "по фотографии", за исключением разве что форс-мажорных обстоятельств. Стараемся выехать на место, посмотреть на процесс, на людей, на технику. Все эти три составляющих обязательно должны быть. Если процесс работает, там точно будут какие-то огрехи, которые в ходе аудита всплывают. Но это на самом деле хорошо - это значит, что сам процесс есть, а значит, и риски негативных сценариев снижаются. А огрехи всегда можно исправить.

Если же процесс не работает и его надо именно внедрять, это очень тяжело проходит. И это очень сильно увеличивает риски.

Надо еще понимать логику ЦБ, когда он запрещал самооценки и обязывал финансовые организации привлекать сторонние компании. Логика простая: внешний аудит поднимает ИБ в целом. Потому что любая внешняя компания, приходя в гости к финансовой организации, сразу же видит ошибки в процессах, потому что как минимум глаз не замылен. И в данном случае аудиторов - я имею в виду аудиторов с правильным подходом - не стоит воспринимать как экзаменаторов. Изначально аудиторы приходят для того, чтобы выявить недостатки и подсказать, как их лучше исправить, а не для того, чтобы напугать. Во всяком случае, я подхожу к аудитам именно так, с точки зрения помощника. Логика ЦБ, возможно, была еще и в том, что внешний аудит, если его проводит квалифицированный специалист, поднимет уровень знаний того же штатного безопасника. Может происходить обмен опытом в процессе аудитов или оценок соответствия.

Много ли хороших аудиторских компаний в России?

- Не более 20. Причем они находятся в разных сегментах: кто-то, помимо аудитов, сосредоточен на расследовании киберинцидентов, кто-то занимается интеграцией своих СЗИ, кто-то только консалтингом и оценками. Но с точки зрения аудитов все эти компании достаточно хороши.

А как выполняют наши требования банки с иностранным капиталом? Как все это у них происходит?

- Это интересная история, потому что у западных финансовых институтов вообще все устроено по-другому. Например, если человек приходит на работу в западный банк, он вступает в некий круг доверия. В сотруднике не видят потенциального внутреннего злоумышленника. Не во всех банках так, конечно, но зачастую уровень доверия к работнику на западе выше. В России все иначе.

Второе яркое отличие - аутсорсинг. У наших банков я практически не встречал такого, чтобы какие-то айтишные системы были отданы на аутсорсинг - например, облачному хостинг-провайдеру. Хотя у многих западных регуляторов даже есть стандарты по обеспечению ИБ облачных технологий. Там дана методика и рекомендации по выбору партнера для аутсорсинга.

В России доверие к аутсорсингу и облачным провайдерам не такое высокое. То есть облачные провайдеры и средний российский банк - это две разных вселенных. Да, есть исключения в виде аутсорсинга систем ДБО и процессинговых решений для эмиссии и эквайринга карт, но это не аутсорсинг ИТ-систем.

То есть у наших банков ИТ-инфраструктура исключительно локальная?

- Да, они покупают себе СХД, серверы, но при этом очень сильно страдают от технического долга. Оборудование во многих банках не то что предыдущего, а предпредыдущего поколения. До сих пор часто встречаем на аудитах, например, Windows XP, хотя основная поддержка для нее закончилась более 10 лет назад.

У западных банков зачастую весь непрофильный ИТ-сегмент отдан на аутсорсинг. Могу привести пример с одного из аудитов: корпоративные ноутбуки привязаны к облаку Microsoft Azure, учетки Microsoft, центральный корпоративный Active Directory - в облаке на Azure. И они вообще не думают о том, что здесь есть какие-то риски, какие-то утечки могут быть.

А у нас в том же ГОСТе описывается каким-то образом безопасность облачных сервисов?

- Нет. Аутсорсинг там вообще не учитывается. Как будто его не существует. Хотя у ЦБ выпущен документ СТО БР ИББС-1.4-2018 "Управление риском нарушения информационной безопасности при аутсорсинге", я не сталкивался на практике с тем, чтобы его применяли в среднем российском банке. Банки строят все инхаус. На мой вопрос, почему они не хотят рассмотреть какие-то облачные сервисы, они всегда говорят: "А как мы регулятору объясним, что у нас здесь в облачном сервисе что-то находится? У нас же лицензию сразу отзовут, вы что. Никогда в жизни". То есть они купят себе дорогущие NetApp, Cisco, Palo Alto и все что угодно, но в облачный сервис ни за что не переедут.

Как западные банки, которые присутствуют в России, относятся к требованиям нашего регулятора?

- У них от нашей нормативки волосы на голове встают дыбом. Когда они видят, что на каждое действие свой регламент, что это нельзя, то нельзя, а в конце нужно обязательно поставить русскую криптографию с криптошлюзом - они просто в шоке. Им кажется, что из этой коробочки вылезет товарищ майор и начнет махать палкой где-нибудь в Швейцарии. То есть они очень плохо понимают всю эту историю. У них все гораздо проще, хотя тот же PCI DSS тоже немало требований накладывает, но они более предметные и конкретные.

В западных стандартах есть такая вещь, как матрица ответственности. Если, опять же, провести аналогию с PCI DSS, то там примерно так: когда я отдаю что-то на аутсорсинг, я подписываю матрицу ответственности и говорю, что вот за этот сегмент или требование будет отвечать такой-то поставщик, за тот сегмент - другой.

Как российские банки пережили переход на удаленную работу с точки зрения обеспечения ИБ?

- Если смотреть на кейс небольших и средних российских банков, то к этой истории они были в большинстве случаев не готовы. Они пересаживали своих работников на удаленку в авральном режиме. Им же буквально за неделю-две надо было пересадить несколько сотен человек, не имея при этом ни оборудования (вспомним про технический долг), ни нужного ПО. Конечно, было много ошибок.

Это уже потом ЦБ разослал всем финансовым организациям письмо о том, как рекомендуется защищать удаленный доступ. И там было указано три пункта: использование VPN, MDM-систем и терминального сервера - Jump-сервера.

Мы же, как аудитор, рекомендуем все-таки двухступенчатую историю с 2FA. Это, например, VPN-клиент с отдельными учетками и OTP-кодом. Вторым этапом - терминальный сервер с отдельными учетками. Кто-то, может, скажет, что этого слишком много, что некоторые сотрудники точно запутаются в двух учетных записях. Но, по нашему мнению, это все-таки более безопасный вариант.

Как вы проводили аудиты в условиях карантина?

- Непросто. Мы сделали четыре аудита удаленно. Как я уже говорил, мы любим и привыкли очно смотреть на процессы. Процесс более первичен, чем его техническая реализация. Поэтому приходилось делать детальный опрос для изучения этого процесса. Мы беседовали по конференц-связи, по защищенному каналу, с достаточным количеством людей - от 10 до 15 человек, в зависимости от банка. Из-за этого сроки интервьюирования, правда, немного растягивались, потому что нам нужно было много чего изучить и обсудить.

Благо, теперь мы вернулись к нашей обычной практике, потому что, как мне кажется, вербальный контакт с безопасником наиболее оптимален для изучения процессов ИБ. Я не понимаю аудиторские компании, которые в принципе никогда никуда не ездят, которые проводят аудиты "по фотографии".

Как устроено ценообразование на рынке аудиторских услуг?

- Это очень сложный процесс. Здесь нет какого-то единого правила, все зависит от размера организации-аудитора, от ее аппетитов и от бизнес-процесса, который там поставлен, - с выездом, без выезда, сроки выполнения и т.д.

Кто-то предлагает от 100 тысяч рублей за ГОСТ, или за 382-П или, например, за пентест. Это какие-то нереальные деньги - слишком дешево, такого не бывает. У кого-то ценники начинаются от миллиона рублей.

И вот бедный безопасник банка смотрит на такой разброс цен и пытается понять, кто же ему нужен. Я, честно говоря, здесь не завидую безопаснику.

И как тогда выбирать аудитора?

- Первое: я бы посмотрел, для каких банков эта компания уже делала аудиты, были ли утечки или разгромные проверки ЦБ в этих банках после работы аудитора. Можно погуглить отраслевые новости, изучить информационный фон.

Если мне всё нравится, я бы позвонил в пару банков, узнал, как прошла работа, в каком формате, какие минусы есть у аудитора.

Далее - опыт. На этапе пресейла можно понять, насколько компетентен аудитор, по тому, как он общается. Можно задавать каверзные вопросы. Если человек теряется в каких-то важных вещах, понятно, что это не квалифицированные аудиторы, а просто два студента собрались.

Можно еще, конечно, посмотреть на сертификаты, лицензии и аттестаты. Проблема в том, что, учитывая российскую практику, все эти бумажки могут оказаться всего лишь бумажками. И не факт, что проект будут делать те специалисты, которых вам покажут на этапе пресейла.

Поэтому главных критериев выбора всего два - кейсы и опыт.