Руководитель дирекции технических средств защиты банка Уралсиб во время форума ITSF 2017 в Казани рассказал Bankir.ru о тонкостях использования ЕСИА, об актуальных угрозах в сфере безопасности и уникальном подходе банка к подготовке лояльных и заинтересованных кадров.
Возможность открытия полноценного счета в банке без необходимости визита в отделение из красивой идеи очень быстро превращается в реальность. И если плюсы для клиента очевидны, то трудности для самих банков остаются за кадром. На что, по вашему мнению, стоит обратить внимание?
Регуляторы поддержали законопроект, который упростит порядок открытия счетов в банках и получение других услуг клиентами без личного посещения финансовой организации. Сведения для удаленной идентификации будут храниться в Единой системе идентификации и аутентификации (ЕСИА), через которую происходит авторизация пользователей на сайте государственных слуг. Однако, чтобы получить удалённый доступ к банковским услугам клиенту всё равно сначала необходимо будет посетить банк, чтобы предоставить свои персональные данные. Банк направит эти сведения в ЕСИА, после чего пользователь получает возможность дистанционно открывать счета и проводить по ним операции. Регулятор будет выбирать кредитные организации, которые смогут собирать и передавать персональные данные клиентов с целью удалённой идентификации.
— FinCERT сообщает, что число атак на банки в первом квартале 2017 года резко сократилось. Замечаете ли вы это сокращение на своей стороне?
— Мне кажется, радоваться этому не стоит. Да, число веерных атак сокращается, но одновременно растет число атак точечных, подготовленных под конкретный банк. Эпоха случайного заражения закончилась. Выбирается жертва и пишутся специальные вредоносные программы, причем зачастую это происходит на основе данных, собранных в ходе предварительного заражения. И это, к сожалению, «работает».
О внешних угрозах и средствах борьбы с ними много говорится на профильных конференциях, в том числе таких, как ITSF в Казани. Появилось эффективное оборудование, выполняющее роль «песочницы» (sandbox), где входящие почтовый и интернет-трафик проходят проверку на подозрительную активность. Последнее очень способствует снижению числа «успешных» заражений.
Удаленный доступ к локальной сети банка — также источник угроз
О внутренних угрозах говорится гораздо меньше, и обмен опытом здесь не очень распространен. Однако у каждого банка есть проверенный набор средств борьбы. Например, какие основные каналы утечки? Сменные носители. Использовать специализированное ПО, разграничивающее доступ к ним и позволяющее вести аудит копируемых данных. Второй канал — электронная почта. Надо разграничивать доступ, без необходимости не разрешать отправку писем вовне. Опять же — контроль исходящего почтового трафика.
Удаленный доступ к локальной сети банка — также источник угроз, и в то же время функция, спрос на которую растет очень быстро. Все чаще администраторы систем работают удаленно, плюс в банках становится все больше разработчиков ПО, значительная часть которых не сидит в офисе. Трейдеры, инвестиционные банкиры— у всех есть потребность в дистанционной работе. Мы создаем условия для нее, однако так же, как и в случае со сменными носителями, контролируем и разграничиваем все действия пользователей и ведем запись их сессий.
Конечно, есть каналы, которые мы контролировать пока не можем. Например, что мешает человеку сфотографировать экран компьютера на телефон и отправить его через личную почту на смартфоне или вынести информацию на бумажных носителях. Здесь помогают только такие традиционные вещи, как лояльность сотрудника, авторитет руководителя и т.д. Обычно человек не начинает совершать незаконные поступки внезапно, на ровном месте.— Но тут ведь есть проблема, о которой мы уже беседовали с вашими коллегами. Молодой специалист, приходя в банк после вуза, зарабатывает очень скромно, а ответственность на нем лежит серьезная. Лояльность тоже сформироваться не успела. Это же просто естественная среда для формирования инсайдеров.
Студенты проходят в Уралсибе преддипломную практику. Дипломники приходят к нам, работают в банке и делают не абстрактные, а вполне боевые дипломы, базирующиеся на реальных решениях по защите инфраструктуры банка
— Конечно, здесь многое зависит от профессионализма HR и интуиции руководителей подразделений, принимающих участие в собеседованиях. Но, если говорить именно о молодых специалистах, то в нашем банке работа с ними начинается задолго до того, как они получат диплом. Студенты проходят в Уралсибе преддипломную практику. Наше подразделение сотрудничает с одним из технических ВУЗ-ов, и добрая половина наших сотрудников закончила именно его. Взаимодействие со студентами выходит далеко за пределы «парадных» форматов. Дипломники приходят к нам, работают в банке и делают не абстрактные, а вполне боевые дипломы, базирующиеся на реальных решениях по защите инфраструктуры банка. Например, один из моих коллег неоднократно выступал в качестве председателя экзаменационной комиссии. И, конечно, в ходе такого взаимодействия мы уже понимаем потенциал молодого специалиста. Несколько человек после написания диплома на наших мощностях и последующей его защиты вышли работать в банк. Причем работают они именно над развитием идей, содержавшихся в дипломе.
Вот и лояльность, вот и заинтересованность в результате. Наверное, на совсем базовых должностях такой глубокий отсев невозможен, но в деле защиты информации мы справляемся неплохо.
— У вас в подразделении много незакрытых вакансий?
— Ни одной. Штат полностью заполнен. И, как я уже говорил, среди сотрудников немало молодых ребят, закончивших вуз 2-3 года назад.
У Уралсиба два главных офиса, в Москве и Уфе, большая филиальная сеть. Основную работу мы осуществляем из центров, однако есть и люди на местах. Работы всем хватает.
— Проблема дроперов остается актуальной?
— Скажем так, попытки их использования продолжаются, однако развитие систем антифрода не стоит на месте. У нас анализируются денежные потоки по открытым счетам, и если у компании несколько месяцев подряд были единичные транзакции на небольшие суммы, а потом вдруг пришло несколько миллионов рублей и их сразу пытаются вывести, это привлекает внимание сотрудников банка, и транзакция переходит на ручную обработку. Технические средства для предотвращения фрод-мошенничества обязательно должны быть внедрены.
— Сейчас появляются новые схемы, когда вместо использования дроперов на украденные деньги закупаются высоколиквидные товары. В частности, техника Apple. Продать ее с дисконтом 25% проще и выгоднее, чем следить за людьми с заведомо пониженной социальной ответственностью.
— Не буду раскрывать детали, но в системе антифрода есть инструменты для контроля и мониторинга операций по банковским картам в интернет-магазинах. Учитывается среднестатистический профиль владельца карты, средние суммы трат и т.д. Анализ транзакций ведется сразу на нескольких уровнях — карта-магазин-пользователь, что позволяет повышать уровень безопасности онлайн-платежей и снижать риски интернет-фрода.
— Какие задачи вы ставите для себя до конца 2017 года?
— Я отвечаю за технические средства защиты, и наша деятельность происходит в рамках единой стратегии банка в области информационной безопасности.
В следующие полгода мы продолжим модернизировать наши инструменты для обеспечения информационной безопасности Банка. Конечно, с учетом всех постоянно возникающих угроз. Банк уделяет большое внимание информационной безопасности, и все необходимые инструменты для этого у нас есть. Просто надо их обновлять. Любой продукт должен работать и приносить прибыль, пусть иногда и опосредованно. Просто покупать и смотреть, пригодилось или нет, это неправильный подход.
— То есть в первую очередь это все же поддержка, а не экстенсивное развитие.
— Развитие сервисов информационной безопасности тесно коррелирует с развитием бизнес-услуг и ИТ-сервисов банка. Мы развиваемся в соответствии с потребностями бизнеса и факторами внешней среды, внедряем новые, модернизируем старые системы. А главное — постепенно определяем для сервисов ИБ не только цели поддержки бизнеса, сокращения его издержек, снижения количества инцидентов и прочее, но и цели, которые напрямую влияют на финансовый результат.
