Начальник департамента защиты информации Газпромбанка на конференции ITSF 2017 рассказал Банкир.ру о потенциальных слабых местах дистанционного открытия счетов в банках, о меняющейся роли человека в банковском бизнесе и о том, что не стоит искать источники опасности только снаружи.
— [/b]Александр Викторович, ровно год назад мы беседовали здесь же, в Казани, и вы рассказывали о проблеме дроперов. Но за это время дроперские схемы стали довольно дорогими. И вот уже до нас доходит информация, что получение наличных на последнем этапе заменила покупка дорогостоящих гаджетов. Продавать их даже с дисконтом выгоднее и безопаснее, чем искать армию дроперов. Яркий пример того, как любая устраненная брешь в стене тут же обнаруживает альтернативу.
— Да, за минувший год число атак такого рода резко снизилось. На нашей стороне стоит мощная система антифрода, анализирующая платежные поручения по большому числу параметров. Бывают случаи, когда сами клиенты совершают… странные действия, но в целом количество результативных действий злоумышленников сократилось в десятки раз.
Растут грамотность клиентов и бдительность банков. По своим картам мы не наблюдали массовых закупок гаджетов. Но жулики неутомимы в поиске новых и новых уязвимостей.
Александр Егоркин, Газпромбанк: «За информационную безопасность платят, за ее отсутствие расплачиваются Начальник департамента защиты информации Газпромбанка рассказал Банкир.ру о росте квалификации хакеров, о сложности привлечения к ответственности злоумышленников и о том, как банку обеспечить контроль над ситуацией в ИБ в современных условиях.
— Вы упоминали в прошлом году о том, что стали страховать свои банкоматы от фрода, сказав, что это выгоднее, чем бесконечно повышать уровень защиты. Оправдала ли себя бизнес-модель?
— Вопрос не совсем в моей компетенции, но по моему мнению , если оснастить банкомат полной линейкой продуктов, защищающих его от всех видов угроз (качание, вскрытие, заполнение газом и т.д.), то он никогда не окупится. Поэтому достаточно поставить антискимер, «анти блэк бокс» и видиорегистратор, а остальные риски застраховать. И такой подход оказался рентабельным. Банкоматы остаются желанной целью для преступников – их и сверлят, и увозят целиком в неизвестном направлении. Страховка выручает.
— Совсем скоро станет реальностью дистанционное открытие счетов для клиентов, уже прошедших процедуру идентификации в других банках. Наряду с новыми возможностями и вызовами для бизнеса, это несет и определенные изменения в подходах к работе департамента защиты информации. На что, по вашему мнению, стоит обратить внимание?
— Определенные опасения у нас есть. Требуется очень строгая аутентификация. Упор делается на биометрию, но этот способ идентификации и аутентификации сегодня дает большое количество ошибок первого и второго родов. То есть не пускает, кого надо пускать, и пускает, кого не надо. Лично мне кажется, что биометрия хороша для идентификации, но не для аутентификации. То есть одно дело просто назвать себя, а другое – подтвердить это. Для второго необходимо некое знание (например, пароль) или наличие чего-то: цифровой ключ, eToken. В таком сочетании метод работает, но тут мы плавно подходим к другому моменту. Ведь на банки накладывается добровольное обязательство обмена клиентскими базами. Не уверен, что все кинутся это делать.
— С учетом того, что даже с FinCERT сотрудничают две трети банков…
— Да, и ведь там обмен информацией идет только об инцидентах и в обезличенном виде.
Фактически уровень защищенности базы будет зависеть от уровня защищенности пользователей. То есть стремиться к нулю
Есть противоречие с базой ЕСИА: с одной стороны, ее надо очень надежно защищать, а с другой у нее будет действительно много пользователей, которым необходим весь объем информации. То есть фактически уровень защищенности базы будет зависеть от уровня защищенности пользователей. То есть стремиться к нулю. Почему при атаке шифровальщиком WannaCry пострадали сети органов правопорядка? Да потому что они обрабатывают запросы клиентов, которые на тот момент уже были заражены. Причем заражены новым не известным вирусом, который не идентифицируется антивирусными средствами К ЕСИА будут обращаться банки, небанковские организации, пенсионные фонды – и однажды данные окажутся у злоумышленников.
Поэтому, повторюсь, аутентификация необходима. Точки присутствия банков должны де-факто превратиться в удостоверяющие центры. Традиционным операционистам там со временем будет делать нечего, но функции первичной регистрации и аутентификации сохранят важность. Собираемые данные должны разделяться и потом дополнять друг друга. То есть даже если злоумышленники достучатся в ЕСИА, полученной ими информации не должно хватать для действий от имени индивидуума и совершения транзакций.
В то же время, для клиента отсутствие необходимости визита в банк крайне удобно, и тот, кто это первым нормально реализует, завоюет рынок. Именно – нормально. Потому что, если в ходе реализации проекта вдруг утекут клиентские данные, от успехов не останется и следа. Да и от банка, возможно.
— За исключением данной темы, на что вы в первую очередь обращаете внимание в 2017 году?
Речь обычно идет не о классических атаках, а о злоупотреблении служебным положением в корыстных целях
— Конечно, внешние угрозы никуда не делись, и о них достаточно много говорят и регулятор, и средства массовой информации. Но я ни разу не видел сюжетов про инсайдеров, и этот дисбаланс, на мой взгляд, несколько противоречит реальности. Все реальные крупные хищения происходят внутри. Они и не видны, и недооценены. Возможно, потому, что речь обычно идет не о классических атаках, а о злоупотреблении служебным положением в корыстных целях.
Мы сейчас разворачиваем в банке тестовые платформы, которые позволят выявлять поведенческие отклонения среди сотрудников, имеющих возможности по перераспределению активов и доступ к персональным данным. Причем идет анализ действий сразу в нескольких рабочих средах.
Примеров превышения полномочий довольно много. Например, операционист может отследить текущий счет с внушительной суммой, которую никто не трогает пару лет. И положить ее на депозит с хорошим процентом. Если клиент придет, тут же вернуть ее обратно вместе с процентами. Если нет – само тело вклада вернуть, а проценты оставить себе. И это самый простенький пример. При торговле ценными бумагами нередко создается правильно организованная путаница, позволяющая отдельным гражданам работать «в себя».
Выявление и исключение таких фактов повысило бы эффективность отдельного банка и банковской системы в целом. И мне кажется, что в 2017 году надо очень пристально изучать именно внутренние угрозы. Древние китайцы не зря говорили, что предает только свой. Ведь враг предать не может.
— Но ведь у историй с инсайдерами есть и обратная сторона. В регионе молодому специалисту в банке предлагают сейчас 12-15 тысяч рублей за полный рабочий день. А ответственность высочайшая, и постоянно внушительные цифры перед глазами. Разумеется, низкий доход не повод, чтобы воровать и мошенничать. Но возникает чувство социальной несправедливости…
— Да, такая проблема есть. Далеко не всегда квалификация и права рядового сотрудника банка соответствуют его уровню дохода.
Мне кажется, выход в автоматизации. Как можно больше рутинных задач должны переходить с людей на машины. Людей в банке будет меньше, но перед ними будут стоять более творческие задачи по управлению автоматизированными процессами. И зарплата, соответственно, также возрастет.
— Ольга Дергунова в интервью нашему порталу говорила, что в течение пяти-семи лет услуга общения с живым банкиром должна стать платной и даже довольно дорогой.
— Я с ней согласен. Все бизнес-процессы в банке уже оцифрованы. Все договора, документы, ценные бумаги, проводки. И разного рода бумаги – лишь подтверждение транзакций, произошедших в цифровом виде. Не пора ли от них отказаться?
Ольга Дергунова, ВТБ: «Новые продукты должны принести 200 млрд рублей чистой прибыли» Заместитель президента-председателя правления группы ВТБ Ольга Дергунова рассказала «Новости Банков» о технологической модернизации банков группы ВТБ, которая является одним из приоритетов стратегии на 2017–2019 год.
— Блокчейн?
— Как вариант. Это очень интересная технология, хотя не стоит ждать ее повсеместного внедрения слишком скоро. И еще должны быть окончательно сняты сомнения в надежности блокчейн для применения в банке. Мы видим, сколько пилотов запускается вокруг, и однажды лучшие из них дадут правильные плоды.