Киберзащита в зеленых тонах
В силу своих масштабов и широты присутствия Сбербанк сталкивается со всеми существующими видами киберугроз — от попыток пробить периметр и до удаленных атак на банкоматы и попыток просверлить отверстия в них. ИБ-специалистам банка удается отражать эти угрозы, в том числе и потому, что они учатся мыслить как хакеры. Кроме того, на помощь приходят мощные аналитические решения, способные работать с большими данными. Однако до сих пор самым слабым звеном в защите остается человек. Мы задали несколько вопросов Сергею Лебедю, руководителю службы кибербезопасности Сбербанка.
Сбербанк — один из крупнейших банков в мире. Наверняка уровень киберугроз, с которым сталкиваетесь вы, нельзя даже сравнить с тем, с чем приходится соприкасаться обычному банку. Какие из угроз предотвратить сложнее всего?
Наш банк противостоит всем видам киберугроз, которые сегодня существуют в мире. Все они по-своему сложны, но для нас наиболее значимыми являются те атаки и угрозы, которые связаны с социальной инженерией. С помощью социальной инженерии злоумышленники атакуют наших клиентов, чаще всего самых незащищенных — пенсионеров. Злоумышленники обманывают их, представляясь сотрудниками банка или каких-нибудь благотворительных организаций. Они предлагают им участвовать в различных, якобы беспроигрышных социальных лотереях и в ходе разговора выпытывают у них конфиденциальную информацию, позволяющую получить доступ к их банковским счетам. Мы постоянно отслеживаем все виды атак в этом направлении. В нашем банке активно развиваются системы фрод-мониторинга, которые обнаруживают различные виды мошенничества, включая конечно и социальную инженерию. Такие системы мы постоянно совершенствуем, но и киберпреступники тоже не стоят на месте и придумывают все новые методы обмана наших клиентов.
Конечно, для нас представляют угрозу и другие виды атак, в частности на банкоматы. Со скимингом мы научились бороться достаточно успешно, хотя и здесь злоумышленники придумывают все более и более изощренные средства.. Сегодня злоумышленники освоили новый способ атак — они просверливают технологические отверстия в банкоматах, подключаются к их системам управления и с помощью программного интерфейса дают команду на выдачу денежных средств. Для нас это новый вид угроз, и мы пока отстаем в их предотвращении, однако принимаем все меры, чтобы блокировать их. Впрочем, традиционные атаки, такие как фишинг, вирусные рассылки и троянские программы, не утратили своей актуальности, и здесь мы продолжаем совершенствовать свои средства защиты.
Наверное, лучший способ борьбы с социальной инженерией — просвещение клиентов?
Мы эту проблему обозначили как необходимость развития культуры кибербезопасности наших клиентов и даже шире – населения, страны. Иногда мы используем термин «кибергигиена» и проводим информационные кампании по повышению осведомленности наших клиентов, используя для этого различные каналы — банковские офисы, сайт, памятки, обучение сотрудников, оказывающих помощь нашим клиентам, подвергшимся действиям киберпреступников. Конечно, мы проводим эту работу и за пределами наших офисов — в вузах, на различных отраслевых мероприятиях, в телепрограммах и т. д.
В прошлом году в Сбербанке был создан единый операционный центр по информационной безопасности. Что это за структура, и чем она занимается?
Сегодня атаки носят в основном комплексный характер. Злоумышленники используют все доступные каналы и средства коммуникаций. Повысить эффективность системы защиты можно тоже за счет современных подходов в управлении инцидентами, комплексного учета всех угроз, работы с информацией, поступающей из всех источников, как наших, так и партнеров — крупных центров мониторинга, например FinCERT. В нашем операционном центре мы стараемся не предотвращать последствия уже совершившихся атак, а предупреждаем их возникновение. Есть и другие причины, почему мы создали такой центр. Прежде всего, они связаны с необходимостью быстрого обмена информацией и большим количеством событий, происходящих в наших автоматизированных информационных системах. Через одну точку входа мы обслуживаем миллионы пользователей, поэтому любая удачная атака злоумышленников может за короткий срок привести к чудовищным последствиям. Вот почему в операционном центре мы должны уметь в режиме, приближенном к реальному, не только защищать, но и отслеживать все, что происходит в наших информационных системах.
Какие системы действуют в операционном центре, и какими мощностями он располагает?
В основе центра лежат две технологии — SIEM и большие данные. Под последним подразумевается хранение практически всех данных, относящихся к безопасности в банке. На их основе мы учимся обнаруживать новые атаки и угрозы, выделять правила и вносить их в соответствующие средства защиты. Также большие данные позволяют бороться с внешним и внутренним мошенничеством и более тонко настраивать наши антифрод-системы.
Это самообучающиеся системы?
К сожалению, до самообучения системы безопасности мы пока не дошли, это станет следующим шагом, который позволит расширить интеллектуальные возможности наших защитных средств. Пока же мы работаем по традиционной схеме. У нас есть data scientist — специалисты, решающие задачу по использованию «сырых» данных в нашем data lake, то есть «озере данных», где строятся различные модели и процессы, направленные на обеспечение безопасности.
Насколько актуальна для вас проблема импортозамещения?
Учитывая высокие требования к нашим системам, мы стараемся использовать лучшие решения на рынке. В большинстве случаев это, конечно, зарубежные разработки, но и от российских мы не отказываемся, если они соответствуют нашим запросам. Кроме того, мы выполняем регламенты регулятора в области специфического ПО. Это означает, что в банке установлены только сертифицированные в России средства криптографической защиты, и здесь мы применяем практически все, что есть на современном рынке. У нас развернута самая большая криптосеть на базе российских средств. Но все-таки проблема импортозамещения для нас не самая актуальная.
Недавно президент Сбербанка Герман Греф объявил о переходе на Agile-модель разработки. Затронет ли это сферу информационной безопасности?
В структуре департамента безопасности есть отдел, который сопровождает все проекты по разработке и модернизации автоматизированных информационных систем в Банке. Поэтому все нововведения в области жизненного цикла программного обеспечения имеют к нам самое непосредственное отношение. Наши специалисты уже сейчас принимают участие в разработке информационных систем по Agile-модели. Мы уже полностью погружены в методологию и планируем свои дальнейшие действия исходя из новых процессов, по которым теперь будет разрабатываться ПО. Так же мы смотрим и на опыт использования Agile в управлении не только разработкой ПО - в текущем году команда Сбербанка посетила крупнейшие компании США, разрабатывающие средства информационной безопасности. Мы знакомились с деятельностью операционных центров безопасности и наблюдали, как в них практически реализована методология Agile. Этот опыт нам показался очень полезным, и мы намерены его внедрять в нашем операционном центре.
Совсем недавно в вашей дочерней ИТ-компании «Сбербанк-Технологии» создано подразделение, специализирующееся на разработке решений по информационной безопасности. Какие продукты оно будет готовить для вас?
В «Сбертехе» существует два подразделения, которые взаимодействуют с нами при обеспечении задач информационной безопасности. Первое внедряет процессы безопасной разработки. Оно хорошо решает свои задачи, и мы им очень гордимся. Совсем недавно в «Сбертехе» создан Центр компетенции кибербезопасности. Это большая проектная команда, призванная участвовать в наших проектах. Специалисты Центра будут разрабатывать решения для антифрод-систем, для систем биометрической аутентификации, средств защиты периметра и т. д. Кроме того, в составе Центра компетенции будут работать специалисты по большим данным.
Хотелось бы вернуться к проблеме социальной инженерии и человеческого фактора, только взглянуть на нее уже с позиции сотрудников, которые тоже нередко становятся целью атак злоумышленников. Обучаете ли вы их, как не стать жертвой киберпреступников?
Для того чтобы понять о каких переменах идет речь, попробуем сфокусироваться на событиях после 2022 года и их масштабах с точки зрения кибербезопасности.
Конечно, мы уделяем огромное внимание повышению уровня знаний в сфере кибербезопасности у наших сотрудников. У нас существует отдельная программа, в рамках которой мы занимаемся разъяснениями, обучением и агитационной деятельностью. Проводим и тренировки в условиях, приближенных к боевым. Мы обучаем сотрудников правильной реакции на фишинговые рассылки, учим безопасной работе как с нашими системами, так и вообще безопасному существованию в цифровом мире. Отдельное внимание уделяется технической грамотности самих сотрудников подразделений по кибербезопасности. Для этого мы стараемся научить их думать и действовать как хакеры, а потому сотрудничаем с ведущими лабораториями и центрами информационной безопасности. Даже проводятся соревнования между нашими сотрудниками, где они состязаются в хакерском мастерстве.
Изучаете ли вы опыт зарубежных коллег из финансового сектора? Востребован и применим ли этот опыт в России?
Мы постоянно изучаем опыт ведущих игроков из финансового рынка, в том числе и в части организации процессов управления информационной безопасностью, организации операционных центров по управлению безопасностью. Все технологии строятся на открытых стандартах, поэтому какой-то особенной российской специфики в части технологий не существует. А вот что касается организации процессов управления – здесь есть чему поучиться. Это и организация коммуникаций (коларборация), Agile-управление, управление рисками, управление инциндентами, проактивное реагирование, киберразведка – во многом это новое для Российского рынка. Что касается управление требований со стороны бизнеса, здесь, конечно тоже специфика есть. Она заключается в некоем наследии и планах развития, ожиданиях бизнеса, понимании того, в какую сторону будет двигаться банк. Стратегия такова, что банк должен постепенно превратиться в ИТ-компанию с банковской лицензией. Это означает, что вопросы безопасности будут в наивысшем приоритете для достижения тех целей, которые ставит перед собой банк.
Все больше клиентов пользуются мобильным банкингом. Приложение Сбербанка для мобильных устройств считается одним из лучших, его не раз удостаивали различных наград. В каком направлении планируется развивать его функциональность в области защиты данных?
Большое влияние на безопасность оказывает сама платформа, на которой функционирует наше приложение. Больше всего мы ждем повышения надежности самой операционной системы Android. Все меры по защите данных в самом приложении мы реализуем на достаточно хорошем уровне. Это надежные пароли, криптографическая защита, подтверждение различных событий и т. д. Часть защитных механизмов требует поддержки со стороны операторов связи. Мы пытаемся этот вопрос решить системно, взаимодействуя со всеми операторами.
И последний вопрос. Насколько топ-менеджмент Сбербанка внимательно относится к вопросам кибербезопасности?
Наши вопросы и проблемы находятся у руководства в наивысшем приоритете. С начала этого года подразделения Департамента безопасности спасли свыше восьми миллиардов рублей. Это деньги наших клиентов, а такие суммы как нельзя лучше свидетельствуют о целесообразности нашей работы и нашего дальнейшего финансирования.
Опубликовано 09.09.2016