Практика обеспечения ИБ в российском финансовом секторе

Обсуждение наиболее типичных проблем финансовой отрасли — так задал направление круглого стола «Информационная безопасность в финансовом секторе: актуальные вопросы и новые вызовы», который прошел в рамках конференции «Безопасность в финансовой сфере: тренды, кейсы, инструменты», его модератор Лев Матвеев (SearchInform).

Отвечая на вопрос, как сегодня выглядит рейтинг угроз банкам с позиции ИБ, Андрей Киселев (НРК-Р.О.С.Т.) сразу упомянул пресловутый человеческий фактор: технические средства защиты можно наращивать и донастраивать, а люди неизбежно либо совершают ошибки, либо вообще встают в вопросах ИБ на сторону темных сил. Следующими по значимости он назвал уязвимости в ПО и некорректные конфигурации ИТ- и ИБ-оборудования (которые, кстати, чаще всего тоже оказываются связаны с человеческим фактором).

Андрея Киселева поддержал Сергей Матвеев («ИнфоТеКС ИнтернетТраст»), согласившийся с превалированием угроз от человеческого фактора над всеми другими ИБ-проблемами, причем не только в финансовой сфере.

Вячеслав Касимов («Московский кредитный банк») напомнил, что воровать деньги злоумышленники могут как у банков, так и у их клиентов. Для клиентов больной темой остается социальная инженерия. Сами же банки страдают от хакерских атак, которые смещаются в сторону веб-приложений и атак через третьих лиц (т. н. цепочки поставок). От внутренних злоумышленников, по его мнению, банки должны стараться максимально защищаться еще при приеме сотрудников на работу.

Согласившись с коллегами в отношении влияния на ИБ человеческого фактора, Олег Волков (банк «Зенит») напомнил о необходимости корректного ограничения доступа сотрудников к ресурсам банка, а также регулярных мер повышения ИБ-грамотности персонала, информирования о последствиях нарушения ИБ-правил.

Развивая тему неотвратимости наказаний за ИБ-нарушения, он сообщил о существовании в его банке специального подразделения, которое сосредоточено на взаимодействии с правоохранительными органами, помогая им в сборе юридически значимых данных, необходимых для расследования нарушений. Он рассказал о двух недавних расследованиях, завершившихся назначением виновным условных сроков наказания. В воспитательных целях эта информация была доведена до сотрудников, и, по словам Олега Волкова, воздействовала на них как «разорвавшаяся бомба», а периодическое напоминание о случившемся продолжает работать наравне с прочими мерами повышения ИБ-грамотности.

По мнению Сергея Матвеева, далеко не всегда финансовые организации готовы выносить «сор из избы», и в случаях нарушений сотрудниками правил и должностных инструкций предпочитают не доводить дело до судебных разбирательств, ограничиваясь увольнениями провинившихся. Одной из весомых причин такого поведения Вячеслав Касимов считает расходы, которые организации несут в процессе расследований. Кроме того, из-за загруженности, а порой недостаточной компетентности правоохранительные органы не всегда в состоянии использовать информацию, предоставляемую им пострадавшими организациями.

Сергей Матвеев полагает, что зачастую большое количество запретов и ограничений не помогает, а мешает контролю соблюдения сотрудниками ИБ-политик. Так, в его организации разрешено использовать в рабочих процессах сервисы Scape и Telegram. По его словам, это помогает ИБ-службе загодя выявлять намерения работников, которые готовятся совершить должностные преступления. Использование IP-телефонии, работающей через гарнитуры, позволяет использовать их микрофоны как инструмент контроля общения сотрудников как с внешними абонентами, так и между собою.

Во время обсуждения проблемы утечек данных клиентских банковских карт Олег Волков высказал мнение о том, что главным их источником являются не банки, а покупающие у банков платежные сервисы интернет-магазины с услугами доставки. Украсть данные владельцев банковских карт из интернет-магазинов, считает Вячеслав Касимов, гораздо проще, чем из банков, и, кроме этого, для магазинов (в отличие от банков) эти данные не являются ценностью: сегодня у покупателя карту украли — завтра он придет за покупками в тот же магазин с другой.

Для снижения рисков кражи денег с банковских карт Лев Матвеев рекомендует при оплате покупок в интернет-магазинах использовать отдельную (желательно виртуальную) банковскую карту, на счету которой постоянно находится некая минимальная сумма, которая непосредственно перед покупкой пополняется с других счетов до необходимого значения.

Олег Волков напомнил, что если бы в интернет-коммерции было обязательным подтверждение платежей кодом, передаваемым через SMS (технология 3-D Secure), пользоваться банковскими картами при покупках в интернет-магазинах (и не только) было бы гораздо безопасней. Однако, ни в России, ни в мире 3-D Secure обязательной не является.

it Week, 07.06.2021