CNews: Какой была динамика расходов на информационную безопасность в 2012–2014 годах? Какие факторы или проекты станут драйверами роста в следующие два года?
Алексей Плешков: К сожалению, в связи с появлением новых угроз, таких как DDoS-атаки, мошенничество в розничном и корпоративном сегментах, утечки конфиденциальной информации по новым каналам, в 2012–2014 годах ИБ-бюджет рост. В связи с изменением политической и экономической ситуации в России в 2015–2016 годах, по моему мнению, организации банковской системы РФ будут сокращать размер бюджета, выделяемого на защиту информации. Основной акцент будет поставлен на завершение ранее начатых долгосрочных проектов, а не на развитие новых направлений.
CNews: Какие виды киберугроз наиболее характерны для вашей отрасли?
Алексей Плешков: «Газпромбанк» – крупная финансовая организация. Основным объектом кибератак в отношении нашего банка являются наши активы и наших клиентов (несанкционированный доступ, мошеннические операции, незаконное обогащение и пр.), а также информация, составляющая банковскую и коммерческую тайну, и персональные данные.
CNews: Столкнулся ли банк за последнее время с ростом киберугроз? Зафиксировали ли вы увеличение комплексных кибератак?
Алексей Плешков: В 2014 году нами зафиксировано существенное увеличение атак с применением высоких технологий в отношении активов и клиентов нашего банка: появились новые способы установки скимминговых устройств на банкоматы, выявлены попытки злоумышленников рассылать по электронной почте в адрес клиентов и контрагентов программы с потенциально опасными последствиями, установлены факты применения в отношении сотрудников методов социальной инженерии. По своей сути все выявленные нами атаки являются комплексом (последовательностью) взаимосвязанных шагов злоумышленников, цель которых – получить несанкционированный доступ к данным и/или активам клиентов и банка. В настоящее время мы сталкиваемся с такими типами атак, о которых еще 10 лет назад в России никто не слышал.
CNews: Как вы предотвращаете инциденты, которые могут произойти по вине работника банка? Проводится ли обучение сотрудников для минимизации рисков?
Алексей Плешков: Мы делим нарушителей на внутренних и внешних. Модель нарушителя информационной безопасности в финансовой организации, в соответствии с требованиями стандарта Банка России, должна предполагать рассмотрение как внешнего нарушителя (хакеры, подрядные организации, иностранные эксперты и пр.), внутреннего нарушителя (сотрудники, лица, допущенные к внутренним ресурсам, и пр.), так и сговор двух указанных выше субъектов доступа.
Для минимизации рисков, связанных с действиями внутреннего нарушителя, мы применяем комплект организационных мер – обучение, инструктажи, регулярное информирование, применение системы штрафов и прочее – и технические способы контроля и выявления – агентский контроль на рабочих местах, контроль сетевого доступа и работы с периферийным оборудование, контроль доступа в банковские системы.
Наше руководство регулярно принимает решения о проведении обучающих семинаров по информационной безопасности для сотрудников головного офиса и региональной сети, согласовывает разработку и актуализацию внутреннего курса повышения осведомленности работников по вопросам обеспечения защиты информации. Все эти факты, мы уверены, позволят в перспективе снизить количество инцидентов, связанных с действиями внутреннего нарушителя.
CNews: Есть ли в вашей компании классификация киберугроз? В чем сложность применяемой методики?
Алексей Плешков: Для построения эффективных процессов по сбору и анализу инцидентов информационной безопасности в нашей организации на уровне внутреннего нормативного документа зафиксированы классификаторы (справочники) основных угроз, адаптированные под крупную финансовую организацию, предложенные регуляторами модель угроз и модель нарушителя. Также утвержден перечень способов по минимизации рисков реализации данных угроз. Формализованные классификаторы и справочники используются как для автоматического выявления и назначения инцидентов экспертам для расследования, так и при мануальном анализе возникающих инцидентов.
CNews: Какие новейшие инструменты вы готовы внедрить для обнаружения таких атак?
Алексей Плешков: К сожалению, методология и инструментарий для обнаружения и предотвращения современных атак по понятным причинам появляются на рынке существенно позднее момента первых реализаций атаки. За время, пока разрабатываются подходы, «создатели» атаки и лица, ее реализующие, успевают получить доходы, существенно превышающие расходы на реализацию.
Именно поэтому мы в нашей организации стараемся придерживаться комплексного подхода в обеспечении информационной безопасности и применяем целый набор инструментов для раннего обнаружения атаки и минимизации ее последствий. К ним относятся: эшелонированная защита программно-аппаратными комплексами межсетевого экранирования, применение систем сбора и анализа инцидентов информационной безопасности, систем e-mail и SMS оповещения о наступлении критичных событий, аналитических модулей для экспертизы методов и инструментов проведения атак и пр.
CNews: Планируете ли вы внедрение аналитических инструментов для оперативного выявления потенциальных инцидентов и дыр в системе безопасности?
Алексей Плешков: С целью минимизации последствия наступления инцидентов информационной безопасности в автоматизированных банковских системах, при поддержке руководства банка, в период с 2009 по 2014 в ГПБ (ОАО) на плановой основе происходит внедрение и развитие программно-аппаратных составляющих комплекса систем, направленных на выявление и предотвращение инцидентов.
В 2010 году создан Ситуационный центр информационной безопасности, на базе которого построены системы выявления и мониторинга возникновения инцидентов в масштабах всего банка. Сотрудниками Ситуационного центра успешно внедрены и применяются в настоящее время такие решения, как системы патч-менеджмента, выявления уязвимостей, а также инструменты анализа исходных кодов на предмет наличия недокументированных возможностей.
CNews: Как вы относитесь к концепции BYOD?
Алексей Плешков: К BYOD мы относимся с недоверием. По этой причине для работы с мобильных и переносных устройств для наших сотрудников мы стараемся предоставлять проверенные нами устройства (ноутбуки, телефоны, планшеты, съемные носители и пр.) с установленными программно-аппаратными средствами защиты информации.
CNews: На ваш взгляд, как изменится рынок решений для информационной безопасности в вашей сфере в ближайшие два-три года?
Алексей Плешков: Прогнозы изменений на рынке решений для информационной безопасности сегодня появляются достаточно часто. Традиционно, в связи с изменением политической ситуации, повсеместным проявлением стратегии импортозамещения, ужесточением требований регуляторов в части применения сертифицированных средств криптографической защиты данных, допускаю смещение акцентов рынка в сторону отечественных решений, появление на рынке новых специализированных конкурентоспособных систем от российских разработчиков, постепенный и неизбежный отказ от дорогостоящих решений крупных иностранных поставщиков, снижение оттока квалифицированных специалистов в западные компании, и, как следствие, расширение внутреннего «кадрового рынка» специалистов по информационной безопасности в России.