В современном мире хранение банковской информации, ее стоимость и значимость многократно возросли, что, в свою очередь, не могло не привлечь рост преступного интереса к ней.
Для совершения кражи и взлома банковской системы злоумышленнику вовсе не обязательно врываться в банк. Осуществить взлом пользователь сети может со своего персонального компьютера, поэтому проблема вопроса информационной безопасности в банках стоит достаточно остро.
Мы поговорили с руководителем отдела информационной безопасности банка "Левобережный" Сергеем Федотовым и постарались узнать особенности и специфику банковской безопасности, а также секреты руководства отделом ИБ в банке.
– Поговорим о работе сотрудника отдела ИБ в банке. Что входит в Ваши обязанности?
– Если говорить про мои обязанности, как руководителя отдела ИБ, то это, прежде всего, руководство подразделением. Сотрудники нашего отдела входят в управление оценки банковских рисков, поэтому основная наша обязанность – оценка рисков. Есть два направления, по которым работает отдел информационной безопасности любого банка. В первую очередь, мы ответственны за обеспечение внутренней безопасности. В этом случае речь идет о защите наших данных, наших серверов, конфиденциальной информации – всей информации, которую мы обязаны защищать. Также есть дополнительная защита, которую мы должны обеспечивать согласно требованиям ЦБ РФ – защита денег наших клиентов.
Таким образом, направления деятельности сотрудников отдела информационной безопасности банков глобально отличаются друг от друга. Одно дело, заниматься защитой банковских приложений, антивирусной защитой, настраивать прокси-сервера, разрабатывать правила внутренней безопасности. Другое – защищать клиентов, ведь, к сожалению, финансовая грамотность большинства российских граждан находится на очень низком уровне, чем и пользуются мошенники.
– Этим занимаются сотрудники-универсалы? Или каждому направлению нужны свои специалисты?
– В этом очень большая разница между спецификой информационной безопасности, которая была лет 7-10 назад, и той, что есть сейчас. Раньше один человек мог делать всё: и настраивать антивирусы, и заниматься сетевой безопасностью, и работать с клиентами. Потому что случаев атак в принципе было меньше. Теперь же одному не справиться со всем и сразу. Сейчас атак стало больше, они стали разноплановее и разнообразнее. Также появилось еще одно направление – кибербезопасность. Тут еще более узкая специализация – когда речь идет про уязвимости в конкретном приложении, не обойтись без специалистов ИБ, которые разбираются в коде. Также нужны специалисты по антифроду, которые придумывают новые правила, анализируют транзакции клиентов и, чтобы суметь защитить клиентов, анализируют, как можно их обмануть. Для того, чтобы защищать, нужно знать, как действуют мошенники. Как говорится: "Чтобы поймать преступника, нужно думать, как преступник".
– Почему Вы выбрали именно банк? Задумывались ли о работе в других организациях?
– Я работал специалистом по информационной безопасности в другой организации – защищал холдинг, занимающийся производством и сбытом мясных изделий. Потом меня пригласили в банк на должность руководителя службы ИБ. Захотелось попробовать себя в новой сфере, расти дальше. Банковская безопасность имеет свою специфику, в связи с чем появляется ряд серьезных отличий банковской безопасности от информационной безопасности других типов организаций.
– Каждому банку нужен отдел ИБ? Или можно обойтись и без него?
– Невозможно обойтись. Есть ряд требований Центробанка (регулятора в области информационной безопасности в банках) – он постоянно выпускает регламенты, регулирующие деятельность ИБ в банковской сфере. Требования Центробанка – это регулируемая часть отрасли. Служба информационной безопасности в банке не должна подчиняться ни управлению автоматизицаии, ни службе экономической безопасности, потому что, в противном случае, будет конфликт интересов.
– Часто приходится "защищаться"? Вы всегда начеку или, скорее, работаете в штатном режиме?
– Быть "всегда начеку" и есть наш штатный режим. Мы постоянно имеем дело с мошенниками. Есть мошенники, которые пытаются украсть деньги у наших клиентов, есть мошенники, которые пытаются атаковать банк. Наши системы безопасности работают непрерывно. Мы отбиваемся и постоянно тестируем новые технологии. Также важно систематически проводить беседы с сотрудниками и тестировать их. Мы проводим ролевые игры – пытаемся сами "взломать" банк через сотрудников, смотрим на их реакцию и последовательность действий. Для этого мы рассылаем фишинговые письма – по факту мы занимаемся социотехнической инженерией, повторяя потенциальные действия злоумышленников. Функционал "вирусных" писем заключается в проверке действий персонала (запустят вирус или нет?).
– Какие атаки на банки бывают?
– Атаки бывают разные. Вот сейчас идет атака на клиентов банка. Мы постоянно думаем, как нам сохранить баланс, ведь мы не можем блокировать все транзакции клиентов – бизнес перестанет работать. Мы должны вычислять подозрительные вещи и блокировать только их. Но мошенники адаптируются, меняют тактики, меняют подходы, заходят с другой стороны… Мы постоянно меняем правила и стараемся придерживаться "правила золотого треугольника" ИБ. На сегодняшний день трендами являются целевые (таргетированные) атаки. В таком случае команда злоумышленников изучает объект и атакует, зная уязвимые места, затрачивая своё время и свои ресурсы. У нас постоянно идет "гонка вооружений", по-другому это никак не назовешь.
– А вообще, насколько сложно взломать банк? Сколько времени потребуется для взлома?
– Сейчас прямые атаки на банки практически не совершают. У банков есть серьезная система безопасности, атаковать напрямую, "в лоб", слишком сложно и дорого. Придется вложить много денег – купить уязвимости нулевого дня, которыми пользуются в банке, нанять программистов… Уязвимости, которые еще никому неизвестны, продаются на черном рынке по очень высокой цене. Даже если получится попасть внутрь сети (попытки, конечно, все равно бывают), вероятность довести задуманное до конца очень низка – банк видит, что происходит внутри сети, и постоянно обороняется. Конечно, есть крутые группировки, которые всё это могут обойти. Но, как говорится, овчинка выделки не стоит. Слишком ресурсозатратно. Для мошенников гораздо интереснее система ДБО, они с этого денег намного больше зарабатывают.
– Какую цель преследуют преступники, желающие заполучить информацию?
– Деньги. Основной перелом произошел, когда "хакеры-одиночки", которые что-то взламывали ради интереса, научились воровать большие суммы и стали объединяться в группировки, потому что почувствовали вкус лёгких денег. У них есть свой бюджет, бухгалтерия, колл-центр, тех. поддержка. Информация сама по себе не представляет для них никакого интереса. Интерес представляют только деньги, за которые эту информацию можно продать, и деньги, за которые эту информацию можно получить. Никому не нужны персональные данные, если с их помощью нельзя украсть деньги.
Чтобы заполучить информацию, мошенникам проще всего найти инсайдера (например, системного администратора) и заплатить ему. Зачем пытаться взламывать, тратить время и силы, если можно найти людей, которые имеют доступ к информации, заплатить им и получить всё, что нужно? Поэтому в каждом банке должна быть простроена система отслеживания информации. Важно понимать, что происходит с информацией, кто имеет к ней доступ, как она распространяется.
– Расскажите, пожалуйста, какую-нибудь интересную историю, связанную с Вашей деятельностью. Что Вам больше всего запомнилось?
– Раньше я работал на заводе. Перед нами была поставлена задача по шифрованию баз данных. Это было сделано для того, чтобы, например, при рейдерском захвате или при еще каких-то подобных вещах, никто не имел непосредственного доступа к нашим серверам. Мы делали это шифрование – шифровали диски. Иногда нам даже приходилось в режиме онлайн отправлять сервера в перезагрузку, а в это время наши люди уничтожали ключи шифрования – молотком разбивали токены. Так приходилось защищаться.
Еще из интересного – иногда бывает, что ты обнаруживаешь мошенников, которые уже рядом. Они пытаются атаковать, проводят серию атак, а ты их блокируешь. На этом они не останавливаются и идут дальше, пытаясь обойти системы защиты и сломать периметр. Здесь главное – своевременно ставить необходимую защиту и останавливать атаку. Появляется азарт, хотя это и сложно.
– На Вашей практике случались серьезные провалы (например, утечка конфиденциальной информации, персональных данных клиентов)?
– Прям провальных случаев не было. Была история, когда злоумышленники попали в один из сегментов сети. Они пытались делать сканирование, пытались подобрать пароли. Пытались продвинуться дальше. Но система мониторинга сработала, мы своевременно блокировали все нападки злоумышленников. Мы потратили кучу времени, ресурсов, а после этого пришлось все перенастраивать.
Была еще история с банкоматом. Ночью мошенники пытались получить доступ к банкомату и снять с него деньги. Все наши банкоматы находятся под видеонаблюдением, поэтому наши сотрудники оперативно среагировали. Предотвратить атаку удалось, но злоумышленники успели раскурочить банкомат и заразить его вирусом.
– Обладая знаниями и навыками в сфере ИБ и зная уязвимые места банковских организаций, Вы, в теории, могли бы взломать банк?
– Сейчас, как я уже говорил, один в поле не воин. Один человек не может обладать всеми необходимыми знаниями и навыками. Это раньше можно было бы попробовать. Сейчас нужна команда. Но мне бы этого не хотелось. Так или иначе, этих людей находят и зажимают. Ну, допустим, взломал бы ты банк, получил 100 000 000 рублей, а что дальше? Эти деньги нужно отмыть, обелить, вывести… Ты не можешь просто взять деньги и пойти их тратить. Слишком много вопросов это вызовет. Тебя тут же поймают, к тебе придут и спросят: "Откуда у тебя сто миллионов?". Что тут сделаешь? Криптовалюта? Возможно, вариант. Но и их уже научились отслеживать. Да и перевести деньги в биткоин тоже нужно умудриться.
Всех пойманных хакеров как ловили? Начинали раскручивать этот "клубок" с конца. Органы безопасности замечали, что у кого-то резко появилось большое количество денег, которые этот кто-то начинал тратить направо и налево, понимали, что деньги выведены через какие-то офшоры, а значит, получены незаконным путём. За таким человеком начинается слежка, а как только обнаруживается какой-нибудь маленький повод, за который можно зацепиться (да даже штраф за автопарковку!), за него не упускают возможности это сделать.
Поэтому, скажу так: если кто-то хочет пожить ярко год, а дальше хоть трава не расти, то это, возможно, его вариант. Нельзя красть большое количество денег без последствий, тем более сейчас, когда все транзакции отслеживаются.
– Какие компетенции необходимы специалисту по информационной безопасности для работы в банке?
– Банковский ритм работы отличается от ритма других организаций. И требования к специалисту по ИБ, соответственно, тоже немного отличаются. Человек должен быть трудоголиком, уметь работать в хорошем темпе, с большим количеством информации, быстро реагировать на меняющуюся обстановку и перестраиваться. Важно уметь переключаться на разные задачи и быть стрессоустойчивым. Ну, естественно, ответственность, порядочность, честность – это априори. Сотрудники отдела ИБ в нашем банке систематически проходят полиграф.
Еще очень важным является знание английского языка. Мы работаем с международными системами, там нет документации на русском языке (точнее есть, но она появляется очень поздно). Английский нужен для дальнейшего развития. Чтобы читать актуальную информацию, иметь возможность сравнивать российский и европейский подходы – мне это интересно.
И еще одно важное качество – коммуникабельность. Сотрудник ИБ должен уметь коммуницировать с разными людьми, ведь нам приходится иметь дело с управлением автоматизации, с руководством, полицией, регуляторами, клиентами. Важно уметь обходить острые углы и решать конфликты.
Я специально не стал говорить про всякие технические штуки, про знание СЗИ и тому подобное, потому что эти компетенции довольно легко и быстро нарабатываются, и их необходимо постоянно обновлять потому что мир очень динамично меняется.
– От чего можно устать в вашей профессии? Может, у Вас есть совет, как можно избежать профессионального выгорания?
– Люди устают от рутины – профессиональное выгорание связано именно с этим. Если ты делаешь одно и то же изо дня в день, то в какой-то момент ты станешь классным специалистом. Но рано или поздно тебе это надоест, наскучит. Но в ИБ с этим полегче – у нас столько разных задач, что ты сам периодически переключаешься, и работа просто не успевает утомить.
Другой вариант – человек работает в режиме постоянного стресса. Тогда нужно искать пути решения данной проблемы, менять своё отношение к работе, разговаривать с руководством, стараться изменить ситуацию. Если решить проблему не получается, то лучше уходить с работы, потому что ничего хорошего работа в стрессе никому не принесет – ни работнику, ни организации. Надо менять сферу деятельности, надо менять задачи.
Недавно был на тренинге для руководителей, и там обсуждалась теория "отношений" с работой. В отношениях мужчины и женщины есть пики, кризисы – 3 года и 5 лет. У работников такая же история взаимодействия с работой, только пики выпадают на другие сроки. Для молодого поколения эти сроки существенно сократились – первый кризис "отношений" с работой выпадает, как правило, на 1,5-2 года, следующий – на 3-4 года. В эти кризисные периоды может пропасть интерес к работе, поэтому руководитель должен суметь вовремя поменять деятельность сотрудника, переключить его на другие задачи, поставить перед ним новые "вызовы" по работе. Это может спасти от перегорания и заинтересовать на новые свершения.
Интервьюер: Анастасия Рец
