Начальником отдела информационной безопасности IT-TEAM SERVICE Ракитским А. дано интервью для информационно-аналитического журнала сферы связи и информатизации ICTNEWS. Интервью вышло в журнале №3 (113) за 2015 г. На сайте издания ICTNEWS 14 апреля 2015 года было опубликовано данное интервью, издание самостоятельно подготовило его перевод на узбекский язык. Ниже приводим текст оригинального интервью, данного журналисту издания ICTNEWS
Беседовала Назира Аманова
- Есть ли специальные ИБ-задачи в финансовом и банковском секторе?
- Пожалуй, самой насущной проблемой по ИБ в этом секторе является соответствие требованиям регуляторов. Существует значительное количество инструкций, положений, регламентов, выполнение которых регулярно проверяется как государственными контролирующими органами, так и независимыми аудиторами. Яркий пример – международные платежные системы Visa, MasterCard и т.д. требуют от участников соответствия отраслевому стандарту по безопасности PCI DSS. Организация (банк) должна за свой счет оплачивать услуги по проведению независимого аудита на соответствие этому стандарту. Цель такого аудита – убедиться, что все участники платежной системы выполняют единые (весьма строгие) правила по ИБ. А за требованиями стандарта стоят значительные расходы на приобретение специфического оборудования, ПО, привлечение грамотных специалистов. Если какие-то требования по ИБ не выполняются, на банк со стороны международной платежной системы могут накладываться штрафы. И это только одна статья расходов, а ведь есть ещё и требования национального законодательства, соответствовать которым нужно в первую очередь.
- Нужно ли выделять отдельные бюджеты на обеспечение ИБ?
- Да, конечно. В более-менее крупных организациях часто бюджетирование по ИБ производится отдельно. Если отдать на откуп вопрос формированию бюджетов ИТ и ИБ одному подразделению, чаще это бывает ИТ-подразделение, как более крупное, то возникает соблазн сформировать его с явным перекосом в сторону ИТ. Ведь и ИТ отрасль требует значительных затрат, а доказать высшему руководству эффективность вложений в ИТ-инфраструктуру чаще проще, чем в ИБ, ведь ИБ по своей природе никогда не приносит прибыли, только расходы, в то время как для ИТ можно показать рост производительности труда и т.д.
- Какие проблемы в сфере ИБ сегодня актуальны?
- Остро ощущается нехватка кадров в области ИБ. Сама отрасль развивается так быстро, что даже более-менее опытному специалисту по ИБ нужно постоянно заниматься повышением своей квалификации. А повышение квалификации специалистов в условиях производства – это ещё одна статья расходов. Специалисты по ИБ часто хорошо разбираются и в смежных областях, владеют иностранными языками, поэтому удержать таких специалистов – трудная задача для кадровых служб.
- Сложные процедуры формирования бюджета на ИТ и ИБ. Размеры фондов скорее зависят от умения руководителей соответствующих подразделений убеждать высшее руководство, чем от реальных нужд. Также бюджеты редко когда пропорциональны росту роли ИТ и ИБ в отрасли.
- Слабо развит опыт привлечения экспертов по ИТ и ИБ на коммерческой основе в качестве консультантов, для экспертизы проектов. Конечный заказчик, принимая системы, формируя ТЗ, должен рассчитывать на собственные силы и знания. В итоге часто бывает перекос – внедряется излишний функционал, а значительные моменты упускаются.
- Процедура отбора исполнителей услуг исходя лишь из стоимости работ – у кого дешевле, тот и выбирается исполнителем. Проблемы начинаются на этапе приемки работ, когда предоплата оплачена, а сроки сдачи систем – «горят».
- В банковском секторе решения часто принимаются исходя из требований регуляторов, однако, собственная инициатива по совершенствованию бизнеса – редкость. Показательный пример – низкий уровень стандартизации систем управления качеством (ISO 9001), информационной безопасностью (ISO 27001), проведения независимых экспертиз ИТ и ИБ. Стандартизацией больше озадачены предприятия ориентированные на экспорт.
- По собственному опыту отмечаем большую закрытость финансового сектора для различных нововведений, среди наших клиентов банков значительно меньше ожидаемого, хотя ИТ и ИБ в их работе сейчас имеют ключевую роль.
- Зачем нужен ИБ-аудит в финансовой сфере и можно ли говорить о его рентабельности?
- Как уже отмечалось выше – часть аудитов это жизненная необходимость для банков. В целом же задача расчета рентабельности – ещё одна сложная тема. Сейчас для её решения всё чаще используются подходы риск-менеджмента, когда взвешиваются с одной стороны расходы на проведение аудитов, с другой – возможные риски и потери, в случае если аудит проведен не будет и многие проблемы останутся неизвестными до момента, когда они начнут приносить убытки. Для банковской сферы большое значение имеет ещё и репутация, престиж, а выразить эти понятия в деньгах ещё труднее.
- С помощью каких инструментов можно оценить реальный уровень защищенности периметра?
- К сожалению единого, простого инструмента для оценки защищенности нет. Достаточно заглянуть в любой стандарт по ИБ, чтобы увидеть, что на безопасность влияет всё, начиная от наличия кадрового резерва до кондиционеров в серверной комнате. Но в целом чтобы понять в первом приближении уровень ИБ можно пользоваться различными опросными листами, листами самооценки, но опыт показывает, оценивать самого себя объективно – трудно. Именно в этом и состоит задача независимого аудитора – с высоты своего опыта выявить болезненные точки по ИБ, дать совет как добиться максимальной отдачи в части ИБ в условиях ограниченного финансирования. Поэтому большинство стандартов (ISO 9001, ISO 27001) и рекомендует проведение как внутренних аудитов (одно подразделение проверяет другое), так и внешних.
- Какие хакерские атаки способны нанести наибольший вред финансово-кредитным организациям?
- Для банков опасность представляют опасность все виды атак. Если просто будет выведен из строя какой-либо сервис – то можно говорить об упущенной прибыли, если будут незаконно переведены (украдены) средства – это уже прямые финансовые убытки, если произойдет утечка данных клиентов – сильный удар по репутации. Что хуже – в каждом случае определяет бизнес. В этом и состоит сложность ИБ – нужно закрыть все возможные бреши в защите и поддерживать такое состояние постоянно, в то время как злоумышленнику достаточно найти одну лишь уязвимость и успеть использовать её.
- Как бороться с инсайдерами и какой ущерб могут принести финансовой компании их действия?
- Злоумышленники из числа сотрудников представляют, пожалуй, самую большую угрозу, ведь у них и есть доступ ко всем системам предприятиям, они знают внутреннее устройство, сильные и слабые стороны защиты, то, что неведомо злоумышленнику «с улицы». Единого рецепта опять нет, это и труд служб безопасности, и задача кадровой службы и высшего руководства – создать в коллективе климат, исключающих возможность появления инсайдера, обиженного сотрудника, или его скорейшее обнаружение. Т.е. ИБ это не только бумаги и техника, это ещё и психология.
- Существуют ли универсальные средства защиты систем ДБО?
- Средств для защиты таких систем – много. Вряд ли их можно назвать универсальными, т.к. и требования по защите у всех систем разные. Часто базовый функционал ИБ реализуется уже самим разработчиком систем ДБО. В остальном же основные требования по уровню защиты определяются отраслевыми стандартами по ИБ, поэтому производители решений по защите стараются должным образом сертифицировать свои разработки.
- Как влияют на безопасность финансово-кредитных компаний новые ИТ-тренды?
- Да, любое нововведение это ещё и возможный риск ИБ, т.к. увеличивается т.н. «поверхность атаки». Например, решение о ведении своей странички в соц.сети ставит определенные задачи и по ИБ, ведь должны быть определены лица, ответственные за публикацию, порядок работы комментариями, контроль за соблюдением правил ИБ при работе уполномоченных сотрудников – используют ли они многофакторную аутентификацию и т.д. Поэтому, наверное, многие финансовые учреждения достаточно консервативны, т.к. видят за каждой новинкой, ещё дополнительные риски.
- Могут ли финансовые и кредитные учреждения перейти на обеспечение ИБ из облака? Если да, то когда. Какие услуги могут стать облачными, на ваш взгляд?
- Финансовый сектор достаточно осторожно относится к применению облачных технологий, особенно в вопросах связанных с непосредственной операционной деятельностью. Ведь, как отмечалось выше, к обеспечению ИБ инфраструктуры финансовых организаций предъявляются весьма строгие требования. Касательно применения облачных технологий для обеспечения ИБ, в первую очередь можно упомянуть системы управления уязвимостями, поставляемыми по технологии SaaS (Security as a Service), например QualysGuard. В этом случае вся инфраструктура разворачивается в облаке, а сама система управляется через web-консоль, критичная финансовая информация в таких системах не циркулирует. Вывод – облачные технологии в ИБ применяются уже сейчас, но скорее в виде вспомогательных сервисов.