208
Сбербанк: цифровая устойчивость как важный элемент управления бизнесом
Сегодня мы понимаем, что для обеспечения надежной защиты важны не столько программно-аппаратные средства защиты как таковые, сколько хорошо выстроенные и отлаженные процессы управления безопасностью, эффективная система управления рисками и, конечно, профессионально подготовленная команда. В современном цифровом мире не существует абсолютно защищенных компаний – это необходимо принять за аксиому. Риск компрометации, реализации той или иной угрозы присутствует всегда. Вопрос заключается лишь в том, насколько оперативно служба кибербезопасности способна выявлять угрозы и реагировать на различные инциденты. Время реакции и слаженность действий определяют главным образом способность команд кибербезопасности и ИТ обеспечивать защищенность своих компаний.
На этом фоне в течение последнего года активно обсуждается и анализируется уже не столько информационная или кибербезопасность, сколько цифровая устойчивость. Это сравнительно новое понятие для рынка в целом, которое значительно расширяет не только взгляды на безопасность, но и, можно сказать, меняет некоторые концептуальные подходы к самой проблеме. Появляется понимание, что в современном цифровом мире бизнес-структурам важно не столько быть хорошо защищенными (хотя это тоже по-прежнему необходимо), сколько иметь возможность оперативно и без существенных затрат в полном объеме восстанавливать свои бизнес-процессы в случае той или иной атаки преступников. Для этого данная концепция предполагает прежде всего высокую вовлеченность топ-менеджмента компании в управление рисками и безопасностью, высокую культуру персонала в сфере ИБ, осведомленность и, конечно, правильно настроенные базовые элементы, такие как система безопасности, система управления рисками, система управления непрерывностью бизнеса.
Еще несколько лет назад для большинства руководителей цифровых компаний вопросы кибербезопасности были достаточно далекими и поэтому рассматривались ими неохотно. Связь между безопасностью и бизнесом, как правило, осуществлялась через несколько ступеней. А понимание того, что безопасностью нужно плотно заниматься и быть вовлеченным в эти процессы, было достаточно туманным. Сегодня же, когда безопасность является частью бизнес-процесса, когда свойства продукта на рынке уже не могут быть сколько-нибудь улучшены без учета требований безопасности, для многих руководителей стало очевидно, что безопасность – это важный элемент управления бизнесом и, как всякому важному элементу менеджмента, ему необходимо уделять повышенное внимание.
Конечно, связь должна быть интерактивной: с одной стороны, руководители должны быть максимально вовлечены в вопросы управления безопасностью и рисками, с другой – сами специалисты службы безопасности должны уметь грамотно доносить до руководства особенности влияния на бизнес требований безопасности, текущие задачи компании в этой сфере и необходимость реагирования на новые угрозы.
Ошибки в программном обеспечении
Если говорить о новых трендах в области ИБ, стоит вспомнить про хорошо известные и зачастую основательно забытые вещи, которые в современных условиях получают новую актуальность. Прежде всего речь идет об ошибках в программном обеспечении. Рост количества ошибок не только не уменьшается, но и продолжает расти. Это объясняется тем, что все чаще используются различные компоненты высоко-уровневого ПО, которое содержит большой объем исходного кода. Закономерность очевидна: чем длиннее код, тем больше ошибок. Кроме того, с ростом производительности конечных устройств, прежде всего компьютеров и смартфонов, с расширением полосы пропускания каналов связи появляется возможность разработки практически любых вирусов, как с точки зрения их функциональности, так и их размеров. Все это позволяет киберпреступникам незаметно устанавливать на компьютеры и смартфоны «боевые» платформы для настоящих информационных войн. И развитие технологий лишь многократно ускоряет эти процессы.
Ни для кого не секрет, что ошибки в программном коде могут приводить к уязвимостям. Конечно же, не каждая ошибка в реализации может являться уязвимостью. В то же время увеличение самого кода и рост вычислительных возможностей наряду с повышением скорости передачи каналов создают более благоприятные условия для применения компьютерных вирусов. А с учетом использования преступниками специальных программных средств генерации вирусов с применением технологии искусственного интеллекта, которые позволяют вредоносному коду мутировать, современные антивирусы зачастую бывают неэффективны. Процесс разработки антивирусной сигнатуры имеет некий временной цикл, который, как правило, занимает намного больше времени, чем нужно злоумышленнику на модификацию существующего вируса. И эти факторы необходимо учитывать. Поэтому очень важным вопросом сегодня является скорость реагирования службы кибербезопасности на инциденты. Неслучайно в 2016 году Сбербанк запустил проект по построению современного SOC (security operation center), основной задачей которого является сокращение времени на обнаружение и закрытие инцидента.
Если говорить о новых трендах в области ИБ, стоит вспомнить про хорошо известные и зачастую основательно забытые вещи, которые в современных условиях получают новую актуальность. Прежде всего речь идет об ошибках в программном обеспечении. Рост количества ошибок не только не уменьшается, но и продолжает расти. Это объясняется тем, что все чаще используются различные компоненты высоко-уровневого ПО, которое содержит большой объем исходного кода. Закономерность очевидна: чем длиннее код, тем больше ошибок. Кроме того, с ростом производительности конечных устройств, прежде всего компьютеров и смартфонов, с расширением полосы пропускания каналов связи появляется возможность разработки практически любых вирусов, как с точки зрения их функциональности, так и их размеров. Все это позволяет киберпреступникам незаметно устанавливать на компьютеры и смартфоны «боевые» платформы для настоящих информационных войн. И развитие технологий лишь многократно ускоряет эти процессы.
Ни для кого не секрет, что ошибки в программном коде могут приводить к уязвимостям. Конечно же, не каждая ошибка в реализации может являться уязвимостью. В то же время увеличение самого кода и рост вычислительных возможностей наряду с повышением скорости передачи каналов создают более благоприятные условия для применения компьютерных вирусов. А с учетом использования преступниками специальных программных средств генерации вирусов с применением технологии искусственного интеллекта, которые позволяют вредоносному коду мутировать, современные антивирусы зачастую бывают неэффективны. Процесс разработки антивирусной сигнатуры имеет некий временной цикл, который, как правило, занимает намного больше времени, чем нужно злоумышленнику на модификацию существующего вируса. И эти факторы необходимо учитывать. Поэтому очень важным вопросом сегодня является скорость реагирования службы кибербезопасности на инциденты. Неслучайно в 2016 году Сбербанк запустил проект по построению современного SOC (security operation center), основной задачей которого является сокращение времени на обнаружение и закрытие инцидента.
Внутри ИТ-периметра компании, как и вне ее пределов, существует множество различных систем, с которыми необходимо организовывать информационное взаимодействие (собственные платформы, сервисы партнеров, облачные сервисы). Сама настройка средств защиты в условиях трансформации бизнеса, сложных информационных потоков и алгоритмов взаимодействия представляет собой достаточно сложную задачу. В результате инженеры службы кибербезопасности зачастую просто не успевают вносить соответствующие корректировки в работу средств защиты. Очень актуальными становятся вопросы: «как обеспечивать должный уровень безопасности в условиях возрастающей скорости трансформации ИТ-инфраструктуры и приложений?», «как проводить корректировку политик безопасности?».
Это новые вызовы для нас всех, и пока мы не нашли ничего лучшего, как вспомнить хорошо забытое старое — повысить эффективность известных инструментов управления безопасностью.
От SMS-паролей к биометрической аутентификации
Очень важным вопросом является повышение уровня безопасности каналов аутентификации, включая использование одноразовых SMS-паролей для подтверждения удаленных транзакций. Как известно, SMS-сообщения не являются защищенными, однако в том виде, в котором они используются в «Сбербанк Онлайн», технологические риски их перехвата являются незначительными. В то же время, как показывает практика, в условиях низкой киберкультуры клиентов такой механизм может быть уязвимым для преступников, использующих инструменты социальной инженерии.
Поэтому Сбербанк активно изучает возможности внедрения альтернативных технологий, включая адаптивную и биометрическую аутентификации. В настоящее время мы готовим к реализации несколько проектов такого рода. Прежде всего речь идет об удаленной идентификации клиента по голосу и образу лица, поскольку именно эти параметры не требуют наличия у клиента дополнительных оконечных устройств, например сканера ладони.
В ряде торговых точек уже используются наши биометрические системы аутентификации покупателей на POS-терминале без использования карты. Но пока это только масштабные пилотные проекты, в которых отрабатываются технологии и учитывается клиентский опыт. Прежде чем начинать внедрять такую технологию в массовый сегмент, необходимо обеспечить надежные, безопасные и, самое главное, удобные способы биометрической аутентификации.
Одновременно с активным развитием технологий аутентификации Сбербанк повышает качество работы своей системы противодействия мошенничеству. На сегодняшний день это уникальная по своему масштабу интеллектуальная система, построенная на технологии Big Data и использующая сложные математические модели для анализа поведения пользователей и риска проведения операций в различных каналах. За последний год развития системы эффективность ее работы была улучшена в два раза. Таким образом, в течение года нам удалось вдвое уменьшить объем украденных злоумышленниками средств. При этом мы продолжаем ее постоянно совершенствовать.
Противодействие мошенничеству
Несмотря на все усилия в борьбе с киберпреступностью, предпринимаемые кредитными организациями совместно с правоохранительными органами, мошенников не становится меньше. В течение только одной недели Сбербанк фиксирует около 10 тыс. попыток мошенничества, связанных с использованием как вирусов, так и социальной инженерии, подавляющее большинство из которых нам удается предотвратить. Поэтому и банкам, и правоохранительным органам предстоит проделать еще много работы для противодействия мошенничеству.Перед правоохранительной системой и ее техническими подразделениями стоит целый ряд задач, связанных в том числе с необходимостью не только обнаруживать, но и пресекать противоправную деятельность еще на этапе подготовки преступления.
К сожалению, на сегодняшний момент техническая информация о попытках мошенничества и уже совершенных мошеннических операциях, которую Сбербанк готов предоставлять в правоохранительные органы, зачастую остается невостребованной. Проблема заключается в том, что при существующем положении дел правоохранительная система направлена исключительно на работу по заявлениям граждан в рамках открытых дел. В то же время существуют огромные возможности для профилактики подобных нарушений с использованием различных технических мероприятий или особенности организаций современных информационных или телекоммуникационных систем.
Обмен информацией о мошенниках – еще одно перспективное направление противодействия киберпреступлениям. Банки и правоохранительные органы владеют огромными массивами данных о мошенниках и мошеннических операциях, однако обмен такой информацией сегодня невозможен прежде всего из-за требований законов о персональных данных и банковской тайне. Нужны новые правила, платформа обмена информацией, лидерство в этом направлении.
Если раньше мы успешно боролись за повышение эффективности своей системы противодействия мошенничеству на 10–15% за год, то сейчас, чтобы повысить этот показатель хотя бы на 1%, требуется уже гораздо больше усилий. Это связано с тем, что злоумышленники также учатся и эффективно применяют различные «инновационные» технологии и методы. При этом банки зачастую владеют недостаточным объемом информации, для того чтобы классифицировать атаку и отнести ее к мошеннической. Уверен, что в будущем в этом вопросе банкам очень поможет технология искусственного интеллекта. Это следующий этап развития технологии Big Data и machine learning. Сейчас мы приступаем к пилотированию подобных технологий для решения задач противодействия мошенничеству.
Интернет вещей: под огнем низкой киберграмотности
Интернет вещей – достаточно модная тема для разговора. Не один раз в последнее время мы слышали о кибератаках, исходящих от домашних телевизоров и кофеварок. К IoT-устройствам, которые злоумышленники чаще всего используют для проведения атак, относят прежде всего домашние видеорегистраторы, видеокамеры, роутеры, устанавливаемые в домовых сетях, и незначительное количество бытовых устройств. Как правило, эти устройства работают на базе Linux. Основная причина возможности использования их злоумышленниками – применение владельцами паролей по умолчанию. Естественно, в результате устройства легко обнаруживаются и захватываются мошенниками. Хакеры наращивают свои бот-сети, для того чтобы использовать совокупные вычислительные возможности таких устройств в целях проведения DDoS-атак. Одна из очевидных причин, почему так происходит, – низкая общая культура киберграмотности населения. Поэтому я считаю, что эту проблему можно решить прежде всего за счет повышения киберграмотности и предоставления производителями IoT-устройств более надежных механизмов защиты по умолчанию.
Человек – самое слабое звено в любой системе безопасности
Как известно, в любой системе самым слабым звеном является человек. Основным движущим мотивом, снимающим у него внутренние барьеры и толкающим его на скользкий путь, является жажда получить «быстрые» деньги. Кроме того, в последнее время участились случаи, когда преступники пытаются через различные социальные сети и мессенджеры получать от банковских сотрудников данные о клиентах и их счетах. В связи с этим Сбербанк ведет регулярный мониторинг и оперативно реагирует, пресекая попытки такого мошенничества.
Механизмы киберзащиты Сбербанка работают сегодня как на уровне информационных систем, так и на уровне контроля поведения пользователей. С учетом централизации инфраструктуры и цифровизации процессов у банковских сотрудников появляются все более широкие возможности как по доступу к данным клиента, так и по проведению различных операций с клиентскими счетами. Поэтому банк активно развивает системы противодействия внутреннему фроду. При этом здесь используются те же подходы, что и при решении задач противодействия внешним мошенникам, – собранные от информационных систем и инфраструктуры данные помещаются в систему обработки Big Data, где на основе построенных правил проводится их анализ и выявляются мошеннические операции.
Правоприменительная практика в России пока только развивается
Современный преступный кибербизнес на сегодняшний день очень много перенял от традиционного бизнеса: инфраструктуру, инвестиции, технологии, организацию труда и пр. В преступном сообществе существует и хорошо выраженная дифференциация труда. Одни крадут карты, другие изготавливают поддельные карты, кто-то продает возможности инфраструктуры, кто-то разрабатывает троянские программы и вирусы, а кто-то снимает наличные. Благодаря этому в зависимости от региона, специфики сервиса и других нюансов преступник может выбрать нужный ему «кирпичик» и собрать свой бизнес-процесс традиционным образом, проведя соответствующий анализ, инжиниринг и проверку. Более того, он даже может провести своего рода пилоты и по результатам выбрать наилучший для него «бизнес-процесс».
За последние 10 лет соотношение традиционных и киберпреступлений диаметрально изменилось. Если раньше 97% экономических преступлений носили традиционный характер (ограбления, налеты, взломы, кражи и пр.), то сегодня, наоборот, подавляющее количество хищений происходит с применением различных компьютерных систем. Поэтому, конечно же, нормативная база тоже должна трансформироваться. Но если в целом актуальных законов у нас уже хватает, в том числе благодаря постепенному появлению новых актуальных статей, то правоприменительная практика в России, соответствующая требованиям, диктуемым современной ситуацией с киберпреступностью, пока только развивается.
Это связано прежде всего с тем, что компьютерные преступления сложны, при проведении их расследования следователи должны обладать очень глубокими знаниями – начиная от организации интернета и заканчивая особенностями работы банковских систем и спецификой компьютерных вирусов. Именно поэтому Сбербанк активно сотрудничает с правоохранительными органами в области обучения. Мы проводим различные практики и стажировки для студентов и преподавателей университета МВД им. Кикотя, помогаем с лабораторной базой, с оснащением компьютерных классов. Мы видим, что и руководство вуза прикладывает много усилий, смещая акценты обучения в том числе и на цифровизацию, для того чтобы будущие сотрудники могли как можно более грамотно проводить расследования преступлений в сфере высоких технологий, лучше понимать, как организован цифровой криминал.
DDoS-атаки
DDoS-атака, от которых в последнее время все чаще начали страдать банки, – это стратегическое оружие, которое призвано решать конкретные цели. Цели эти могут быть самыми разнообразными. Традиционно DDoS-атаки используются для борьбы с конкурентами, проведения информационных кампаний, нанесения финансового ущерба, преследования политических интересов и пр. Поэтому, с какой целью они применяются в каждом конкретном случае, можно только догадываться. Немаловажным фактором является и низкая стоимость атаки. К сожалению, на сегодняшний день этот «сервис» в преступном мире стал настолько дешев, что любой желающий может купить его за десятки долларов.
Как правило, при осуществлении мощной продолжительной DDoS-атаки злоумышленники в подавляющем большинстве случаев используют случайные IP-адреса, поэтому определить источник атаки достаточно сложно, а иногда вообще невозможно. В последнее время для этих целей успешно используются и подключенные устройства Интернета вещей, о чем я уже говорил ранее. Тем не менее в ряде случаев мы смогли вскрыть центры управления проведенных на Сбербанк атак. Соответствующая информация была передана в правоохранительные органы. Надеемся, что найти истинных заказчиков и организаторов этих DDoS-атак все же удастся.
Сбербанк как уникальный полигон и кузница кадров
Сбербанк – это уникальный полигон для тестирования самых различных современных средств киберзащиты и кибернападения. Конечно, с одной стороны, далеко не каждый новый продукт выдерживает масштабы нашей инфраструктуры, а с другой – и не каждый продукт можно включить в нашу инфраструктуру в силу ее особенностей. Поэтому неподдельный интерес как у специалистов в области безопасности и поставщиков средств защиты, так и у злоумышленников вызывает именно сам факт централизованной инфраструктуры с подключенными к ней миллионами клиентов. Сбербанк на своей площадке использует самые передовые современные средства защиты и всячески стремится реализовывать правильные, эффективные процессы управления.
Весьма острым остается вопрос подбора на рынке высококвалифицированных специалистов. В нашем понимании специалист по безопасности должен быть экспертом в ИТ. А пока мы наблюдаем такую картину: будущих специалистов информационной безопасности не учат ИТ-технологиям, а «айтишников» не учат безопасности.
Поскольку работа в информационной (кибер-) безопасности очень сложная и ответственная, многим экспертам в ИТ легче заниматься программированием или построением информационных систем, нежели безопасностью. Именно поэтому Сбербанк так много внимания уделяет сотрудничеству с ведущими отечественными вузами и подготовке собственных кадров. На сегодняшний день соглашения о сотрудничестве в области подготовки кадров информационной безопасности подписаны с семью высшими учебными заведениями Москвы.
