Интервью с вице-президентом по безопасности банка «Тинькофф»

Вице-президент по безопасности банка «Тинькофф Кредитные Системы» (ТКС Банк) Станислав Павлунин рассказал CNews о развитии системы информационной безопасности банка и новых трендах в сфере киберугроз.

CNews: Какова доля вашего ИТ-бюджета, выделенная в 2014 г. на информационную безопасность?

Станислав Павлунин: В нашем банке существуют бюджет обеспечения безопасности и ИТ-бюджет. Они разделены, что сделано в соответствии с рекомендациями регулятора (ЦБ РФ) и других стандартов отрасли. Кроме того, стандарты в области информационной безопасности (ИБ) говорят о том, что бюджеты по безопасности и ИТ желательно разделять, они должны быть независимыми друг от друга. Наш секьюрити-бюджет покрывает сферы информационной безопасности, физической безопасности и экономической безопасности.

CNews: Какую долю в бюджете обеспечения безопасности занимают расходы на ИТ-безопасность?

Станислав Павлунин: Затраты составляют 60–65%. Это связано со спецификой банка: по сути, мы онлайн-провайдер финансовых услуг, ИТ-компания с банковской лицензией, а не классический банк. У нас нет привычных отделений, все операции проходят удаленно. Деньги мы вкладываем не в открытие офисов, а в инфраструктуру, в технологии. В этой связи у нас трудная задача: деньги инвестируются в ИТ, а средства ИБ призваны контролировать ИТ, тут мы всегда работаем вместе с ИТ.

В классических банках бывает по-разному: сотрудники ИБ, подразделения безопасности могут быть «врагами» или могут делать вид, что у них разные цели и задачи. В ТКС принято, что специалисты ИТ-отдела и информационной безопасности – это одна команда. Мы делаем общее дело, а то, что мы из разных отделов, – не повод для создания препятствий друг другу. Это мое личное убеждение, поскольку вместе идти к одной общей цели гораздо продуктивнее.

Станислав Павлунин, вице-президент по безопасности банка «Тинькофф Кредитные Системы»: ИТ-стратегия – это глобальный высокоуровневый документ. В нем прописано все, что должно присутствовать в ИТ: задачи и цели, техническая составляющая

CNews: В блоке «Безопасность» есть собственный штат ИТ-специалистов?

Станислав Павлунин: Общая численность службы безопасности – не более 15 человек, в ИТ-секьюрити занята половина сотрудников. В рамках большого направления «Безопасность» есть отдельный блок, отвечающий за ИТ-секьюрити в целом. Это специалисты, занимающиеся поддержкой текущих продуктов, поиском новых решений. Мы всегда смотрим на динамику рынка информационной безопасности, тенденции и новые угрозы, ведь они используются мошенниками против банков.

В отделе ИТ-секьюрити процессы автоматизированы максимально. Например, классический банк может позволить содержать в рамках своего штата 50 операторов, которые будут делать какие-то простейшие вещи. ТКС от такого подхода ушел. Все наши сотрудники – anykey-специалисты, они все взаимозаменяемые. По этому принципу строится работа коммерческих структур, некоторых инвесткомпаний, банков.

CNews: Какова динамика бюджета на ИТ-секьюрити в 2014 году по сравнению с 2013 годом?

Станислав Павлунин: При планировании бюджета для направления «Безопасность» на следующий год в ТКС рассчитываются три варианта: консервативный, средний консервативный и оптимистичный.

В связи с внешним фоном, ситуацией в банковском секторе в этом году правлением банка был принят консервативный бюджет. Суть в том, что мы технически и финансово поддерживаем решения, ранее приобретенные или арендованные банком, но продолжаем «интегрировать» уже стартовавшие проекты.

CNews: Как задачи ИБ увязаны со стратегическими ИТ-задачами банка?

Станислав Павлунин: ИТ-стратегия – это глобальный высокоуровневый документ. В нем прописано все, что должно присутствовать в ИТ: задачи и цели, техническая составляющая. Насколько она соответствует критериям безопасности – это вопрос к ИБ-специалистам. В стратегию включены также пожелания от нас, учитывающие простейшие функции контроля внутренних и внешних пользователей, администраторов.

Более применима к моему подразделению стратегия развития ИБ Банка. Основные пункты стратегии информационной безопасности – это противодействие внутренним и внешним угрозам. Нужно стараться предвосхитить то, что может произойти, с помощью имеющихся или новых средств.

В эту же стратегию входит направление MDM-BYOD (контроль мобильных пользователей). Например, сотрудник ТКС, которому необходим обоснованный рабочий доступ к почте со смартфона (планшета) может написать соответствующую заявку и ему будет предоставлен доступ. Мы понимаем, что гораздо проще раздать доступ к корпоративным ресурсам со смартфона всем, но правильнее сделать это только для тех, кому оперативно нужны ресурсы банка. В связи с этим мы активно развиваем концепцию BYOD. Она предусматривает контроль над мобильными пользователями.

Для контроля внутренних пользователей мы используем в том числе и DLP-систему, активно развиваем ее.

CNews: Вы обращаетесь к помощи сторонних специалистов по безопасности?

Станислав Павлунин: Существуют стандартные кейсы, например внедрение какой то системы, где мы имеем хорошие знания. Если система сложная, масштабная и критичная, конечно же, внедрение производит специализированная компания-интегратор. Текущие работы мы выполняем своими силами. Бывает, что периодически возникает необходимость в выполнении сложного кейса. И для консультаций мы прибегаем к помощи других компаний.

CNews: Расскажите, пожалуйста, об основных элементах системы обеспечения информационной безопасности банка.

Станислав Павлунин: В ТКС есть классическая часть, которая характерна для любого банка, – это DLP-система, антивирусная система, система доступа пользователей к базам данных, контроль пользователей, которым доступны различные подключения, дополнительные опции, такие как ICQ, Skype и так далее. Также есть составляющая, обусловленная спецификой работы банка. Что касается конкретных решений, то мы используем продукты McAfee, Juniper, Balabit, Good for Enterprise, HP Arcsite, Imperva и другие.

Я уже говорил, что наш банк – не классический, по сути мы «ИТ-компания с банковской лицензией». В связи с этим для ТКС характерны риски, присущие ИТ-компании. У нас большое количество ИТ-разработчиков, администраторов, и есть представители сторонних организаций, которых мы привлекаем на аутсорсинг. Мы вынуждены контролировать людей, работающих удаленно, следить за правильностью выданных им доступов, эффективностью их работы. В ТКС используется классическая банковская модель ИБ, при которой налажен внутренний контроль и есть отдельная составляющая внешнего контроля на «точках» входа в инфраструктуру банка и внутри – это подрядчики, аутсорсеры.

CNews: Какие проекты в сфере обеспечения информационной безопасности были основными в 2013–2014 годах?

Станислав Павлунин: У нас существует проект «Контроль доступа к базам данных». Мы начали его в середине 2013 года, сейчас он на финишной прямой. Для его осуществления банк выбрал решение Imperva Database Security, которое позволяет в клиентских системах, например, таких, как CRM, определять аномальную активность пользователей, проводить контроль обращений администраторов и обычных пользователей напрямую в базе данных, почти в онлайн-режиме. Сначала мы определили, что нам необходимо защищать базу данных. Затем определились с решением. На рынке не так много вендоров, которые позволяют защищать данные так, как это нам необходимо.

Главными критериями при выборе решения стали гибкость системы, минимальное изменение текущей инфраструктуры при внедрении решения, совокупная цена решения, стоимость владения и технической поддержки, простота в администрировании. Выбирали долго, в результате остановились на Imperva и попросили компанию-интегратора помочь в инсталляции системы.

Мы произвели закупку оборудования и на основании технического задания начали внедрять систему. Сейчас мы находимся на стадии опытной эксплуатации. Надеюсь, в сентябре начнется промышленная эксплуатация системы. Решение сложное, поэтому его внедрение заняло почти год.

CNews: В борьбе с какими инцидентами может помочь решение?

Станислав Павлунин: Под инцидентами следует понимать попытки неправомерного доступа к информации. Простой пример – сотрудник колл-центра, который имеет легитимный доступ к клиентской базе. Он звонит клиентам, вносит изменения в «клиентские данные». Изменения могут касаться разных полей, например контактная информация, паспортные данные, информация о родственниках. Есть риск, что сотрудник захочет использовать эту информацию несанкционированно, в личных целях. Мы видим, что он стал чаще просматривать профили клиентов в «непиковое время». Активность сотрудника значительно увеличилась, что для его работы нехарактерно.

Затем возможным событием может стать попытка вывода средств. Imperva позволяет оперативно заметить подозрительную активность специалиста, составляет рапорт об инциденте и отправляет его на расследование офицеру информационной безопасности. Это лишь один шаблон-пример из огромного набора возможностей решения. Оно позволяет более эффективно оповещать сотрудников отдела ИБ о нестандартных ситуациях, быстро реагировать в интересах Банка и наших клиентов.

CRM, которая хранит данные клиентов, есть в любом банке, необходим ее строгий контроль. Во-первых, мы должны контролировать CRM исходя из того, что нам небезразлично, кто имеет доступ к данным наших клиентов, во-вторых, мы обязаны выполнять требования ФЗ 152 «О защите персональных данных».

CNews: Каким образом осуществлялась защита CRM-системы до внедрения Imperva? Вы использовали встроенные средства?

Станислав Павлунин: Да, мы использовали встроенные средства, что не лучшим образом сказывалось на быстродействии системы. Сейчас эти инструменты мы переносим на Imperva. То есть ТКС «разгружает» систему для того, чтобы она более эффективно и быстро работала, а также внедряет сторонний инструмент, специально для защиты базы данных.

CNews: Какие еще проекты вы реализовали?

Станислав Павлунин: За 4 месяца мы внедрили ESM-систему HP Arcsight. Система позволяет собирать и коррелировать все логи со всех устройств сети, которые есть, показывать правила, нестандартные ситуации и незамедлительно информировать о нештатных ситуациях офицера ИБ. ESM-система также обязательно должна быть в каждом банке.

Еще у нас был проект по внедрению системы класса Mobile Device Management. Многие сотрудники банка хотят читать почту, отвечать на сообщения, быть мобильными и эффективными вне офиса. Раньше доступ на устройство выдавался через почтовый сервер. При такой реализации существовали риски утраты рабочих файлов и данных в результате пропажи или кражи самого устройства. Вся информация шла по «незащищенному» каналу связи. Варианты перехвата могли быть самыми разными.

Мы долго искали решение на рынке, обратились к оценкам Gartner. Мы ознакомились с пятью решениями от McaAfee, SAP, Mobile Iron и других. В итоге остановились на Good for Enterprise. Это решение позволяет всю рабочую почту держать на устройстве в защищенном паролем контейнере. В контейнер помещаются рабочий календарь, почта, заметки. Передача почты с сервера банка на конечное устройство осуществляется по защищенному каналу.

Если пользователь потерял устройство, то не всегда сразу сообщает в службу поддержки, что у него были установлены мобильные корпоративные сервисы ТКС. А здесь оператор по безопасности через MDM может оперативно отреагировать. Если нам подтверждают, что телефон (планшет) утерян, то мы можем «уничтожить» контейнер с файлами, а в случае необходимости – полностью очистить все устройство и заблокировать его. Это происходит через консоль и специальные команды, отправляемые на устройство. Если смартфон украден с целью хищения корпоративной информации, то злоумышленников ждет разочарование: доступ ко всему контейнеру они смогут получить, только зная два пароля разной степени сложности.

CNews: Когда-нибудь наступит момент, когда ваши менеджеры захотят иметь удаленный доступ не только к почте, но и к бизнес-системам.

Станислав Павлунин: Значит, мы им предоставим такой доступ, и он будет безопасным.

CNews: Многие компании предпочитают покупать сотрудникам корпоративные устройства, поскольку считают создание контейнеров очень затратной процедурой.

Станислав Павлунин: Носить два устройства с собой – личное и корпоративное – очень неудобно. Наша задача – разделить на личном девайсе пользователя корпоративную и личную информацию. Первую мы помещаем в специальный зашифрованный контейнер, а что касается личной информации, то ее применение мы никак не регламентируем.

CNews: Какие проекты по информационной безопасности запланированы в ТКС в следующем году?

Станислав Павлунин: У нас остались текущие решения, которые мы переносим на 2015 г. В следующем году мы будем активно развивать их. Это та же Imperva, Arcsight, MDM.

Также планы на 2015 год включают замену системы IPS/IDS на более совершенную, для контроля над внешним сетевым трафиком. В этом году стартует проект по внедрению системы контроля администраторов. Пока в ТКС их контролируют с помощью локальных решений, порой это неоднородные решения, от разных вендоров, что доставляет неудобства. Поэтому мы решили поставить одно глобальное решение, через него будет идти трафик специалистов, имеющих удаленный доступ к корпоративной сети ТКС. Речь идет об администраторах, подрядчиках. У нас большое количество таких сотрудников.

Также, традиционно в конце 2014 года, вновь «стартует» стандартный проект PCI DSS. Подтверждать соответствие банка этому стандарту мы планируем уже в 2015 г. Продолжится и развитие проектов в рамках уже приобретенных лицензий. Из новых глобальных проектов планируем внедрить контроль администраторов и, может быть, приступим к рассмотрению класса систем «Защита от целевых атак».

Сейчас предотвращение заражения корпоративных компьютеров очень актуально, так как целевые атаки становятся тенденцией. Вирусы пишут специально для объекта атаки, и, поскольку вирус не зафиксирован в базе данных сигнатур, то взломать небольшую компанию просто. Система, позволяющая выявлять такие вирусы «на лету» – это уже другой класс безопасности.

CNews: Насколько год от года увеличивается количество атак?

Станислав Павлунин: Мы ведем статистику, потому что это необходимо для понимания изменений, прогнозов. По моим субъективным оценкам, ежегодный рост числа атак составляет 15–20%, а возможно, и больше. Инциденты мы делим на внутренние и внешние.

Недавно мы отрегулировали этот момент, появилась четкая политика ИБ по отношению к использованию ICQ, Skype, к средствам удаленного администрирования. Это привело к резкому снижению количества инцидентов. Раньше, например, человеку было удобно через Skype или ICQ отправлять внутреннюю документацию подрядчикам. В то же время у специалиста для этих целей настроена корпоративная почта. Мы провели некоторый анализ и поняли, что необходимо закрыть дублирующие каналы. Ведь корпоративная почта – это контролируемый канал связи, который проходит через защищенные сервера, бекапируется на всякий случай. Если что-то сломается, то специалисты смогут оперативно восстановить всю переписку. Негарантированные каналы связи, такие, как мессенджеры, нужны для других целей, но никак не для отправки рабочей документации.

Замечу, что количество внутренних инцидентов сократилось. Мы навели порядок с доступом, со списком программного обеспечения, которое разрешено к установке, провели большую работу совместно с ИТ. Мы очень плотно с ними пообщались, и количество инцидентов резко сократилось.

Если говорить про внешние инциденты, такие как сканирование интернет-банка, сайта, DDoS-атаки и другие случаи, как показывает практика, это зависит от сезонности. Например, летом внешних инцидентов значительно меньше. Зимой, и тем более перед Новым годом, количество «покушений» резко увеличивается. Для предотвращения DDoS-атак мы используем очень хорошее оборудование.

CNews: Какие нетипичные 2–3 года назад угрозы сегодня стали реальностью?

Станислав Павлунин: Это целевые атаки. Под вашу компанию и конкретную ИТ-систему пишут вирус. Но, поскольку вредоносное ПО пишется исключительно под вас, то вирус не обнаруживается ни одним из антивирусных средств. Эта программа каким-то образом, допустим, через социальный инжиниринг (сотрудник взял флешку и решил ознакомиться с ее содержимым; ему пришло письмо якобы от знакомого и он прочитал сообщение; сотрудник бэк-офиса ждет письмо с реквизитами, а ему приходит пустое сообщение от нужного адресата, на самом деле в письме содержится специально написанный под вас вирус) атакует компьютер.

Далее злоумышленник получает доступ к сети банка, путешествует, гуляет, перехватывает пароли администраторов, уходит на уровень администратора домена, а с этого уровня он видит платежный сегмент, а дальше начинаются финансовые махинации.

Еще 2–3 года назад были популярны сканирование для получения доступов к системам банка, вирусные атаки. Сейчас банки приобрели соответствующие надежные системы защиты и злоумышленники перенаправили свои усилия.

CNews: Как часто вы сталкиваетесь с целевыми угрозами? Что помогает вам обезвредить их?

Станислав Павлунин: Во-первых, в стадии пилотов у нас находятся несколько систем, которые позволяют такие угрозы обезвреживать. Во-вторых, мы сталкиваемся с такими угрозами нечасто, мы постоянно общаемся на тему целевых угроз с представителями профильных ведомств других банков, делимся опытом. В ТКС также проходят аудиторские проверки. В рамках аудитов мы понимаем что необходимо доработать. Если сканирования, внешние пин-тесты, внутренние аудиты проходят регулярно и эта работа налажена, то риски снижены.

CNews: Насколько регулярно вы проводите аудит систем информационной безопасности?

Станислав Павлунин: Согласно стандарту безопасности международных платежных PSI DSS, финансовая компания после прохождении сертификации должна раз в квартал проводить внешнее сканирование. Это означает, что регулярно банк проверяет инфраструктуру на предмет наличия уязвимостей. Одновременно текущая работа обязательно связана с контролем всех изменений, которые постоянно вносятся в ИТ-инфраструктуру.

Мы проводим внутренний аудиты, обычно в ночное время в автоматическом режиме. Уже утром есть отчет по критическим, высоким и незначительным уязвимостям, начинается их отработка. Внешние атаки мы имитируем раз в квартал.

CNews: Для имитации внешних атак вы привлекаете своих сотрудников?

Станислав Павлунин: Для этих целей мы привлекаем специализированную компанию. Она, конечно, не имеет узкой специализации в финансовом секторе, но очень хорошо эмулирует действия внешнего злоумышленника, которые позволяют нам понять узкие места. По прошествии аудита мы получаем отчет и, если необходимо, принимаем меры.

CNews: Можно ли оценить эффективность вашей системы информационной безопасности в деньгах за какой-либо период?

Станислав Павлунин: Существует несколько формул подсчета эффективности информационной безопасности, но мне сложно посчитать конкретную выгоду. Если системы ИБ правильно работают, то в банке все спокойно. Если при этом в банке что-то происходит, значит, сотрудники ИБ не доглядели, не смогли сработать на опережение. В «ТКС Банке» такие инциденты обязательно детально рассматриваются, чтобы сделать выводы и избежать проблем в дальнейшем, спрогнозировать возможные варианты развития событий.

Я согласен с утверждением экспертов, что одна целевая атака, если достигнет цели, способна нанести компании ущерб более чем в $1 млн.

CNews: Как вы считаете, претерпевают ли системы обеспечения безопасности в банках кардинальные изменения?

Станислав Павлунин: Да, на мой взгляд, идет уклон на предотвращение инцидентов, а не на их «постфактум-расследование». Сейчас наблюдается тенденция жесткого государственного регулирования. Так, ЦБ РФ предписывает обеспечивать на высшем уровне информационную безопасность. Недавно вышел очередной стандарт СТО БР. Государство предписывает, какими должны быть системы информационной безопасности в банках. Однако реалии состоят в том, что ИТ-сфера меняется «сумасшедшими» темпами. Каждый день может приносить все новые и новые угрозы. Защищаться от этих угроз – это наша задача.

CNews: Как вы относитесь к использованию бизнес-решений на базе открытого кода? Сейчас уделяется много внимания снижению зависимости от зарубежных вендоров.

Станислав Павлунин: Мой подход – Security for Business, если бизнес сочтет необходимым что то реализовать – мы будет думать как это возможно выполнить. Для меня Security – это support-подразделение, без романтики, пистолетов, «спецопераций с высадками десанта». ИБ – это такое же подразделение, как ИТ, как бэк-офис. А есть бизнес-подразделение, которое зарабатывает деньги, и задача безопасности – следовать за бизнесом и пытаться минимизировать риски.