— Можно ли сегодня создать идеальную и несокрушимую систему ИБ?

— Любая система уязвима, и несокрушимых нет. Уязвимость — измеряемая в деньгах и во времени характеристика системы.

Любая система защиты имеет две составляющие: системы ограничений и контроля

Любое средство защиты утяжеляет, удорожает, усложняет, замедляет защищаемую систему. Любое внедрение средств защиты это поиск компромисса между требованиями информационной безопасности и требованиями бизнеса.

Любая система защиты имеет две составляющие: системы ограничений и контроля. Сначала ставим ограничения, потом контролируем, как они соблюдаются. Всё. Все линейки продуктов, все технологии в конечном итоге направлены на это.

— Да, но системы ИБ год от года становятся все сложнее и сложнее. Людей же для работы с ними не прибавляется.

— Почему же? Прибавляется! Высшие учебные заведения готовят профильных специалистов, все сотрудники банков, как правило, знакомятся с корпоративными нормативными документами по информационной безопасности или проходят соответствующий учебный курс. Кроме того, все пострадавшие становятся грамотными. Жулики, между тем, не дремлют, и число пострадавших растет. Пострадавшие делятся своим опытом с окружающими, и это тоже оказывает положительный эффект. Так что грамотных уже много.

Вместе с тем грамотность преступного мира растет по экспоненте. Я уверен, что самыми внимательными читателями материалов по этой конференции (IT & Security Forum — Банкир.Ру) будут именно жулики. Специалисты спокойно, с прохладцей почитают, а эти ребята досконально, по буквам разберут.

Безопасность по-казански В Казани завершился IT & Security Forum, проходивший в столице Татарстана в десятый раз. 900 специалистов в области IT и безопасности со всей страны встретились и поговорили о том, как работать и развиваться в непрерывно меняющихся экономических условиях.

— То есть мы сейчас работаем на жуликов?

— И на них тоже. Мы видим по себе, что приемы, используемые злоумышленниками, хорошеют и хорошеют год от года. Мастерство растет! Люди не дремлют, зарабатывают на хлеб конкретными усилиями.

Жуликом сейчас быть не только выгодно, но и почти безопасно. Для борьбы с ними пока не приспособлены ни следственные органы, ни судебные. Не хватает грамотности у пользователей автоматизированных систем. И у клиентов нет доверия к правоохранительной системе. Последние приходят к нам: мол, вот эта транзакция не наша, это жулики, они проникли к АРМ, подписали моими ключами, верните деньги. Мы в ответ предлагаем написать заявление в полицию, но такой вариант не всем нравится, потому что следователи наверняка изымут АРМ с бухгалтерией в качестве вещественного доказательства. Вдруг найдут там что-то не то? И вообще — как без АРМ работать? Нет уж, давайте сами ищите жуликов, нам отдайте деньги, а мы еще и в суд на вас подадим.

Свидетельства, к которым привыкли в судах, в области высоких технологий не действуют

Даже по тем фактам, которые доходят до суда, выносятся очень мягкие решения. Например, жулик, ответственный за кражу нескольких миллионов, может получить условный срок. И многие наши доказательства не принимаются в качестве таковых. Например, предъявляется чек из банкомата. Судья уточняет, можно ли его напечатать на принтере из графического приложения? Мы честно отвечаем, что да, можно. Все, вещдок не принят.

Свидетельства, к которым привыкли в судах, в области высоких технологий не действуют. Нужны какие-то другие. А к ним никто не готов.

Конечно, нельзя сказать, что законодательство не развивается. Сдвиги есть. Принимаются новые законы, вносятся изменения в уголовный, процессуальный, административный кодексы. Разрабатываются стандарты по информационной безопасности и т. д., есть положительные сдвиги и в работе надзорных и правоохранительных органов. Например, создан Fincert в Банке России, с Управлением «К» МВД России мы говорим на одном языке, обмениваемся информацией. Регулярно отправляем туда информацию обо всех инцидентах.

— То есть все же ловить удается?

— Конкретно поимкой злодеев банки не занимаются, это все же функция правоохранительных органов, а противник у них очень серьезный.

Любое высокотехнологичное преступление заканчивается обналичиванием средств. А раз есть обналичка, есть и конкретный получатель. Но это так называемые дроперы, люди, приходящие с карточками к банкоматам (они чаще всего и попадаются). А над ними еще очень много народа.

Преступность организовалась

Организация процесса впечатляет. У нас зафиксирован рекорд, когда с момента хищения до обналичивания последней части суммы прошло всего 45 минут. Сорок пять! Что это означает? Готовились заранее, расписали все роли, раздали карточки, расставили дроперов у банкоматов. И как только пришла сумма на счет юридического лица, а с него — якобы в виде зарплаты — разошлось по дроперам, они получили сигнал на старт обналичивания. При этом учитывается, что из банкомата за один раз можно снять только 40 купюр, учитывается разовый лимит снятия и другие моменты. Поэтому у дропера не одна карточка, а десяток, на разные имена. И за 45 минут несколько миллионов были обналичены.

Преступность организовалась. Есть люди, пишущие исполняемый код. Есть «внедренцы», использующие методы социальной инженерии для заражения жертвы. Есть выстраивающие финансовую схему, то есть направляющие украденные финансовые потоки. Был случай, когда жулики создали юридические лица, чьи названия полностью совпадали с основными контрагентами жертвы. Счета, ИНН другие, разумеется. Но назначение платежа, сумма и наименование те же. Бухгалтер же не будет проверять каждый раз номер счета, и в результате платежи неделями уходили мошенникам.

И нижний уровень — дроперы. Их физиономии мы видим на камерах банкоматов и пунктов обслуживания. Дроперы обычно и не знают, кто им дал задание.

— Нерадостно.

— Да, радоваться особенно нечему. По зарубежным данным, хищение денег по электронным каналам составляет до 5% мирового ВВП, и показатели растут. Это уже сравнимо с проституцией, нелегальной торговлей оружием и наркотиками вместе взятыми. Только в тех сферах льется кровь, целые войны идут, а здесь все красиво и интеллигентно.

— Действительно сложная картина складывается, потому что, с одной стороны, в нынешней обстановке бюджет на ИБ не увеличивается, а вызовов все больше, и сами они все более суровые. Как действовать в такой ситуации?

— Есть разные способы минимизации рисков. Например, не секрет, что у злоумышленников вырос нездоровый интерес к банкоматам. Их взламывают и аппаратно, и программно. Иногда срывают с креплений при помощи пневмоподъемника и увозят.

Можно до бесконечности вкладываться в защиту банкоматов, которая, к сожалению, никогда не окупится. Системы ГЛОНАСС, системы защиты от газового взрыва… Любая такая система защищает от конечного числа известных угроз, число которых постоянно растет.

Надо сделать так, чтобы ситуация была управляемой и прогнозируемой

А можно застраховать на максимальную сумму при максимальной загрузке кассет деньгами. Как мы, собственно, и поступили. И это оказалось выгоднее.

Важно поставить планку приемлемости рисков и следить за тем, чтобы все находилось на заданном уровне. Ведь во главе угла стоит не информационная безопасность, как таковая, а бизнес. И надо сделать так, чтобы ситуация была управляемой и прогнозируемой.

В ряде случаев регулятор прямо говорит нам, что и как делать. Конкретные бизнес-процессы и конкретные технологии. Это в известной степени облегчает работу. Но нет ответа на вопрос: на ком лежит ответственность, например, за утечку данных, если, вопреки всем выполненным рекомендациям, таковая все же случится?

— И что же делать?

— Мне кажется, надо на государственном уровне пересмотреть ответственность за инциденты информационной безопасности. Если атак не происходит, значит все в порядке, и уже мое дело, как я этого добиваюсь. Если произошло, тогда да, виноват, и если не следовал рекомендациям регуляторов, это отягощающий фактор. Если строго следовал, то делишь вину с регулятором, который должен проанализировать факты и внести соответствующие изменения в свои рекомендации.

— Здесь, как говорится, есть нюанс. Нет сомнений, что в крупных банках и подкованные люди есть, и средства на организацию уникальных мер ИБ. Но наверняка же найдется заметное количество небольших банков, у которых нет соответствующих специалистов или ресурсов.

— Думаю, это более масштабная тема. Есть сейчас, например, требования к подразделениям, эксплуатирующим системы криптозащиты, по образованию. Не будет аттестован удостоверяющий центр, если образование сотрудников не профильное, или если они не отучились требуемые 500 часов на переподготовке. Мы, разумеется, выполняем. И если кто-то на местах образования не имел, отправляем в соответствующее учебное заведение.

Борьба в виртуальном мире не прекращается ни на минуту, расслабляться нельзя

Если распространить требование о профильном образовании на подразделения защиты информации всех банков, ситуация c ИБ может существенно измениться к лучшему. Защитой информации везде будут заниматься профессионалы. Злоумышленники совершенствуют свои навыки постоянно. Нам нельзя их недооценивать, необходимо повышать уровень собственной подготовки, грамотность в вопросах ИБ сотрудников бизнес-подразделений, клиентов, пользователей. Борьба в виртуальном мире не прекращается ни на минуту, расслабляться нельзя. А в отношении ресурсов на информационную безопасность могу повторить чьи-то умные слова: «Кто не платит, тот расплачивается».