26 апреля, 2013, BIS Journal №2(9)/2013

Многообещающий юбилей – 2


Северный Владимир

Коррепондент-обозреватель (BIS Journal)

Итоги V Юбилейного Уральского форума «Информационная безопасность банков» (11 – 16 февраля 2013 года)

Специалисты в информационной безопасности уверены, что применение облачных сервисов, став в последние годы одним из чрезвычайно востребованных продуктов, для банковских информационных систем означает не только массу технологических и экономических преимуществ, но и, в конечном итоге, переход к новой модели обеспечения информационной безопасности.

Поэтому выступления второго дня деловой программы Уральского форума оказались посвящены обмену опытом и принципиальными решениями, связанными с безопасностью применения облачных технологий, в том числе виртуализации.
 

13 февраля. ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ №2
«Обеспечение информационной безопасности банковских технологий в условиях виртуализации и перехода к облачным сервисам»

Начальник Управления эксплуатации обеспечивающих систем Межрегионального центра информатизации Банка России Александр Шибаев представил результаты опытного внедрения облачных технологий в системы Банка России. По его словам, только за последний год разнообразие предложений на рынке облачных сервисов выросло в разы. Однако доминирующими по популярности среди потребителей остаются предложения не SaaS (soft-ware-as-a-service), а PaaS (platform-as-a-service), подразумевающие более низкую степень «облачности».

Между тем, подчеркнул докладчик, в банковских системах даже с ограниченным применением «облаков» задача обеспечения безопасности требует не только перехода на специальные «облачные» продукты защиты, но и корректировки всей стратегии. Среди необходимых шагов – обязательный пересмотр ролей всех аккаун- тов банковской системы, от рядовых пользователей до администраторов, а также обеспечение стопроцентной отказоустойчивости Центра обработки данных .

Представитель ФСБ России Игорь Добрица сделал аналитическое выступление «Вопросы использования технологии виртуализации в облачных средах», в котором отметил ключевые особенности безопасного применения «облаков» в банке. Свой взгляд на облачные сервисы он обозначил следующей формулой: «"Облака" – это не столько технология, сколько модель аутсорсинга IT-сервисов».

Были перечислены сложности, связанные с «облаками». Первая – необходимость контроля за вводом в эксплуатацию новых виртуальных машин, которые могут становиться со временем уязвимыми. Вторая – трудность настройки межсетевых экранов, так как скомпрометированные виртуальные машины имеют возможность бесконтрольно атаковать «соседей». Затруднена в «облаках» и работа корпоративного антивируса, который может серьёзно снижать производительность системы. Особую опасность представляют информационные атаки на гипервизор – систему, инициирующую работу всех облачных сервисов, и потому представляющую идеальную цель для злоумышленников.

По мнению докладчика, высокую степень безопасности для инфраструктуры «облаков» способен обеспечить вынос защищаемых информационных ресурсов на отдельный сервер с доверенными средствами управления доступом. Альтернативные пути – создание отдельного изолированного окружения для каждого прикладного процесса или размещение средств защиты информации в составе базовой, или хостовой операционной системы.

Начальник отдела методологии обеспечения безопасности информационных ресурсов Управления безопасности информационных банковских технологий Банка России Андрей Выборнов представил принципы разработки требований к обеспечению информационной безопасности банков при использовании виртуализации. В результате аналитической работы специалисты Банка России сформировали подробный регламент для информационных систем банков, применяющих технологию виртуализации. Среди требований – применение сертифицированного сетевого физического оборудования для информационного обмена между виртуальными машинами, запрет сохранения пользователями изменений в текущих образах, ограничение возможностей копирования образов виртуальных машин.

В своём выступлении докладчик, продолжая мысль представителя ФСБ России, охарактеризовал имплементацию внешних средств защиты как средство избежать компрометации гипервизора, и, следовательно, всех виртуальных машин. Он также сообщил о необходимости обеспечивать в рамках единой системы одинаковый уровень защиты всех виртуальных машин.

Опытом запуска ситуационного центра информационной безопасности в ОАО «Газпромбанк» поделился Александр Егоркин, директор департамента безопасности, начальник Управления защиты информации банка. Он подробно рассказал, как шла разработка системы, анализирующей мельчайшие, «атомарные» события во всех информационных системах банка. Сигналы о любых сбоях и нарушениях поступают как рядовым сотрудникам, так и руководству.

В данной работе оказалось важным заручиться поддержкой расчётного центра и кадровой службы, а также руководства банка. Для чего следует наладить терминологический «перевод» угроз информационным системам банка на язык бизнес-процессов. Продуктивность последнего шага отметил модератор секции, пояснив, что подобная мера позволяет представлять руководству банка обеспечение информационной безопасности как деятельность в интересах бизнеса, а не как решение неких «айтишных» вопросов.

Ещё одно выступление банковского специалиста – Геннадия Лаврешина, заместителя директора Департамента безопасности, начальника Управления информационной безопасности ОАО «Россельхозбанк» – было посвящено безопасному дистанционному доступу руководства банка к банковским информационным системам. Данная задача, распадается на 2 важных направления. Первое – технологическая интеграция безопасного удалённого доступа в существующее в банке управление информационной безопасностью. Второе – обеспечение защиты информационных ресурсов банка. Ключевым шагом является ввод системы авторизации пользователя с помощью сертификатов, жёстко контролируемой специалистами подразделения информационной безопасности.

Обзор актуальных угроз для мобильных устройств в отношении банковских приложений представил Дмитрий Костров, специалист ОАО «МТС». Также он прорисовал схему работы общественной организации, которая бы объединила усилия российских банков и сотовых операторов в борьбе с мошенниками.

Руководитель управления информационной безопасности «Хоум кредит энд Финанс Банк» Юрий Лысенко спрогнозировал доминирование угроз и рисков для банковской отрасли в ближайшие годы. Среди систематических проблем, которые всегда сохраняют актуальность для информационной безопасности банков, он назвал необходимость обеспечения конфиденциальности, доступности, целостности банковских систем. Центральной мишенью для киберпреступности в будущем выступят системы ДБО. Ведь во многих банках, как показывает опыт, подобные «самописные» системы по сей день не проверены на ошибки кода и пестрят уязвимостями.

По мнению Юрия Лысенко, в ближайшем будущем киберпреступники сменят объекты атак на пользователей ДБО, перенаправив их с юридических лиц на физических. Новое ноу-хау – массированные атаки, получившие прозвище «салями», – заключаются в похищении у огромного числа пользователей небольших сумм денег, до 1 000 рублей. При подобном незначительном ущербе для каждого правоохранительные органы не могут заводить уголовные дела. В подобных схемах могут участвовать недобросовестные сотрудники банков.

Кроме того, Юрий Лысенко предупредил о возможности роста числа мошенничеств с электронными деньгами. Например, в виде привязки к электронным кошелькам бонусных или платёжных карт с последующим выводом всех денег в различные платёжные системы. Докладчик также увидел возможность актуализации в ближайшие годы различных эксплойтов для мобильных платформ. Такие новинки позволяют не только перехватывать одноразовые пароли, но и блокировать звонки пострадавшему от службы информационной безопасности банка, а также многое другое. В заключение выступления докладчик посетовал на низкий уровень массовой осведомлённости об азах информационной безопасности.

Заключительным выступлением второго дня стал доклад Рашита Галямова, заместителя начальника Управления безопасности и защиты информации Московского ГТУ Банка России. Заявленная тема доклада «Актуальные вопросы построения системы информационной безопасности» трансформировалась в интересный и поучительный обзор практических аспектов обеспечения информационной безопасности в Московском ГТУ Банка России.

По его словам, о BYOD в ГТУ даже думать нельзя – настолько важная и конфиденциальная информация обрабатывается. «Wi-Fi запрещен, система закрытая и, естественно, весьма и весьма консервативная... Нам очень важно видеть, что пытается сделать человек, который попытался подключиться», – сообщил докладчик об установленных в учреждении порядках. Он также отметил, что немалую долю нагрузки на специалистов составляет фиксирование выявленных «банковских» вредоносных кодов, которые присылаются кредитными организациями.

Выходом из сложившейся ситуации могла бы стать автоматизация ряда процессов в Московском ГТУ. В том числе за счёт применения облачных сервисов как интегрированной, хорошо оптимизированной и эффективно работающей системы, включающей средства безопасности. Однако на сегодняшний день ещё не решены удовлетворительным образом вопросы безопасности самих «облаков», и быстрого решения не предвидится. В конце выступления, словно продолжая мысль предыдущего докладчика, Рашит Галямов заключил: «Главное для нас всех – на постоянной основе работать над тем, чтобы уровень осознания проблемы информационной безопасности в нашем обществе возрастал».

 

14 февраля. ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ №3
«Перевод денежных средств в национальной платёжной системе России. Регулирование, надзор, наблюдение и контроль (в рамках надзора) защиты информации»

Проблематика переводов денежных средств в национальной платёжной системе России, а также вопросы регулирования, наблюдения, надзора и контроля защиты информации в национальной платёжной системе стали главной темой тематического заседания № 3, прошедшего 14 февраля.

Первый доклад, сделанный Андреем Курило, заместителем директора Департамента регулирования расчётов Банка России и одним из ведущих секции, ознакомил слушателей с основными акцентами регулятивно-надзорной деятельности. Докладчик высоко оценил произошедший благодаря последним законодательным изменениям переход к нормативному регулированию Банком России банковской информбезопасности.

Эффективность воздействия на среду при этом, по словам Андрея Курило, возрастает с 59% до всех 100%. Основным приоритетом надзорного регулирования Банком России сегодня является повышение точности получаемых данных. Для этого необходимо, чтобы поднадзорные учреждения и регулятор говорили на одном языке: чтобы оценка и самооценка проводились в согласии с методикой регулятора, позволяя эффективно автоматизировать обработку поступающих сведений.

Для этого разработана и проходит апробацию специальная методика проверки соответствия операторов переводов денежных средств и платёжных систем Положению Банка России № 382-П. Также подготовлена методика сведения результатов проверок, проводимых различными надзорными подразделениями Банка России, – прежде их соотнесение и анализ были нетривиальными задачами. Ещё один документ, в котором видится необходимость, – рекомендации стандартизации проведения банками оценки (с привлечением посторонней организации) и самооценки (своими силами).

Вместе с тем готовятся отдельные технологические доработки в Положение № 382-П. Например, уточняющие информацию, которую необходимо собирать для предоставления правоохранительным структурам, а также требования к внешним оценщикам. В отношении сбора отчётности по форме 203 необходимо существенно детализовать классификатор инцидентов. Это позволит сделать их результаты более понятными для рынка, пояснил докладчик.

Заместитель директора Департамента регулирования расчётов Банка России Андрей Шамраев рассказал о различных аспектах нормативного регулирования, связанных с защитой информации при переводах денежных средств. По его словам, с тех пор, как выход федерального закона №161-ФЗ «О национальной платёжной системе» твёрдо увязал функциональное регулирование и регулирование защиты информации в банковском секторе, ситуация на рынке существенно изменилась. Документ ввёл в законодательные рамки понятия платёжной системы и электронных денег, расширил понимание электронного средства платежа. Поле законодательства распространилось на широкий перечень субъектов национальной платёжной системы, а за Банком России закрепился статус регулятора защиты информации.

Докладчик особо отметил, что благодаря федеральному закону ФЗ-161 и Положению № 383-П нормативное регулирование сильно смещается на уровень кредитных организаций. В связи с этим Банк России призывает банки самим для себя чётко прописать методические процедуры: «Сейчас кредитным организациям дана очень большая степень свободы. Это создаёт, соответственно, и новые риски, которые надо учитывать».

Доклад председателя Национального банка Республики Башкортостан Рустэма Марданова был посвящён работе по противодействию в регионе мошенничествам в сфере ДБО. Представив статистику роста числа таких мошенничеств на территории республики, докладчик сделал акцент на том, что правоохранительные органы завели по ним слишком мало уголовных дел: с 2009 года – всего 10. Среди однозначных успехов – подписание республиканскими банками меморандума, подготовленного в тесном сотрудничестве с МВД на базе рекомендаций, составленных рабочими группами Некоммерческого партнёрства «Национальный платёжный совет» и Ассоциации российских банков.

Докладчик предложил внести изменения в законодательство, касающиеся кибермошенничеств. Три предложения оказались созвучны пожеланиям, которые высказывают специалисты из правоохранительных органов. Первое – привязать территориальную подсудность банковских хищений к месту принадлежности пострадавшего счёта. Второе – разрешить предоставлять справки об операциях и счетах физических и юридических лиц в органы, ведущие дознание. Третье – «отодвинуть» наступление безотзывности платежа, чтобы клиент мог предотвратить мошенническую операцию после SMS-информирования из банка (последние изменения касаются ч. 7 ст. 5 ФЗ-161).

О том, каких принципов придерживается надзорный орган в ходе проверок кредитных организаций по вопросам применения информационных технологий, рассказал начальник отдела информационных систем Управления информационного обеспечения Главной инспекции кредитных организаций Банка России Сергей Стройков. По его словам, основной задачей ведомства сегодня является оценка внутреннего контроля в банках по всем аспектам, связанным с информационными технологиями.

В связи с этим докладчик высоко оценил подход, представленный на втором дне Уральского форума представителем ОАО «Газпромбанк», – взгляд на вопросы информационной безопасности с точки зрения их влияния на конечные бизнес-процессы. Среди курируемых аспектов применения IT-технологий в банках, – наличие системного менеджмента рисков информационной безопасности, моделей угроз, в том числе потенциальных нарушителей.

Новая задача ведомства – проведение проверок учреждений, которые не принадлежат к кредитным организациям, но являются субъектами национальной платёжной системы. Для выполнения этой задачи нужна разработка методической составляющей, о которой ранее упомянул в докладе Андрей Курило. Полезным оказалось пояснение докладчика о действующей методике проверки. Для Банка России важными являются пункты договоров кредитной организации со сторонними организациями на оказание услуг в сфере IT, касающиеся конфликтных ситуаций и чрезвычайных обстоятельств. Аналогично Банк России оценивает аутсорсинг IT-услуг.

Доклад Андрея Грициенко, начальника службы информационной безопасности ОАО Банк «Возрождение», был посвящён неоднозначно воспринимаемым пунктам нормативных документов, касающихся обеспечения информационной безопасности банков. Отдельные трудновыполнимые требования докладчик выявил как в федеральном законодательстве, касающемся электронной подписи, так и в текущей версии стандарта Банка России. Он также сделал пояснения касательно юридического статуса добровольной сертификации, сославшись на российское законодательство о техническом регулировании, обрисовав роль и деятельность Некоммерческого партнёрства «АБИСС».

Александр Велигура, председатель Комитета по банковской безопасности АРБ и руководитель Комитета по безопасности НП «Национальный платёжный совет», поделился опытом взаимодействия рабочих групп по противодействию мошенничеству в системах ДБО. Докладчик дал краткую характеристику деятельности рабочих групп при АРБ и НП «НПС», и обозначил основные достоинства разработанных рекомендаций по менеджменту инцидентов ДБО.

Данное руководство, занимающее 39 страниц, содержит подробные инструкции для всех сторон, заинтересованных в разрешении ситуации: пострадавших клиентов, атакованных банков, банков, получивших мошеннический перевод и других. Наряду с порядком действий документ содержит широкий перечень приложений – образцов, которые требуются для действий при инцидентах. Например, образец заявления о хищении средств в системе ДБО, подаваемого в правоохранительные органы.

 

ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 4
«Обеспечение безопасности и совершенствование систем дистанционного банковского обслуживания. Противодействие мошенничеству в кредитно-финансовом секторе. Обеспечение защиты информации при внедрении новых платёжных технологий»

Тематику заседания №4 определили вопросы, неизменно сохраняющие актуальность: безопасность систем ДБО и пути её повышения, а также различные методики противодействия мошенничествам в сфере финансовых IT-сервисов. Также в повестке было обеспечение информационной защиты новых платёжных технологий.

Результаты работы клуба антидроперов представил в своём докладе один из его организаторов и активных деятелей Павел Головлёв, начальник управления безопасности информационных технологий ОАО «СМП Банк». Несмотря на отсутствие точной статистики потерь банковской системы России от кибермошенничеств, примерные подсчёты свидетельствуют, что удельная величина риска в дистанционных сервисах в 2012 году снизилась в 3–6 раз, составив около 25 рублей на 1 операцию. Докладчик особо указал на недостаточность финансирования информационной безопасности банков: в России это всего 19% от потолочной величины потерь.

Основой деятельности клуба, по характеристике Павла Головлёва, послужило «джентльменское соглашение», которое заключили около 350 организаций, входящих в НПС. Договорённости подразумевают меры оперативного взаимодействия при расследовании инцидентов и ликвидации их последствий. Формы работы включают межбанковский обмен информацией о преступниках, их инструментарии, об опыте противодействия мошенничествам, а также координацию усилий в случае выявления инцидента.

В рамках клуба разработана и развивается модель угроз ДБО. Модель свидетельствует о высокой «эффективности» всего нескольких мошеннических приёмов, знание которых позволяет банкам существенно снизить потери от информационных атак. «Цель была разработать модель угроз, ориентированную на бизнес- процессы, а не на объекты информатизации. Модель, понятную бизнесу, а не оперирующую сухим академизмом в области безопасности. Реально применимую в практической деятельности, позволяющую оперативно принимать решения, не тратя лишнего времени на вычисления, требующие гигантских ресурсов», – пояснил докладчик.

Доклад Василия Окулесского, начальника Управления информационной безопасности ОАО «Банк Москвы», познакомил аудиторию со свежей оценкой размеров финансового ущерба от атак на ДБО. По данным компании «Техносерв», в 2012 году прямой ущерб составил $107 млн, и к 2015 году ущерб банкам может вырасти вдвое. В такой обстановке понятно повышение популярности мощных аналитических внутрибанковских систем – антифрода. Потому что сейчас трудно обеспечить доверенное пространство платежей со стороны клиентов или полноценное информирование их об угрозах.

Перечислив основные требования к современным антифрод-системам (в особенности гибкость системы профилей клиентов), Василий Окулесский завершил своё выступление неожиданным тезисом. Внедрение мощной антифрод-системы кардинально повышает защищённость клиентов и банков от мошенников, но эта процедура очень сложная и дорогая. Поэтому банк должен подумать, не проще ли активизировать традиционные меры и средства информационной безопасности. А там, где всё- таки решили приобрести и внедрить промышленную антифрод-систему, должны чётко знать, на что идут, и быть готовым к существенным затратам средств, времени и сил.

Сравнение разнонаправленных подходов к снижению рисков использования платёжных карт, практикуемых в мире, сделал в своём докладе Вадим Кузнецов, начальник Управления Департамента регулирования расчётов Банка России. В США – банки полностью принимают на себя риски мошенничества и незамедлительно возмещают потери от инцидентов. Для Европы характерен более либеральный подход: ни в национальных, ни в региональных законодательствах нет жёсткого требования к банкам возмещать средства клиентам ДБО, ставшим жертвами фрода.

Россия находится в числе стран-лидеров по росту объёмов карточных транзакций, по прогнозам на 2013 год оборот составит около 24 трлн рублей. Но у нас сегодня нет официальной статистики объёмов мошенничеств, например, с банкоматами или другими видами ДБО. Ситуацию должна исправить работа Банка России, сбор отчётности банков и платёжных систем об инцидентах. Сводные данные помогут окончательно определить, каким путём, «американским» или «европейским», идти России в риск- менеджменте ДБО.

Заключительный доклад сделал главный экономист сектора внутреннего контроля отдела управления рисками и внутреннего контроля Управления методологии банковского регулирования Банка России Дмитрий Гавриленко. Он представил обзор требований управления операционными рисками, предъявляемых Банком России к небанковским кредитным организациям. Ссылаясь на соглашение Базель II, докладчик сделал акцент на риск-менеджменте кредитных организаций в целом и такой его важной составной части, как стратегия информационной безопасности.

Дмитрий Гавриленко познакомил слушателей с проектом федерального закона об управлении рисками в банках, доработка которого должна завершиться в ближайшие сроки. В результате принятия ФЗ-162 от 27 июня 2011 года «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием федерального закона "О национальной платежной системе"», – сообщил докладчик, – платёжные небанковские кредитные организации стали обязаны управлять операционными рисками в соответствии с Указанием 2840-У Банка России.

«Установлены широкие требования к внутренним документам, которые определяют порядок управления операционным риском, – пояснил Дмитрий Гавриленко. – Перечислена классическая структура управления операционным риском, согласно рекомендациям Базельского комитета по банковскому надзору, дан примерный перечень событий операционного риска и рекомендации по распределению полномочий между органами управления при управлении операционным риском».

В обеспечении информационной безопасности важную роль играет обработка рисков нарушения работы автоматизированных информационных систем или несоразмерности их функциональных возможностей особенностям бизнеса организации. Дмитрий Гавриленко назвал указанный документ «первой ласточкой», отражающей серьёзный настрой Банка России на регулирование информационной безопасности платёжных систем.

 

15 февраля. ДЕНЬ ПРАКТИЧЕСКОЙ БЕЗОПАСНОСТИ

Захватывающим шоу для участников форума, которые за прошедшие дни заслушали немало докладов о современных разработках в области безопасности информационных систем банка, стали мастер-классы. В «День практической безопасности» аудитория затаив дыхание внимала выступлениям коллег на сцене.

Ведущие мастер-классов щёлкали как орехи информационные «заслоны» или обходили их. Демонстрировали типичные и нетривиальные методики «взлома» банковских информационных систем, поиска уязвимостей в системах безопасности корпоративных ресурсов. Мастер-классы по форме сильно походили на проходящие на Positive Hack Days или ZeroNights.

Но на этот раз под прицел выступавших попали именно банковские системы. Участники форума наблюдали шаг за шагом процесс сборки распространённых банковских троянов, reverse-engineering вредоносов, знакомились с приёмами эксплуатации уязвимостей типичных систем ДБО, инструментарием атак. В целом, «шоу» было затеяно для того, чтобы, лучше понимая «потенциального врага», укреплять информационную защиту собственных ресурсов. Даже на этом пёстром и насыщенном фоне выделился мастер-класс, проведённый Андреем Масаловичем, руководителем направления конкурентной разведки компании «ДиалогНаука».

Докладчик познакомил аудиторию с возможностями «интернет-разведки» – сбора информации через альтернативные открытые источники в интернете. Но, в том числе, путём обхода защиты ресурсов регулирующих органов и корпоративных структур. На всякого мудреца довольно простоты: как продемонстрировал Андрей Масалович, порой даже самую конфиденциальную и засекреченную служебную информацию можно добыть, например, при просмотре переписки на корпоративных форумах. Самая крепкая информационная защита может быть скомпрометирована, если её дополнить хотя бы одной плохо проверенной «надстройкой». Как это случилось с серверами итальянской киберразведки, чьи конфиденциальные данные на сервере для удалённой работы были обнаружены и опубликованы «интернет-хактивистами».

Подобные события всегда сказываются на репутации компании, поэтому докладчик настоял на необходимости постоянного мониторинга появляющейся в интернете информации о профильных для компании темах либо касающейся деятельности самой компании. Андрей Масалович представил концепцию программных комплексов, позволяющих автоматически собирать и аккумулировать такую информацию, профилировать её и представлять в легко понятном интерфейсе. Например, в виде «светофора», который отражает наличие в информационном поле нужных сообщений и показывает степень их важности.

В завершение дня модератор тематического заседания, эксперт по информационной безопасности Алексей Лукацкий сделал итоговый доклад. Он подвёл итоги основных событий Уральского форума, сделал краткое резюме прозвучавшей актуальной информации. Формат «Дня практической безопасности» оказался высоко востребован среди специалистов в информационной безопасности, стремящихся лучше «знать врага в лицо» и защищать информационные системы и клиентов банков от всевозможных угроз.

 

Смотрите также

НБ и ИБ в любой ЧС

7 августа, 2012
Подпишись на новости!
Подписаться