7 июня, 2013, BIS Journal №2(9)/2013

Межбанковская конференция: информационная безопасность от «А» до «Я»


Северный Владимир

Коррепондент-обозреватель (BIS Journal)

Повестка дня ? технологии «сквозной» защиты банковских информационных систем от разработки приложений до проведения платежа

Межбанковская конференция, проведённая в Москве 29 мая 2013 года, стала эффективной площадкой обсуждения насущных вопросов информационной безопасности, на этот раз ? обеспечения в национальной платёжной системе безопасности систем ДБО и электронных средств платежа. Главное внимание было уделено таким злободневным темам, как создание доверенной среды и безопасность банковских приложений на различных этапах их жизненного цикла.

 

Организаторам мероприятия, Ассоциации российских банков и ЗАО «АВАНГАРД ЦЕНТР», удалось собрать на территории выставочного центра «ИнфоПространство» специалистов подразделений информационной безопасности свыше 150 банков. В мероприятии приняли участие также специалисты компаний ? разработчиков банковских автоматизированных информационных систем, включая сервисы ДБО, и решений в области информационной безопасности.

Мероприятие прошло по инициативе и при официальной поддержке Банка России, который направил на конференцию руководителей ведущих специалистов профильных подразделений. В подготовке конференции приняли участие отраслевые некоммерческие партнёрства, вице-президент НП «Национальный платёжный совет» Тимур Аитов и председатель НП «АБИСС» Павел Гениевский вошли в рабочий президиум.

Среди компаний − разработчиков и поставщиков решений информационной безопасности, принявших участие в работе конференции, с докладами и презентациями выступили БИФИТ − официальный партнер мероприятия, Оберон, ЦИБИТ, Appercut, Digital Security, IT Guard, SafeTech и Softline.

 

ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ №1: «СОЗДАНИЕ ДОВЕРЕННОЙ СРЕДЫ В БАНКОВСКИХ СИСТЕМАХ, ВКЛЮЧАЯ СИСТЕМЫ ДИСТАНЦИОННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯ И ЭЛЕКТРОННЫЕ СРЕДСТВА ПЛАТЕЖА»

На первом тематическом заседании докладчики сфокусировались на проблеме создания и поддержания доверенной среды. Этой теме было уделено особое внимание ещё в феврале, на зимней сессии V Уральского межбанковского форума в Магнитогорске. Решение этой проблемы позволяет в условиях роста угроз со стороны киберпреступности обеспечить должный уровень защиты платежей, проводимых клиентами банков. Участники так формализовали задачу: создать между клиентами банков и банковскими информационными системами безопасный канал связи для  гарантированной передачи аутентичной платёжной информации.

Как обычно, с особым интересом аудитория внимала докладам представителей главного государственного регулятора отрасли ?  Банка России. Заместитель начальника Главного управления безопасности и защиты информации (ГУБиЗИ) Банка России Артём Сычев отметил тенденцию смычки бизнес-интересов и сервисов телекоммуникационных провайдеров и кредитно-финансовых организаций. Хотя нормативно-правовые базы отраслей, в которых они работают, пересекаются, но не совпадают, проблемы есть и общие: рост киберпреступности, необходимость защиты персональных данных, включение менеджмента информационной безопасности в общие бизнес-процессы компании и многие другие.

Выход, по мысли Артёма Михайловича, в межотраслевом взаимодействии ? взаимном признании отраслевых стандартов. Важной целью является формирование общего единого пространства доверия для телекоммуникационных компаний и кредитно-финансовыми организаций. На общей нормативной базе провайдеры могут создать для банков сервисы безопасности передачи платёжных данных.

Другой актуальной темой доклада стал выпуск Банком России в июле-августе рабочей версии рекомендаций по ресурсному обеспечению. Работа над этим документом анонсировалась ещё в феврале на V Уральском форуме. Готовый документ послужит неплохим подспорьем для подразделений информационной безопасности банков, чтобы запрашивать у руководства кадровые, технические и иные ресурсы. Конкретные нормы, рассчитанные регулятором, − сильный аргумент.

Андрей Курило, заместитель директора Департамента регулирования расчётов Банка России, в своём выступлении сообщил, что регулятор будет досконально проверять результаты оценки соответствия кредитно-финансовых организаций требованиям Постановления Банка России от 9 июня 2012 года №382-П. При расхождении результатов самооценки с итогами проверки надзорной комиссии зачитываться будет решение инспектирующей стороны. Также было упомянуто продуктивное сотрудничество регулятора с банковским сообществом в развитии нормативной базы. Хотя в настоящий момент в Техническом комитете №122 «Стандарты финансовых операций» участвует не так много представителей банков, их активность помогает обстоятельной и достаточно быстрой совместной работе.

В докладе Валерия Харламова, начальника отдела Департамента регулирования расчётов Банка России, были даны подробные разъяснения требований Положения №382-П и Указания от 9 июня 2013 года №2831-У. Докладчик обозначил перспективы дальнейшего развития содержащихся в них формулировок и анонсировал выпуск рекомендаций по обеспечению безопасности мобильного банкинга.

Участников мероприятия заинтересовали изменения порядка лицензирования деятельности, связанной с криптографическим оборудованием, в том числе банковской. В докладе, посвящённом этой теме, были описаны проблемы развития законодательства, возможные алгоритмы процедуры и подводные камни.

Разработчики и поставщики решений в области информационной безопасности представили образцы устройств, создающих доверенную среду для банка и клиентов. Различные по исполнению устройства объединяла криптографическая защищённость ввода и обработки минимального количества платёжных данных.

Создатели устройств говорили, что их решения настолько совершенны, что при их использовании единственной проблемой остаётся халатность пользователей. Клиенты порой не замечают, что подписывают платёжное поручение, сформированное мошенником. Устранить эту уязвимость «человеческого фактора» компании-разработчики предлагают ведением «белых списков» банковских счетов стандартных контрагентов клиента, а для перечисления средств новым применять усложнённую процедуру подтверждения.

 

ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ №2: «ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ БАНКОВСКИХ ПРИЛОЖЕНИЙ НА РАЗЛИЧНЫХ ЭТАПАХ ЖИЗНЕННОГО ЦИКЛА, ВКЛЮЧАЯ СИСТЕМЫ ДИСТАНЦИОННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯ И ЭЛЕКТРОННЫЕ СРЕДСТВА ПЛАТЕЖА»

Обсуждению безопасной разработки банковских систем − Software Development Life Cycle (SDLC) и других злободневных вопросов информационной безопасности банков было посвящено второе тематическое заседание, а также частично закрытие конференции.

Основной идеей концепции разработки безопасного жизненного цикла является обязательное включение компонента безопасности в каждый элемент банковских приложений ещё на этапе проектирования. Благодаря этому разработчики систем на любой стадии создания и эксплуатации − проектирования, поддержки и ликвидации приложений − будут стремиться к созданию надёжного, защищённого и отказоустойчивого программного обеспечения.

Один из самых весомых аргументов в пользу такого подхода − экономический. Самый обширный практический опыт и отраслевые исследования свидетельствуют: выявлять и исправлять структурные ошибки на стадии проектирования системы гораздо проще и дешевле, чем на более поздних стадиях.

Учёт требований безопасности на ранних стадиях создания банковских приложений позволяет существенно повысить их надёжность, снижает потребность в полноформатном аудите безопасности после внесения в них изменений. Что, в свою очередь, упрощает контроль обеспечения безопасности банковских информационных систем и государственным регуляторам. Интегральным результатом является создание защищённой национальной IT-инфраструктуры кредитно-финансовых и платёжных организаций.

Учитывая эти факторы, Банк России, банковские специалисты, разработчики решений информационной безопасности и интеграторы некоторое время назад приступили к продвижению принципов внедрения безопасного SDLC среди как российских банков, так и компаний-разработчиков. Выступавшие на втором тематическом заседании участники конференции разъясняли преимущества этого подхода, обсуждали возможности его внедрения.

Заседание было открыто содержательным и эмоциональным докладом Василия Окулесского, начальника Управления информационной безопасности ОАО «Банк Москвы». Василий Андреевич исчерпывающе перечислил многочисленные трудности, с которыми могут столкнуться сотрудники банков, если разработчики банковских приложений хоть на миг упустят из виду требования безопасности. Тема эта настолько обширна и значима, что каждый аспект SDLC требует многочасового разбирательства. Главный принцип − разработчики должны учитывать безопасность использования своих продуктов на каждой стадии их разработки.

Справедливость этого принципа подтвердили выступления разработчиков банковских автоматизированных систем и сервисов ДБО. Они демонстрировали разное программное обеспечение для анализа и аудита кода, − одно из средств обеспечения безопасности SDLC на разных этапах разработки. Показывали его возможности работы в различных режимах − «чёрного ящика», «белого ящика», онлайн-анализа, гибридного анализа и других. Особенно высоко аудитория оценила продукты, способные буквально сходу обнаруживать уязвимости − ошибки кода банковских приложений. В том числе и такие, которые можно принять за сознательные.

Докладчики не раз подчёркивали: ошибки в коде приложений редко являются плодом злого умысла, чаще всего − следствием односторонне специализированного стиля мышления программистов и стремления руководства к «оптимизации» − экономии ресурсов. Разработчикам свойственна привычка к спешке, они впадают в соблазн идти путём, который кажется самым прямым и быстрым. Но платой за торопливость оказывается снижение защищённости и отказоустойчивости приложений. Добросовестные разработчики, напротив, для большей надёжности порой намеренно усложняют программное обеспечение, пряча подальше от потенциальных злоумышленников важные компоненты.

Выступление Андрея Грициенко, начальника службы информационной безопасности в банке «Возрождение», продолжило дискуссию о последовательно безопасной разработке банковских программных продуктов. Часть инцидентов информационной безопасности, как показывает расследование, происходят из-за несовершенств программного обеспечения. В таких  случаях Андрей Александрович предложил банкам решительно потребовать у разработчиков взять на себя долю ответственности за наносимый ущерб.

Действительно, существующая ситуация абсурдна: вендоры и интеграторы практически никак не отвечают за тот ущерб, который их некачественная работа может нанести банку и его клиентам. А уязвимости часто выявляются не при тестировании и приёмке программного обеспечения, а в ходе его производственной эксплуатации. Но никакого «гарантийного периода» подавляющее большинство поставщиков решений не предлагает…

Андрей Грициенко призвал отечественные банки, включая и Банк России, совместно выработать отраслевые стандарты разработки решений в сфере информационной безопасности. Компании-поставщики, подтверждающие соответствие этим нормам, могут рассчитывать на преференции банков-клиентов.

Среди других актуальных вопросов были отчётность об инцидентах информационной безопасности, подаваемая Банку России банками и платёжными системами, трансграничная передача данных и специфические угрозы персональным данным в банковских системах.

По первой теме обстоятельно выступила Светлана Толстая, главный экономист Департамента регулирования расчётов Банка России, подробно разъяснив особенности выполнения Указания Банка России №2831-У, которые вызывали многочисленные вопросы. Докладчик предупредила об изменениях, которые будут внесены в форму 0403203 в ближайшее время, и обозначила рамки переходного периода − от полугода до года для разных участников национальной платёжной системы. Кроме того, Светлана Александровна, отвечая на вопросы специалистов из зала, помогла разобрать вызывавшие разные толкования моменты заполнения отчётности об инцидентах.

Сергей Кирюшкин, представлявший на конференции Некоммерческое партнёрство «АБИСС», в своём выступлении рассказал о результатах опроса, проведённого среди 30 компаний − членов партнёрства. Среди заданных вопросов ряд касался оценки актуальности проблемы трансграничного информационного взаимодействия. Некоторые из опрошенных компаний, признавая важность поставленного вопроса, считают, что имеют достаточно полное представление о порядке трансграничного информационного взаимодействия в соответствии с международной нормативно-правовой базой.

Однако многие крупные компании, поставляющие и внедряющие решения в сфере информационной безопасности, напротив, подтвердили, что эта проблема для них является назревшей. В связи с такими результатами НП «АБИСС» намерено регулярно проводить среди российских компаний подобные опросы, а по их результатам активизировать работу по наиболее проблемным направлениям.

Павёл Головлёв, начальник управления безопасности информационных технологий ОАО «СМП Банк», также апеллировал к недавно проведённым социологическим опросам. Павел Михайлович продемонстрировал, что граждане России весьма смутно представляют себе угрозы, связанные с утечкой их персональных данных из банков. Такие инциденты, по мнению граждан, чреваты для них в основном моральным ущербом.

Большинство клиентов не задумываются, что банк в таких ситуациях рискует значительно больше, денежными и репутационными потерями, а также санкциями со стороны государственного регулятора. Тема задела за живое коллег докладчика − специалистов подразделений информационной безопасности других банков, и в зале на короткое время вспыхнула оживлённая дискуссия.

Работу конференции подытожило выступление Артёма Сычева. Замначальника ГУБиЗИ Банка России, ответив на ряд вопросов, выразил удовлетворение проведённым мероприятием и поблагодарил всех участников за плодотворную работу. После официального завершения мероприятия участники не спешили расходиться, в кулуарах ещё долго кипели дискуссии.

 

Смотрите также

Подпишись на новости!
Подписаться