В начале прошлой недели пять крупных российских банков подверглись очередной мощной кибератаке. Однако специалисты ЦБ РФ смогли вовремя предупредить службы банков, сообщив возможные параметры атак, что позволило избежать серьезных последствий. Не исключено, что в ближайшее время ЦБ РФ устроит масштабную проверку банков на готовность к отражению кибератак. Корреспондент «БИЗНЕС Online» узнал, сколько времени необходимо банку, чтобы возвести вокруг себя непробиваемые заслоны для кибермошенников.
КАК ИЗМЕРИТЬ ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ?
В ЦБ РФ участились случаи получения отправляемых через интернет электронных сообщений, содержащих в себе самые новейшие модификации вирусов, которые не детектируются обычными антивирусными программами. Помимо Центробанка мишенью хакерских атак, организованных злоумышленниками, стали российские коммерческие банки, а также другие финансовые институты страны. Напомним, что в августе этого года ЦБ РФ оповестил о ведущейся мошенниками от имени Сбербанка электронной рассылке с рекламой новой банковской карты «Мир». Объектом атаки хакеров тогда стали пароли клиентов Сбербанка к системам удаленного банковского обслуживания.
Негативные последствия сбоев в работе отдельных банков могут привести к быстрому развитию системного кризиса платежной системы РФ, нанести ущерб интересам собственников и клиентов. Еще в 2006 году ЦБ РФ принял стандарт СТО БР ИББС «Обеспечение информационной безопасности организаций банковской системы Российской Федерации». Методика оценки соответствия банка этому стандарту достаточна нетривиальна в применении, зато затрагивает практически все сферы деятельности. Оценка происходит по показателям, разделенным на три основные группы: организационные документы, практика применения конкретных мер защиты и показатели, которые оценивают выполнение требований стандарта. Оценка показателей стандарта СТО БР сбалансирована так, что только за счет искусственного «вытягивания» одной группы показателей достигнуть высокого уровня соответствия не получится.
Для упрощения работы банков российские законодатели в дополнение к стандарту СТО БР ИББС попытались создать более удобный в повседневном применении, «облегченный» стандарт безопасности, в котором упрощено получение количественных оценок. Плодом их усилий стало появление в 2011 году федерального закона 161-ФЗ «О национальной платежной системе», на основе которого ЦБ РФ разработал свое положение №382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации» от 09.06.2012. В нем, в частности, прописано проведение банком оценок выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств и предоставление отчетности об этой оценке. Согласно этому положению участник платежной системы обязан не реже чем раз в два года проводить оценку соответствия своих систем требованиям положения и отправлять эту итоговую оценку в ЦБ РФ. Также участники платежной системы обязаны информировать раз в месяц Банк России обо всех случившихся инцидентах.
Последнее обновление данного положения было год назад — в сентябре 2014 года (указание 3361-У). Оно внесло ряд новых пунктов в перечень необходимых мероприятий. Например, необходимость контроля выполнения мероприятий по защите информации при разработке систем дистанционного банковского обслуживания в случае, если участник платежной системы заказывает ее на стороне. Если же это собственная разработка, то на участника платежной системы возлагаются обязательства по поддержанию в актуальном состоянии средств авторизации и механизмов защиты. Также в этом указании были даны рекомендации по интернет-банкингу, по обязательствам участников платежной системы, по повышению финансовой грамотности клиентов и общего уровня осведомленности по вопросам информационной безопасности.
«НЕ ВАЖНО, ЧТО ИНЦИДЕНТ БЫЛ, ВАЖНО, КАК НА ЭТОТ ИНЦИДЕНТ ОТРЕАГИРОВАЛ БАНК»
Для проверки на соответствие банка требованиям стандартов СТО БР и НПС предусмотрено проведение аудита с периодичностью раз в год. Аудит может проводиться как собственными силами финансовой организации («внутренний аудит»), так и с привлечением средств и сил сторонних организаций («внешний аудит»).
Внутренний аудит фактически проводится соответствующим структурным подразделением банка, отвечающим за защиту информации, — IT-департаментом или службой безопасности (у каждого банка по-своему). Внутренний аудит довольно дешев, поскольку его проведение можно вменить в обязанности, включить в должностную инструкцию сотрудников — «регулярная оценка соответствия требованиям стандартам». Но есть и недостатки. Главный — это субъективность оценки. Кроме того, сотрудники банка могут не отследить вовремя последние тенденции, упустить новые угрозы. Кроме того, во время проведения анализа у сотрудников банка есть еще ряд других задач. Понятно, что во время кризиса банки не хотят раздувать штат сотрудников, чтобы они только проверяли и анализировали. Соответственно, возникают вопросы по поводу качества проведения подобной процедуры.
Константин Иванов |
Внешним аудитом, как правило, занимаются организации, у которых есть свои сертифицированные сотрудники, постоянно работающие в данной сфере с компаниями-заказчиками. Например, в группе компаний ICL есть несколько аудиторов, прошедших специализированное обучение и имеющих соответствующие сертификаты. Не разглашая коммерческой тайны, они могут указывать заказчику о тех уязвимостях, которые были обнаружены в других компаниях. «Обмен опытом — это большой плюс. Кроме того, есть гарантия, что специалисты, которые «заточены» на проведение вполне конкретной работы, не будут отвлекаться на выполнение других работ. Соответственно, работа будет выполнена эффективнее и быстрее. Разумеется, главный минус внешнего аудита в глазах заказчика — цена, значительно превышающая расходы на внутренний аудит», — отмечает заместитель руководителя отдела разработки и сопровождения средств защиты информации НТЦ ВС группы компаний ICL Константин Иванов.
К факторам, влияющим на стоимость аудита, относится все, что связано с определением его границ: географическое расположение компании (будет это небольшой офис или распределенная структура из нескольких филиалов, ЦОДа и т. п.), количество АРМ, серверов, количество обследуемых информационных систем, автоматизированных банковских систем и т. п. В зависимости от границ проведения аудита его стоимость может колебаться в широких пределах: от нескольких сотен тысяч до миллионов рублей. Главное, подчеркивает Иванов, что вся система аудита нацелена на оценку динамики развития информационной безопасности банка. Грубо говоря, не важно, что инцидент был, важно, как на этот инцидент отреагировала организация, насколько эффективны мероприятия, направленные на недопущение подобных инцидентов в будущем не только у себя, но и в других организациях.
Деньги аудитору платятся не за достижение определенного уровня соответствия стандарта — «удовлетворительно» или «хорошо», а за то, чтобы он провел анализ существующего состояния, показал, чему банк объективно соответствует, и высказал свои рекомендации. Не может быть такого, что заплатил подороже за аудит, получил уровень «хорошо». Еще больше заплатил, получил уровень «отлично». В этом случае нарушаются два основных принципа аудита — независимость и достоверность. «Вердикт аудитора – это лишь указание направления, куда нужно двигаться и какими методами», — поясняет Иванов. — Причем все риски от принятия того или иного решения принимает на себя заказчик».
Помочь с реализацией рекомендаций аудитора может системный интегратор. В идеале это должна быть совершенно другая организация, не связанная с аудитором. Безусловно, например, многие московские системные интеграторы технически подготовлены и компетентны выступать как в роли системного интегратора, так и в роли аудитора.
«Если наша команда проводит аудит, то мы уже не считаем возможным для себя выступать в роли системного интегратора по данному проекту. Наша компания более 15 лет работает на рынке информационной безопасности, и мы считаем это неэтичным. В проекте могут участвовать и другие команды и организации. Максимум, на что мы готовы, — оценить, как те решения, которые предлагает системный интегратор, соответствуют требованиям стандарта. Такое участие в проекте не только допустимо, но и желательно», — отметил представитель группы компаний ICL.
ДАЕШЬ ПЯТИЛЕТКУ ЗА ТРИ ДНЯ?
Сейчас доля российских кредитных организаций, принявших стандарт СТО БР, достигает порядка 70%. При этом выжидательную по отношению к стандарту позицию заняли в основном региональные банки, среди которых есть и татарстанские. Хотя присоединение к СТО БР носит сугубо добровольный характер, практика показывает, что у банка могут возникнуть дополнительные сложности в работе.
В то же время из-за кризиса у банкиров совершенно естественно появилось желание минимизировать свои расходы, затаиться и посмотреть, во что этот кризис выльется. В том числе выжидательную позицию заняли и татарстанские банкиры, которые в лучшем случае завершают проекты по повышению своей информационной безопасности, инициированные ранее, а новые проекты единичны.
Однако и власти Татарстана, и регулятор обеспокоены таким положением. Учитывая сложную политическую и экономическую ситуацию, в октябре-ноябре 2015 года ЦБ РФ может провести большую проверку устойчивости банковской системы. Напомним, что еще в апреле 2015 года на совещании в Нацбанке РТ с татарстанскими банкирами Рустам Минниханов дал поручение повысить уровень информационной безопасности банковской системы республики, в том числе провести оценку текущего состояния с помощью внешнего аудита, разработать план мероприятий, направленных на достижение высокого уровня соответствия банков стандарту СТО БР, и предоставить отчеты до начала ноября 2015 года. Отметим, что совещание произошло всего через полтора месяца после инцидента в Энергобанке, который потерял из-за несанкционированного воздействия более 200 млн. рублей. Президент РТ тогда выразил озабоченность, что может быть нарушена стабильность работы банковского сектора республики.
У экспертов вызывает большое сомнение, что татарстанские банки успеют до конца октября достичь высокого уровня соответствия СТО БР. Мало сказать, что у нас все хорошо и мы соответствуем требованиям, надо еще и соблюдать эти требования.
По мнению экспертов, гонка в этой сфере приведет лишь к непропорционально высоким издержкам банков при весьма сомнительном результате. Возможно, правильнее было бы придерживаться «эволюционного» процесса — постепенного повышения информационной безопасности. Так, эксперты советуют на данном этапе акцентировать усилия татарстанских банков на получении оценки «удовлетворительно», которой можно добиться за счет внедрения организационных мер, а также используя открытое ПО и технические средства, которые не требуют больший финансовых вливаний. На данном этапе, отмечают эксперты, важно запустить сами процессы. «Можно подготовить комплект документов и замотивировать пользователя работать в соответствии с ними. Уже одно это снимет часть рисков», — отмечает Иванов. Затем при необходимости аудиторы предлагают внедрение дополнительных механизмов защиты и максимально эффективное использование уже существующих в банке механизмов. Наконец, третий этап, самый высший пилотаж — управление инцидентами, отслеживание негативных и позитивных тенденций и своевременное реагирование на них. Это идеальный вариант, когда система безопасности отлажена, все необходимые механизмы внедрены и специалистам по информационной безопасности банка остается только своевременно анализировать угрозы и своевременно реагировать на них.
По словам экспертов, для того чтобы полноценно перейти от оценки «удовлетворительно» до оценки «хорошо», может потребоваться несколько лет. «Мало внедрить аппаратно-программные средства, надо еще и качественно обучить персонал для работы с ними. Не всегда удается быстро убедить людей, замотивировать работать по инструкциям. С одной стороны, инструкции должны быть выполнимыми, а с другой стороны, за выполнение или невыполнение инструкций должно что-то следовать — поощрение или наказание. Но гораздо больший эффект, на мой взгляд, дает понимание сотрудниками, зачем это нужно, почему они должны делать так, а не иначе», — рассказал представитель группы компаний ICL. По его словам, самый идеальный вариант — это привлекать сотрудников к составлению этих инструкций. «Как только они понимают, зачем это нужно, сами готовы все рассказать, показать и сознательно пойти на какие-то ограничения», — подчеркнул Иванов. Если же говорить о самом высоком уровне соответствия стандарту СТО БР, то там инвестиции потребуются достаточно серьезные, которые, по мнению экспертов, могут позволить себе только очень обеспеченные и высокоорганизованные кредитные учреждения, входящие в список 10 - 15 самых крупных российских банков.
«ЗДРАВСТВУЙТЕ, Я ВАШ НОВЫЙ СИСТЕМНЫЙ АДМИНИСТРАТОР…»
По словам представителя группы компаний ICL, деятельность аудитора не только бумажная, но и требует серьезных навыков работы с тестовым оборудованием. Аудитор должен разобраться, какое ПО в реальности установлено в банке, как оно настроено и насколько его настройки соответствуют стандартам безопасности. Кроме того, аудитор должен выяснить, как сотрудники банка исполняют инструкции. Для последнего аудиторы применяют в том числе и методы социальной инженерии (метод несанкционированного доступа к информационным ресурсам, основанный на особенностях психологии человека — прим. ред.), часто используемые злоумышленниками. Например, утром раздается звонок в бухгалтерию банка: «Здравствуйте, я ваш новый системный администратор, пожалуйста, продиктуйте мне ваш сетевой пароль». Реакция на этот звонок является отличным маркером на знание инструкций.
Кроме этого, аудитор проводит тестирование устойчивости компьютерной системы учреждения на несанкционированное проникновение. Для этого могут использоваться автоматические сетевые сканеры, такие как MaxPatrol. В нем уже есть настройки для проведения исследования на соответствие стандарту СТО БР. Есть и бесплатные сканеры, но они значительно уступают в удобстве использования.
Есть и неавтоматизированные средства сканирования, эффективность которых зависит от навыков конкретного эксперта, который проводит тест на проникновение. Здесь применяется полный набор средств, начиная от социальной инженерии и заканчивая попытками внедрения своего кода — условного вируса. В идеале инструментальное сканирование должно проводиться незаметно для сотрудников IT-отдела банка.
Кроме этого, аудитор должен изучить, как в учреждении поступают с вышедшим из строя оборудованием. Например, если жесткий диск выработал установленные производителем 90 тысяч часов ресурса, его положено заменить на новый. «Зачастую выработавший свой ресурс жесткий диск, например, после пары ударов молотком выкидывают на помойку, где его может подобрать злоумышленник и попытаться считать информацию. То же самое касается и программного обеспечения. «В моей практике был случай, когда на основании устаревших списков ключей шифрования злоумышленники пытались генерировать новые ключи и подключиться к системе шифрования банка», — рассказал Иванов, добавив, что работа аудитора может быть весьма многогранной и интересной.