Вячеслав Касимов, 10/02/21
Вопросы задавал Лев Матвеев, председатель совета директоров «СёрчИнформ»
На вопросы отвечал Вячеслав Касимов, директор департамента информационной безопасности ПАО «Московский кредитный банк»
Кто опаснее — инсайдеры или хакеры?
Я считаю, что опаснее комбинированные атаки – когда внешние идеологи находят инсайдеров внутри банка, начинают взаимодействовать с ними и таким образом получают доступ к системе. Такой симбиоз оказывается наиболее опасным. Работника могут уговаривать: дай нам данные, сделай такой-то платеж, дай нам учетную запись, с которой мы сможем сделать платеж. Мы тогда станем богатыми людьми и заживем. Это самый плохой сценарий, он обескураживающий для честных сотрудников организации. Результаты, получаемые в этом симбиозе, могут быть ужасными.
Впрочем, сообщников может не быть вовсе, если мы говорим про эксплуатацию технических уязвимостей.
Но если организация всерьез относится к защите от внешних угроз, то у злоумышленников не остается другого пути, кроме как искать выходы на внутренних работников. Я всегда в таких ситуациях вспоминаю прекрасный сериал «Мистер Робот»: там показывают фотографию т.н. «корпорации зла» с изображением шести человек, и один хакер спрашивает другого: ты видишь здесь какие-нибудь уязвимости? Второй отвечает: я здесь вижу минимум шесть уязвимостей.
С людьми может быть и проще, гарантированно больше возможностей для взлома, поэтому господин Митник был в свое время прав. Но все-таки возможны сценарии, когда злодеи могут что-то сделать и без пособников внутри. Многое зависит от зрелости процессов и от того, занимается компания ИБ или нет.
Утечки в банковской отрасли: злой умысел или халатность сотрудников?
Человек склонен к тому, чтобы делать операционные ошибки. У нас нет большой статистики, но те попытки, которые мы останавливаем, всегда являются следствием какого-либо необдуманного действия сотрудника, нарушающего корпоративные политики и правила информационной безопасности. В таких случаях важна такая защита, когда у сотрудника даже не возникает возможности ошибиться.
Ситуации, когда люди целенаправленно наносят вред организации или клиентам, – исключительные, и защита от них требует больших усилий.
Давайте представим ситуацию, что работник имеет доступ к данным клиентов и он занят обработкой отчетности, у него есть возможность сформировать большую клиентскую выгрузку. Он не успевает сделать отчет, поэтому на выходных хочет поработать с домашнего компьютера. Ему может не прийти в голову, что можно попросить удаленный доступ, и ему пойдут навстречу. Вместо этого он попытается отправить выгрузку клиентских данных себе на личную почту. Это классический пример даже не халатности, а рвения, которое плохо сочетается с корпоративными политиками безопасности.
Три самых опасных инцидента ведущих к максимальным финансовым потерям для банков
- Прямое воздействие на платежные процессы – это одна из наиболее критичных проблем. Причем неважно, чьими руками это делается – сотрудника или внешнего злоумышленника. Допустим, злоумышленники получили доступ к платежному сегменту и завладели в нем правами администратора. Они могут делать платежи, которые никто не инициировал, модифицировать легитимные платежи – менять получателя или сумму и получателя. Это создает наибольший ущерб, ведь мошенники получают деньги сразу, им не нужно совершать никакие дополнительные действия, например, продавать данные.
- Та же ситуация и с работниками. Если в банке где-то что-то недосмотрено, плохо выполнены функции «мейкера» и «чекера» (того, кто создает платеж, и того, кто его проверяет). Это второй сценарий, который близок первому, но действующее лицо другое.
- Третья опасная ситуация – это утеря крупных корпоративных клиентов, если их информацию недостаточно тщательно обрабатывают с точки зрения обеспечения конфиденциальности. Ни одной организации не понравится, если выписка по ее счету окажется в общем доступе. Это точно вызовет скандал и завершение договорных отношений с банком.
К слову, если посмотреть на сводку новостей за текущий год, все утечки, позиционировавшиеся как банковские, на самом деле происходили из интернет-магазинов. Мы изучали, из какого набора полей состоят публичные утечки, и в итоге всегда приходили к интернет-магазину.
Что касается приобретения выписок – на черном рынке такое действительно есть. Мы со своей стороны регулярно смотрим, чтобы там не фигурировали наши данные, и ни разу не находили сервиса, где можно было бы из «Московского кредитного банка» получить выписку о клиенте. Но тем не менее подобный – не знаю как назвать – вид мошенничества (если в терминологии закона) или «сервиса» (если в терминологии даркнета) существует. По большому счету это сильно связано с корпоративной культурой в каждом конкретном банке, с тем, насколько сотрудники понимают незаконность продажи данных или нет, и кому они вообще принадлежат.
В нашем банке работают правильные люди. У нас могут быть рабочие споры, но при этом каждый из работников понимает, что клиенты – это главная ценность, и не покушаются на святое, на клиентские данные. Когда я пришел в МКБ, увидел, что есть эта ценность, и это не просто декларация, как иногда бывает. С нашей стороны все, что остается сделать, – это ограничить внешнее воздействие и доступ к этим данным.
Почему регулятор контролирует выполнение PCI и DSS и защиту от внешних атак, но по сути не налагает никаких штрафов за утечки
Я бы не сказал, что регуляторы не придают этому значение. Если мы говорим про карточные данные, даже в случае подозрения на утечку и Visa, и MasterCard всегда обращают на это внимание. Банку, у которого произошла утечка, точно не позавидуешь.
Что касается внутреннего регулятора. Любое обращение в Банк России от физических лиц с жалобой на возможную утечку, провоцирует внеплановую проверку.
Но важно заметить. Утечки данных сложно подтвердить или опровергнуть. У организации должно быть соответствующее оснащение, чтобы она могла достоверно определить факт утечки.
Регуляторы достаточно обращают внимания на утечки, в том числе в нормативных документах написано, что противодействие утечкам данных должно производиться. С другой стороны, эти процессы остаются в тени, потому что разбирательства, которые ведутся по факту инцидентов, сложные и долгие. Выводы этих разбирательств, к сожалению, вероятностные, сделать однозначный вывод можно очень редко.
ИБ – это траты или инвестиции?
Когда мы говорим про информационную безопасность и бюджетирование, мы так или иначе делаем оценку стоимости противодействия рискам. Если эта стоимость меньше, чем стоимость оцененного риска, все хорошо. Тогда это инвестиция, потому что мы инвестируем в то, чтобы риск не реализовался.
Но бывает так, что бюджетирование происходит в духе «Ой, как нам нужно это решение». При этом никто не понимает, зачем, какие сценарии будет предотвращать ПО, какие люди будут с ним работать как пользователи, как администраторы и т.д. На мой взгляд, это показывает непрофессионализм менеджеров, которые работают в ИБ. Но я думаю, что такая практика сходит на нет, профессионализм в сфере растет. Я надеюсь, что в ближайшее время все будут понимать: есть риски и есть инвестиции, чтобы эти риски не сбылись.
Окупаемость затрат зависит от класса решений и тех угроз, которым оказывается противодействие. Если это анти-APT-решения (для противодействия целевым атакам) срок окупаемости, как правило, составляет один год. Особенно это было заметно с 2014 по 2017 гг. У DLP-решений окупаемость может составить и месяц – в зависимости от того, насколько корректно настроена система и что видит оператор, который с решением работает. Бывает по-разному, но скажу о своей позиции. Я вряд ли буду закупать решение, у которого срок окупаемости составляется больше двух лет.
Блиц
Все запретить или разрешить и контролировать?
Я бы скорее сказал, что все разрешить и контролировать. Но к сожалению, на практике часть приходится запрещать.
Нарушителя сразу уволить или сделать информатором и привлечь на свою сторону?
Не мой метод создавать информаторов, хотя так любят делать выходцы из силовых органов. Поэтому мое решение такое: вор должен сидеть в тюрьме, а нарушитель – уволен.
Сотрудник создал фирму-боковик, при этом для компании он ценный работник. Ваши действия?
Если боковичок приносит прибыль, нужно рассмотреть вариант сотрудничества с ним. Но в официальном поле, например, кредит ему выдать.
Главный драйв от профессии?
Многообразие задач и свежесть этих задач – всегда в тренде.
У кого бы хотелось поучиться?
Много таких людей, и к счастью получается с ними повзаимодействовать. Кирилл Ермаков, г-н Карпов из Яндекса.
Полное видео интервью:
