Оптимизация бизнес-процессов, а также проведение процедур консолидации банковской системы повышают уровень информационных рисков. Какие угрозы могут возникнуть в условиях кризиса, на чем можно сэкономить при сокращении расходов, рассказал заместитель начальника главного управления безопасности и защиты информации Банка России Андрей КУРИЛО.
— Андрей Петрович, как изменились риски информационной безопасности в условиях кризиса и как можно их контролировать?
— Риск есть производная угроз, поэтому целесообразно в первую очередь понять, как изменяются угрозы в условиях кризиса.
Прежде всего, следует отметить, что с точки зрения безопасности ничего экстраординарного не происходит. Новых угроз не возникло. Те угрозы, которые были раньше, остались, и они по-прежнему создают определенный ландшафт опасностей вокруг.
Напомню, что ландшафт угроз создается за счет того, что каждая угроза имеет соответствующий вес, определяющий риск ее реализации. Отдаленно эта картина напоминает горную страну, в которой есть пики и ущелья различной высоты и глубины. Я думаю, что в нынешних условиях этот ландшафт сильно не изменился. В то же время на него, несомненно, оказывает воздействие ряд объективных факторов. Во-первых, сокращение бюджета служб безопасности. Эта мера в основном приводит к существенному уменьшению закупок новых средств и систем безопасности, а также к сокращению специалистов и возможному снижению уровня их оплаты (пока в основном за счет премий). Во-вторых, оптимизация внутренней структуры банков, что мгновенно существенно усложняет, если не сказать, ломает, сложившуюся систему управления и контроля доступа. В-третьих, повышение агрессивности и дерзости преступных группировок в их попытках завладеть денежными средствами. Пока нападения чаще всего совершаются на обменные пункты или инкассаторские машины. По всей видимости, это связано с относительной простотой организации и высокой «прибыльностью» подобного рода преступлений.
Таким образом, растут риски, связанные с хищением денежных средств, а также с ухудшением администрирования и контроля доступа к ресурсам. Это происходит на фоне определенного сокращения численности кадров и роста объема работы оставшихся специалистов служб информационной безопасности.
Сокращение объема закупок я не считаю критическим фактором, правда, в том случае, если техническая инфраструктура системы информационной безопасности была создана до начала кризиса.
В области контроля рисков информационной безопасности непосредственных инструментов наблюдения и управления ими не существует. Все методы измерения и тем более управления рисками информационной безопасности носят косвенный характер и для практического повседневного применения непригодны.
В данной ситуации следует опираться на ту базу, которая была, повторюсь, создана заранее — контроль выполнения регламентов и инструкций, управление доступом и своевременное внесение изменений в соответствующие списки доступа, контроль работы технических и программных средств.
Важно еще раз пересмотреть политику безопасности, при необходимости уточнить ее и убедиться, что существующая система безопасности ей соответствует в полной мере. Расхождение между политикой безопасности и ее реализацией в системе защиты создает множество уязвимых точек, что, в свою очередь, многократно понижает защищенность и создает условия для резкого роста рисков.
— Многие банки начали так называемую оптимизацию бизнес-процессов. В результате некоторые отделы упраздняются, должности сокращаются. Что нужно предпринять, чтобы в кризисных условиях не снижался уровень безопасности?
— Потенциально оптимизация бизнес-процессов — благо для безопасности, так как в конечном итоге оптимизация повышает прозрачность процессов, персонализирует роли сотрудников. Она направлена на повышение качества работы, в том числе и качества управления. Работникам безопасности становятся понятными персонализация доступа сотрудников к информационным ресурсам, их ролевые функции, процессы прохождения данных и документов по подразделениям банка. Отмечу, что в одном из крупнейших и уважаемых банков оптимизация по принципу ролевого управления привела к тому, что более чем на четыре тысячи сотрудников было разработано примерно 150 типовых ролей, по которым впоследствии начали предоставлять доступ к ресурсам. Это, конечно, повысило нагрузку на персонал, непосредственно управляющий доступом к ресурсам, но в целом существенно улучшило управление деятельностью большого коллектива.
Риски информационной безопасности возникают в том случае, когда процессы оптимизации проходят в стороне от них и становятся неприятным фактом, так как в этом случае существенно затрудняется процедура управления доступом к ресурсам. Особенно опасно, если о происходящих изменениях в ролях сотрудников служба безопасности вообще не ставится в известность. В этом случае неминуемо расширяются и становятся избыточными права доступа персонала к информационным ресурсам, что явно создает риск инсайдерства. В условиях кризиса, когда возможно появление обиженных людей среди персонала, ранее допущенного к ценным ресурсам, это создает высокие риски информационной безопасности.
Для предупреждения этих рисков необходимо повысить интенсивность и качество работы средств безопасности и управления доступом.
— Как известно, сейчас активно начались процессы консолидации. Какие меры безопасности необходимо соблюдать при слиянии банков, чтобы не произошла утечка информации?
— В информационной и организационной плоскостях консолидация отражается на массовом изменении состава пользователей и правах доступа к информации.
При этом информация, точнее, форма ее хранения и права на нее, претерпевают существенные изменения. Например, после объединения баз в одну данные поступают под управление нового владельца, который иногда находится за рубежом. Тут с точки зрения безопасности следует учитывать несколько факторов. Во-первых, соответствие национальному законодательству, в том числе федеральным законам «О персональных данных» и «О трансграничной передаче данных», и, конечно, всему комплексу подзаконных актов по данному вопросу, что само по себе достаточно сложно. Во-вторых, возникает задача быстрого приведения в соответствие с новой реальностью архитектуры вычислительной сети и всех учетных записей пользователей.
Самый большой риск в этой ситуации, что многократно подтверждалось на практике, — это утрата контроля над информационной системой, платежными терминалами, а также над управлением доступа к ресурсам. В Стандарте безопасности Банка России ясно указано, что к группе риска в этом случае относятся в первую очередь работники, выполняющие функции администраторов высокого уровня, или специалисты, имеющие доступ к критически важным ресурсам. Если в банке были специалисты, которые вели разработку систем собственными силами, они также попадают в эту группу, так как в этом случае оставшиеся банковские продукты практически не описаны и не документированы. Эксплуатация таких продуктов впоследствии сопряжена с огромными трудностями, а отсутствие документации может явиться поводом для успешного шантажа.
Оптимизация бизнес-процессов — благо для безопасности, так как в конечном итоге оптимизация повышает прозрачность процессов, персонализирует роли сотрудников.
— Ряд организаций планировал внедрить Стандарт безопасности банковской системы в 2008 году. Были ли осуществлены эти проекты?
— Да, такая работа идет во многих кредитных организациях, и нет информации о том, что такие работы приостановлены. По-видимому, мы наблюдаем некий скрытый, латентный период, во время которого банки сами пытаются определиться, в каком состоянии находится их система информационной безопасности. Я думаю, что руководство банков прекрасно чувствует перспективу и понимает, что через несколько лет им все равно нужно будет соответствовать либо стандартам ISO, либо стандартам Банка России.
Специалисты, которые вели разработку систем собственными силами, попадают в группу риска, так как в этом случае оставшиеся банковские продукты практически не описаны и не документированы.
— Кредитные организации сокращают расходы, в том числе на развитие IT и безопасность. По вашему мнению, на чем банки сегодня могут сэкономить, а на чем экономить нельзя?
— Сейчас, наверное, не самое лучшее время для развертывания новых дорогостоящих проектов в области информационной безопасности, приобретения каких-то новых систем и средств. Однако оговорюсь, если необходимые системы не установлены, приобретать их нужно. Например, антивирусные средства. Хотя это, наверное, пример уже из области экзотики. Или, наоборот, с заменой нормального сертифицированного межсетевого экрана на более современный, может быть, есть смысл немного подождать до лучших времен.
На чем экономить нельзя — так это на обучении и подготовке специалистов. Это необходимо делать обязательно, хотя, конечно, избирательно и в меньшем масштабе. Необходимо по-прежнему проводить оценки соответствия требованиям стандартов безопасности и внутренний контроль. Следует при этом оговориться, что такая работа имеет долговременные последствия, на несколько лет, по этому ее не следует проводить часто.
В нынешнем году возникает еще одна группа расходов, связанная с выполнением требований нашего законодательства о персональных данных. Требования нормативной базы таковы, что их выполнение в любом случае потребует определенных расходов на приобретение дополнительных технических средств. Тем более с 1 января 2010 года у любого оператора персональных данных возникает административная ответственность за невыполнение требований нормативных актов органов регулирования. Эти расходы можно только минимизировать.
Однако, я хочу это подчеркнуть, работы по поддержанию системы безопасности в должном состоянии не требуют каких-то особенных финансовых затрат, так как выполняются имеющимся персоналом. Другое дело, что эта деятельность требует в текущих условиях значительных усилий специалистов службы безопасности, особенно если нет необходимых документов, регламентов, инструкций, деятельность по обеспечению безопасности в организации не отлажена. Собственно именно об этом говорит Стандарт безопасности Банка России.
— Стоит ли ожидать в период кризиса увеличения числа мошеннических операций? Изменится ли их набор?
— В жизни все конкретно. Никто никогда не будет заниматься такой ерундой, как, например, нанесение ущерба банку путем проведения DOS-атак и, как результат, затруднение доступа к его интернет-сайту, так сказать, из любви к искусству. Во время кризиса в стране, в обществе, в организациях, в том числе и преступных, не хватает денег. Это обстоятельство накладывает отпечаток практически на всю окружающую действительность. Добавьте еще немного обиженных несправедливым увольнением, и вы получите побудительные мотивы для совершения противоправных действий. Если эти обиженные сотрудники сохранили за собой доступ или управление соответствующими ресурсами, а служба безопасности банка не отменила их права, то это очень опасно.
Поэтому следует ожидать увеличения числа попыток совершения мошеннических операций с целью завладения деньгами и усиления агрессивности противоправных действий. Набор этих мошеннических операций, видимо, будет стандартным — попытки хищения денежных средств из платежных и карточных систем, систем интернет-банкинга.
— В результате кризиса может увеличиться количество мошеннических операций не только вне, но и внутри банковской системы. Центральный банк, в свою очередь, будет усиливать собственный уровень безопасности?
— Центральный банк постоянно повышает уровень собственной безопасности и будет заниматься ее улучшением впредь. Мы вводим систему обязательной самооценки всех наших подразделений по требованиям стандарта безопасности, привлекаем сторонние фирмы к проведению оценки соответствия подразделений по требованиям стандартов. Такая работа запланирована на новый год.
— Будут ли внесены изменения и дополнения в существующий Стандарт безопасности банковской системы?
— Председатель Банка России в конце прошлого года подписал распоряжение о введении в действие новой редакции Стандарта. Предварительно она была опубликована на сайте Банка России и нескольких других сайтах. Документ прошел официальную процедуру согласования в соответствующем комитете ПК3/ТК 362 Ростехрегулирования. В редакцию Стандарта были внесены некоторые корректировки, прежде всего направленные на установление четкого соответствия Стандарта и методики оценки/самооценки выполнения его требований. Насколько мы владеем информацией, проект интенсивно читали, однако ни одного предложения по внесению изменений и даже какой-либо реплики не последовало. Дело ограничилось только обсуждением проекта на специализированных форумах под псевдонимами. Из этого можно заключить, что проект находится в хорошей стадии готовности, что и принял к сведению председатель Банка России. Впоследствии изменения в Стандарт будут вводиться по мере необходимости.
Распоряжением предусмотрено, что новый Стандарт вводится в действие с 1 мая 2010 года, причем, как специально оговорено в комментариях к Стандарту, его введение не требует повторной оценки соответствия.
Беседовала Вероника СОШИНА