Александр егоркин, газпромбанк: «за информационную безопасность платят, за ее отсутствие расплачиваются»

Александр егоркин, газпромбанк: «за информационную безопасность платят, за ее отсутствие расплачиваются»

Начдеп защиты информации Газпромбанка поведал Банкир.ру о росте квалификации хакеров, о сложности привлечения к ответственности преступников и о том, как банку обеспечить контроль над обстановкой в ИБ в наше время. — Возможно ли сейчас создать совершенную и несокрушимую совокупность ИБ?

— Каждая совокупность уязвима, и несокрушимых нет. Уязвимость — измеряемая в деньгах и во времени черта совокупности.

Каждая совокупность защиты имеет две составляющие: совокупности контроля и ограничений

Любое средство защиты утяжеляет, удорожает, усложняет, замедляет защищаемую совокупность. Любое внедрение средств защиты это поиск компромисса между требованиями информационной безопасности и требованиями бизнеса.

Каждая совокупность защиты имеет две составляющие: совокупности контроля и ограничений. Сперва ставим ограничения, позже контролируем, как они соблюдаются. Всё.

Все линейки продуктов, все технологии в конечном счете направлены на это.

— Да, но совокупности ИБ с каждым годом становятся все сложнее и сложнее. Людей же для работы с ними не прибавляется.

— Отчего же? Прибавляется! Высшие учебные заведения готовят профильных экспертов, все сотрудники банков, в большинстве случаев, знакомятся с корпоративными нормативными документами по информационной безопасности либо проходят соответствующий учебный курс. Помимо этого, все пострадавшие становятся грамотными. Жулики, в это же время, не спят, и число пострадавших растет. Пострадавшие делятся своим опытом с окружающими, и это также оказывает хороший эффект.

Так что грамотных уже большое количество.

Вместе с тем грамотность преступного мира растет по экспоненте. Я уверен, что самыми внимательными читателями материалов по данной конференции (IT  Security Forum — Банкир.Ру) будут как раз жулики. Эксперты тихо, с прохладцей почитают, а эти парни досконально, по буквам разберут.

Безопасность по-казански В Казани завершился IT  Security Forum, проходивший в столице Татарстана в десятый раз. 900 экспертов в области IT и безопасности со всей государства встретились и поболтали о том, как трудиться и развиваться в непрерывно изменяющихся экономических условиях.

— Другими словами мы на данный момент трудимся на жуликов?

— И на них также. Мы видим по себе, что приемы, применяемые преступниками, хорошеют и хорошеют с каждым годом. Мастерство растет!

Люди не спят, получают на хлеб конкретными упрочнениями.

Жуликом на данный момент быть не только выгодно, но и практически безопасно. Для борьбы с ними пока не приспособлены ни прокуратура и милиция, ни судебные. Не достаточно грамотности у пользователей автоматизированных совокупностей. И у клиентов нет доверия к правоохранительной совокупности.

Последние приходят к нам: дескать, вот эта транзакция не отечественная, это жулики, они пробрались к АРМ, подписали моими ключами, отдайте деньги. Мы в ответ предлагаем написать заявление в полицию, но таковой вариант не всем нравится, по причине того, что следователи точно изымут АРМ с бухгалтерией в качестве вещественного доказательства. Внезапно отыщут в том месте что-то не то?

И по большому счету — как без АРМ трудиться? Нет уж, давайте сами ищите жуликов, нам дайте деньги, а мы еще и в суд на вас подадим.

Свидетельства, к каким привыкли в судах, в области высоких разработок не действуют

Кроме того по тем фактам, каковые доходят до суда, выносятся весьма мягкие ответы. К примеру, жулик, важный за кражу нескольких миллионов, может взять условный срок. И многие отечественные доказательства не принимаются в качестве таковых. К примеру, предъявляется чек из банкомата. Судья уточняет, возможно ли его напечатать на принтере из графического приложения?

Мы честно отвечаем, что да, возможно. Все, вещдок не принят.

Свидетельства, к каким привыкли в судах, в области высоких разработок не действуют. Необходимы какие-то другие. А к ним никто не готов.

Само собой разумеется, нельзя сказать, что законодательство не начинается. Сдвиги имеется. Принимаются новые законы, вносятся трансформации в уголовный, процессуальный, административный кодексы.

Разрабатываются стандарты по информационной безопасности и т. д., имеется хорошие сдвиги и в работе надзорных и МВД. К примеру, создан Fincert в Банке России, с Управлением «К» МВД России мы говорим на одном языке, обмениваемся информацией. Систематично отправляем в том направлении данные обо всех инцидентах.

— Другими словами все же ловить удается?

— Конкретно поимкой злодеев банки не занимаются, это все же функция МВД, а соперник у них весьма важный.

Любое высокотехнологичное правонарушение заканчивается обналичиванием средств. А раз имеется обналичка, имеется и конкретный получатель. Но это так именуемые дроперы, люди, приходящие с карточками к банкоматам (они значительно чаще и попадаются).

А над ними еще довольно много народа.

Преступность организовалась

Организация процесса впечатляет. У нас зафиксирован рекорд, в то время, когда с момента кражи до обналичивания последней части суммы прошло всего 45 мин.. Сорок пять!

Что это указывает? Подготовились заблаговременно, расписали все роли, раздали карточки, расставили дроперов у банкоматов. И когда пришла сумма на счет юрлица, а с него — якобы в виде заработной плата — разошлось по дроперам, они взяли сигнал на старт обналичивания.

Наряду с этим учитывается, что из банкомата за один раз возможно снять лишь 40 купюр, учитывается разовый другие моменты и лимит снятия. Исходя из этого у дропера не одна карточка, а дюжина, на различные имена. И за 45 мин. пара миллионов были обналичены.

Преступность организовалась. Имеется люди, пишущие исполняемый код. Имеется «внедренцы», применяющие способы социальной инженерии для заражения жертвы. Имеется выстраивающие денежную схему, другими словами направляющие похищенные денежные потоки. Был случай, в то время, когда жулики создали юридические лица, чьи заглавия всецело совпадали с главными агентами жертвы.

Счета, ИНН другие, очевидно. Но назначение платежа, наименование и сумма те же. Бухгалтер же не будет контролировать любой раз номер счета, и в следствии платежи семь дней уходили мошенникам.

И нижний уровень — дроперы. Их физиономии мы видим на камерах пунктов и банкоматов обслуживания. Дроперы в большинстве случаев и не знают, кто им дал задание.

— Нерадостно.

— Да, радоваться особенно нечему. По зарубежным данным, хищение денег по электронным каналам образовывает до 5% мировой экономики, и показатели растут. Это уже сравнимо с проституцией, нелегальной торговлей наркотиками и оружием совместно забранными.

Лишь в тех сферах льется кровь, целые войны идут, а тут все красиво и культурно.

— Вправду сложная картина складывается, по причине того, что, с одной стороны, в нынешней обстановке бюджет на ИБ не возрастает, а вызовов все больше, и сами они все более жёсткие. Как функционировать в таковой ситуации?

— Имеется различные методы минимизации рисков. К примеру, не секрет, что у преступников вырос нездоровый интерес к банкоматам. Их взламывают и аппаратно, и программно.

Время от времени срывают с креплений при помощи пневмоподъемника и увозят.

Возможно до бесконечности вкладываться в защиту банкоматов, которая, к сожалению, ни при каких обстоятельствах не окупится. Совокупности ГЛОНАСС, совокупности защиты от газового взрыва… Каждая такая совокупность защищает от конечного числа известных угроз, число которых всегда растёт.

Нужно сделать так, дабы обстановка была управляемой и прогнозируемой

А возможно застраховать на большую сумму при большой загрузке кассет деньгами. Как мы, фактически, и поступили. И это выяснилось удачнее.

Принципиально важно поставить планку приемлемости рисков и смотреть за тем, дабы все пребывало на заданном уровне. Так как во главе угла стоит не информационная безопасность, как таковая, а бизнес. И нужно сделать так, дабы обстановка была управляемой и прогнозируемой.

Во многих случаях регулятор прямо говорит нам, что и как делать. Конкретные бизнес-конкретные технологии и процессы. Это в известной степени облегчает работу.

Но нет ответа на вопрос: на ком лежит ответственность, к примеру, за утечку данных, в случае если, вопреки всем выполненным рекомендациям, таковая все же произойдёт?

— И что же делать?

— Мне думается, нужно на национальном уровне пересмотреть ответственность за инциденты информационной безопасности. В случае если атак не происходит, значит все в порядке, и уже мое дело, как я этого получаю. В случае если случилось, тогда да, виноват, и если не следовал рекомендациям регуляторов, это отягощающий фактор.

В случае если строго следовал, то дробишь вину с регулятором, что обязан проанализировать факты и внести соответствующие трансформации в собственные советы.

— Тут, как говорится, имеется нюанс. Нет сомнений, что в больших банках и подкованные люди имеется, и средства на организацию неповторимых мер ИБ. Но точно же найдется заметное количество маленьких банков, у которых нет соответствующих экспертов либо ресурсов.

— Думаю, это более масштабная тема. Имеется на данный момент, к примеру, требования к подразделениям, эксплуатирующим совокупности криптозащиты, по образованию. Не будет аттестован удостоверяющий центр, в случае если образование сотрудников не профильное, либо если они не отучились требуемые 500 часов на переподготовке. Мы, очевидно, делаем.

И в случае если кто-то на местах образования не имел, отправляем в соответствующее учебное заведение.

Борьба в виртуальном мире не заканчивается ни на 60 секунд, расслабляться запрещено

В случае если распространить требование о профильном образовании на подразделения защиты информации всех банков, обстановка c может быть значительно измениться к лучшему. Защитой информации везде будут заниматься специалисты. Преступники совершенствуют собственные навыки неизменно.

Нам запрещено их недооценивать, нужно повышать уровень собственной подготовки, грамотность в вопросах ИБ сотрудников бизнес-подразделений, клиентов, пользователей. Борьба в виртуальном мире не заканчивается ни на 60 секунд, расслабляться запрещено. А в отношении ресурсов на информационную безопасность могу повторить чьи-то умные слова: «Кто не платит, тот расплачивается».

Интервью с Михаилом Константиновым — генеральным директором ЭТП ГПБ

Похожие статьи, которые вам, наверника будут интересны:

  • Нет возможности платить по кредитам, что делать? реструктуризация долга по кредиту

    В мире, полном хаоса и кризисов, каждому хочется жить достойно. И в случае если раньше не было возможности и приобрести нужную вещь, то с возникновением…

  • Чек-лист для банка, который хочет завести себе чат-бота

    Бот — это что-то наподобие домашнего питомца и помощника в один момент: за ним необходимо заботиться, его необходимо терпеливо тренировать и тогда он…

  • Сергей меднов: «золотое время для банков закончилось»

    Во втором интервью со старшим вице-президентом банка «Открытие» Сергеем Медновым мы поболтали о волне цифровой изменении, которая накрывает финсектор,…

  • Сергей гандзюк: «ипотека – это продукт для определенного класса»

    Ипотека – дорога к дому с двусторонним перемещением: с одной стороны, заемщики, с другой – банки. Избежать «аварий» возможно лишь при соблюдении…

  • Платежная система paypal: как пользоваться системой, регистрация, как пополнить paypal

    Здравствуйте, читатели http://tempofox.com/. У меня стоит задача не только говорить про рынок Форекс. Так как торговля на валютном рынке – это не только…

  • «Я бы не советовал господину тинькову злорадствовать»

    Эскалация интернет-войны Олега Тинькова и Рокетбанка, как и другие скандалы в Сети, сейчас контрпродуктивна. В кризис любому банкиру нужно заботиться…