Новости Республики Коми | Комиинформ
Станислав Кузнецов
Россия сегодня выступает, пожалуй, самой привлекательной площадкой для совершения кибератак с точки зрения преступников всего мира.
Что стоит за участившимися кибератаками на российские банки? Должна ли кредитная организация разделять ответственность с клиентом, который под воздействием методов социальной инженерии выдал мошенникам секретную информацию? Как защищает себя "мишень номер один" в России для всего преступного сообщества? Эти и другие, не менее актуальные вопросы в своей беседе с журналом "ПЛАС" обсуждает Станислав Кузнецов, заместитель председателя правления Сбербанка России, курирующий в том числе работу Службы кибербезопасности.
ПЛАС: В России оценить суммарный ущерб от кибератак достаточно сложно в связи с отсутствием практики декларировать такого рода потери, однако очевидно, что речь идет о сотнях миллиардов рублей. В чем, на ваш взгляд, ключевые причины возникновения столь критичной ситуации с безопасностью в банковской отрасли, и какие меры следует предпринимать для ее улучшения?
С. Кузнецов: Самый главный вопрос заключается не в наличии рисков в области безопасности банковских операций как таковых, а в том, насколько эффективно банки научились этими рисками управлять. Те, кто имеет единые четко установленные правила риск-менеджмента, как это реализовано, например, в Евросоюзе и в США, могут управлять рисками в сфере безопасности относительно корректно. И когда европейские и американские банки сталкиваются с теми или иными атаками преступников, у них уже существует достаточно эффективная система противодействия. Конечно же, такая система не способна полностью хеджировать все возможные риски, но в подавляющем большинстве случаев она вполне работоспособна.
В тех странах, где, как и в России, подобных единых правил обеспечения безопасности не существует или они находятся в состоянии формирования, система управления рисками отдана, по сути, на самоуправление в каждую отдельную кредитную организацию, которая должна обеспечивать задачи риск-менеджмента самостоятельно. Как следствие, в крупных банках, чаще других становящихся мишенью для преступников, постепенно выстраиваются свои собственные внутренние системы - система стандартов, система противодействия атакам, система компетенций, система управления рисками. Благодаря этому ситуация с безопасностью в таких кредитных структурах становится более-менее прозрачной и предсказуемой.
Совершенно иную картину мы видим в менее крупных банках, в том числе российских, которые не готовы инвестировать значительные средства в собственные системы обеспечения безопасности и риск-менеджмента. Там ситуация с безопасностью просто плачевна, с подтверждениями чему нам приходится все чаще сталкиваться и в СМИ, чуть ли не еженедельно сообщающих о новых многомиллионных потерях в результате кибератак.
Сегодня система фрод-мониторинга Сбербанка хеджирует 95-97% всех мошенничеств, которые преступники пытаются совершать со средствами клиентов
Уровень риска на сегодняшний день чрезвычайно высок, как и потери банков от преступной деятельности. Порядок цифр всем понятен, хотя точные суммы не знает никто. Согласно нашей оценке, речь идет примерно о 500-600 млрд рублей, так или иначе похищенных преступниками, в том числе с корсчетов, за последний год. Некоторые эксперты считают, что эта цифра близка к 800 млрд рублей, а кто-то согласен с цифрой 400 млрд рублей.
В то же время хорошо известно изречение одного из весьма авторитетных экспертов мирового уровня, в недавнем прошлом - директора ФБР: в мире существуют всего два типа крупных банков - одни уже поняли, что их "хакнули", другие просто еще не успели узнать про это. И поскольку Сбербанк относится именно к тем кредитным организациям, которые не склонны смотреть на происходящее сквозь розовые очки и четко осознают последствия неконтролируемых рисков в области безопасности, он уже достаточно длительное время последовательно выстраивает глубоко эшелонированную систему защиты. Мы создаем четкие правила, следуем ранее выработанным внутренним стандартам, выстраиваем систему противодействия атакам, систему тестирования и т. п.
Мы создаем четкие правила, следуем внутренним стандартам, выстраиваем систему противодействия атакам и т. п.
Параллельно мы развиваем международное сотрудничество в области противодействия преступной деятельности, прекрасно понимая, что у преступников нет границ, и поэтому надо быть полным глупцом, чтобы всерьез пытаться выстраивать собственную локальную защиту в одной отдельно взятой стране. Так, в настоящее время Сбербанк намерен войти в состав тех компаний и организаций, которые будут прописывать рекомендации по кибербезопасности всем юрлицам на уровне Всемирного экономического форума в Давосе (ВЭФ). Сбербанк войдет в состав этих подписантов. Надеюсь, что я смогу подписать эти рекомендации от имени Сбербанка в Давосе уже 18 января 2017 года. Кроме того, мы подали необходимые заявки в различные международные структуры, специализирующиеся на вопросах кибербезопасности, для интеграции в их состав напрямую либо через свои дочерние структуры. Такая интеграция будет предусматривать и получение соответствующих лицензий, предоставляющих право на полноценное участие в их деятельности, включая взаимообмен информацией по выявленным типам атак, вредоносным программным кодам и т. д.
В качестве примера того, насколько важны сегодня компетенции в области выявления вредоносного ПО и, соответственно, инвестиции в это направление, приведу лишь один эпизод. Несколько средних банков, играющих в то же время значительную роль в нашей экономике на региональном уровне, обратились к нам с неофициальными просьбами проверить их системы на предмет наличия "троянов" и определить наличие неизвестных им рисков. Мы откликнулись на эти предложения. К нашему сожалению, их самые худшие предположения оказались сильно занижены. Масштаб бедствия был таков, что нам понадобилось значительное время, чтобы помочь очистить ИТ-системы коллег от вредоносного ПО и привести их к соответствию существующим нормам в области ИБ. Да, тем самым нам удалось предотвратить возможные потери этих банков от атак, однако нет никакой гарантии, что это не произойдет завтра или послезавтра, поскольку у них нет собственной эффективной системы противодействия такого рода преступлениям.
И это проблема не только и не столько средних и небольших банков, сколько всего нашего государства. Потому что в РФ на сегодняшний день пока нет единых национальных стандартов в области ИБ, обязательных для всех участников рынка. И это именно то, чего мы ожидаем от Центрального банка. Нам нужны стандарты, нам нужны правила, которые будут едины для всех кредитных учреждений и для всех сегментов рынка. Для примера - в упомянутом мной Евросоюзе уже достаточно давно приняты соответствующие законы, причем не только в рамках национальных законодательств, но и на уровне ЕС.
ПЛАС: Какие еще моменты, кроме единых стандартов в области банковской ИБ, способствуют противодействию киберпреступности в банковском секторе?
С. Кузнецов: Еще одним важным направлением здесь является эффективный взаимообмен значимой информацией между кредитными учреждениями, который позволял бы хеджировать такие риски. Например, в России до сих пор не существует единой системы, которая позволяла бы осуществлять (непосредственно между банками либо централизованно, через ЦБ) автоматизированный обмен информацией о скомпрометированных картах, паролях, фамилиях, телефонах и любых других деталях, необходимой для предотвращения мошенничества. У каждого из банков есть свой собственный стоп-лист, который никак не сопрягается со стоп-листами других кредитных организаций. Благодаря этому преступник может, например, многократно использовать один и тот же номер телефона для мошенничества, "работая" по очереди с различными банками, - никто его не заблокирует.
Разумеется, от отсутствия информационного обмена страдают не только банки, но и правоохранительные органы, у которых минимизируются возможности для выявления таких преступлений, поимки преступников и, что не менее важно, сбора доказательной базы, а также проведения необходимых экспертиз.
В целом можно утверждать, что наши правоохранительные органы отстают от реалий современной преступности на 15-20 лет. Недавно мы провели сравнительный анализ трех ключевых показателей, полученных из открытых источников: количество совершенных преступлений в экономической сфере, количество сотрудников правоохранительных органов, которые занимаются раскрытием этих преступлений, и установленный ущерб для экономики страны. В результате мы пришли к выводу, что ситуация с киберпреступлениями в разрезе трех этих параметров просто парадоксальна: сегодня киберпреступлений совершается в сотни раз больше, чем других видов экономических преступлений, при этом их расследованием занимается в сотни раз меньшее количество специалистов, а экономический ущерб в этих случаях на два порядка выше. Очевидно, что ситуацию необходимо в корне менять, причем менять как можно скорее.
Еще одна проблема - проблема кадров. Сегодня в стране нет ни одного следователя, который был бы сертифицирован на раскрытие в области кибермошенничества и прошел бы соответствующую спецподготовку. У нас практически нет судей, которые могли бы принимать квалифицированные решения по этому типу преступлений.
Еще одним направлением здесь является адаптация законодательства к требованиям времени - подготовка различных законодательных инициатив в части создания новых законов и правил, касающихся противодействия киберпреступлениям. Лично я всегда выступаю в этом случае за наиболее жесткие решения, поэтому для меня одним из приоритетов являются изменения в УК, ужесточающие ответственность за такого рода деяния. Возможность получения условного срока за совершенное киберпреступление и тем более отсутствие наказания в принципе являются для государства настоящей бедой.
Наконец, не менее важно и наличие высокой культуры в области кибербезопасности, с которой в России (да и во многих других странах мира) также все обстоит не слишком хорошо.
И пока в нашем обществе, особенно на уровне государственных институтов, продолжают сильно недооценивать негативное влияние всех перечисленных факторов и существующие риски, уровень которых сегодня особенно высок именно в РФ, серьезных перемен ждать не приходится.
ПЛАС: Сегодня после каждой атаки на банки, принесшей масштабный урон, принято сетовать на некомпетентность сотрудников департамента ИБ. Насколько в действительности сложным является вопрос кадров в этой сфере?
С. Кузнецов: Собственно, во всем мире специалист в области cybersecurity сегодня является одной из самых дефицитных и востребованных специальностей. В масштабах России речь идет, по некоторым оценкам, о нехватке 30-35% необходимых бизнесу квалифицированных инженеров, криптографов, математиков, специализирующихся на кибербезопасности. При этом в стране до сих пор фактически не существует централизованной системы подготовки таких специалистов - лишь несколько отдельных вузов имеют соответствующие кафедры или курсы.
На этом фоне в июле 2016 года Сбербанк заключил соглашения с несколькими московскими вузами, в рамках которых специалисты нашей команды в сфере кибербезопасности по субботам проводят специальный цикл лекций для их студентов непосредственно в здании банка. Обычно их посещают порядка 240-280 студентов, которые приезжают сюда и в течение 4-6 часов слушают наши лекции по специально подготовленной программе. Уверен, что мы в этом случае делаем очень нужные интеллектуальные и финансовые инвестиции как для банковской системы, так и для российской экономики в целом.
ПЛАС: В чем, на ваш взгляд, заключается специфика российского рынка с точки зрения развития киберпреступности?
С. Кузнецов: Россия сегодня выступает, пожалуй, самой привлекательной площадкой для совершения кибератак с точки зрения преступников всего мира. Причин тут много: устаревшее законодательство, отсутствие централизованного мониторинга, национальных стандартов и правил противодействия плюс огромное количество практически незащищенных бизнес-структур, включая, конечно же, банки.
Со своей стороны, как крупнейший банк страны мы очень хорошо понимаем, что являемся здесь мишенью номер один. Для нас это обстоятельство одновременно и проблема, и огромная ответственность, но также и возможность. В том числе возможность построить уникальную систему, которая позволит Сбербанку быть впереди других участников рынка в плане обеспечения кибербезопасности, эффективнее реагировать на угрозы и видеть дальше, чтобы понимать все текущие и будущие тренды: где именно наши системы безопасности тестируют преступники, откуда ждать атак и на кого они могут быть направлены - на нас или на наших клиентов. Для нас это действительно уникальный пласт возможностей, который наша команда активно использует как принципиально новую компетенцию.
ПЛАС: Вы упомянули про дефицит кадров: за счет чего удается Сбербанку решать этот вопрос? Где вы черпаете необходимый ресурс?
С. Кузнецов: Конечно же, я не могу утверждать, что мы совсем не испытываем дефицита кадров, характерного для всех участников рынка. И поскольку большинство компетенций, которые нам необходимы, на сегодняшний день на рынке просто отсутствуют, у нас остается единственный путь - растить этих специалистов "внутри себя". Такой подход прежде всего подразумевает обучение - как внутри страны, так и за рубежом. Поэтому в 2016 году мы широко открыли двери для очень многих наших сотрудников, обеспечивающих задачи в области кибербезопасности, для прохождения различных профильных курсов и стажировок, а также различного рода профессиональных референс-визитов в компании с мировым именем, где они могли бы общаться со своими коллегами и партнерами.
Только в США мы уже сделали два таких масштабных визита, в ходе которых посетили практически все компании, являющиеся, на наш взгляд, мировыми лидерами в области построения систем кибербезопасности. В частности, мы провели целую серию переговоров по вопросам эффективности тех или иных систем в ведущих бизнес-структурах самых различных направлений. В результате мы получили четкое представление о том, как сегодня строят свои системы безопасности крупнейшие банки и ИТ-компании мира, в каких направлениях развиваются глобальные тренды противодействия киберпреступлениям.
В ходе визитов в США мы получили четкое представление о том, как сегодня строят свои системы безопасности крупнейшие банки и ИТ-компании мира. И теперь мы можем сформулировать и реализовать собственное видение, как надо строить такую систему - как в Сбербанке, так и в России в целом. Эта работа уже сегодня начата. Более того, один из ее этапов мы уже завершили. Мы реализуем эту инициативу при поддержке компании IBM и наших партнеров из Microsoft, а также из ряда других крупных ИТ-компаний. Подчеркну, что на данном этапе речь идет не о закупках какого-либо оборудования и ПО, а в первую очередь о правильном выстраивании всех бизнес-процессов и создании единых правил управления рисками.
ПЛАС: Насколько приоритетным является сегодня для Сбербанка направление кибербезопасности в целом, изменились ли здесь акценты за последнее время?
С. Кузнецов: Более года назад на уровне руководства банка было принято решение скорректировать свои приоритеты в области кибербезопасности на фоне общего понимания, что уровень риска повсеместно повышается. В результате направление кибербезопасности стало одним из главных приоритетов и KPI у президента Германа Грефа, его первого заместителя Льва Хасиса и, конечно же, у меня как у заместителя председателя правления, курирующего работу Службы кибербезопасности. Соответствующим образом были скорректированы все приоритеты по вертикалям. Именно с этого момента на данном направлении у нас начали осуществляться значимые изменения, которые уже дают о себе знать и которые мы активно продолжаем.
ПЛАС: Какая роль сегодня отводится Сбербанком взаимодействию с правоохранительными органами?
С. Кузнецов: Как раз благодаря взятому нами новому вектору, о котором я только что говорил, сегодня мы отмечаем и значительное повышение эффективности взаимодействия с правоохранительными органами, как с МВД, так и с ФСБ. Признаюсь, нам очень импонирует тот факт, что и в Следственном комитете, и в прокуратуре, и в судебной системе у нас очень много единомышленников. В частности, очень много специалистов, включая руководство силовых ведомств, разделяют наше беспокойство в отношении резкого распространения киберпреступлений и прилагают усилия к исправлению ситуации.
У нас очень хорошее взаимодействие с правоохранительными органами и по оперативной линии. Служба кибербезопасности Сбербанка при всем своем профессионализме и значительном ресурсе не является субъектом ОРД (оперативно-разыскной деятельности) - в соответствии с законом ими могут выступать только соответствующие правоохранительные органы. И поэтому, когда Сбербанк получает любую информацию о совершенных или готовящихся преступлениях (либо о подозрении на таковые), мы оперативно делимся ею с правоохранительными органами. Причем, как правило, мы приходим к нашим коллегам отнюдь не с пустыми руками, но предоставляем им необходимую доказательную базу, а также полную информацию о том, что именно было совершено, кем, когда и с каким ущербом. Поэтому правоохранительные органы всегда с большим энтузиазмом работают с нашими сотрудниками: в этих случаях им фактически всегда гарантирована успешная реализация задач по поимке преступников и доказательству их вины. Повторюсь - на этом пути еще очень много предстоит сделать, но в последний год мы наблюдаем явную тенденцию к улучшению ситуации.
ПЛАС: Какие наиболее актуальные и критичные угрозы кибербезопасности в банковском секторе вы могли бы назвать - сегодня и на ближайшее будущее?
С. Кузнецов: Я считаю, что сегодня следует выделить два наиболее критичных тренда в этой области, продолжающих создавать для банков серьезные риски. Первый - это атаки на внутреннюю ИТ-инфраструктуру банков, второй - атаки на клиентский сегмент. Все остальные риски так или иначе хеджируются, и даже если появляется некий новый механизм атак, через какой-то промежуток времени противодействие ему становится вполне решаемой задачей. Например, для тех же Black Box атак на банкоматы мы уже нашли эффективную защиту, поэтому можно считать, что здесь ситуация находится под нашим контролем (или будет находиться в самом ближайшем будущем).
Что можно противопоставить двум указанным трендам? Если говорить об атаках на внутреннюю банковскую ИТ-инфраструктуру, то любой современной команде, отвечающей за кибербезопасность, в первую очередь необходимо сделать все возможное, чтобы работа банка не была приостановлена ни при каких обстоятельствах. Иными словами, нужно выстроить глубоко эшелонированную защиту, чтобы в результате DDOS-атак не пострадали ни банк, ни клиент, на обслуживании которого такие инциденты вообще не должны отражаться.
Второй момент - необходимо исключить любую возможность полного либо частичного внешнего перехвата преступниками управления операциями внутри банка. К сожалению, такие "зловреды" сегодня существуют и, как показывает практика, достаточно эффективно применяются преступниками. Только за последние две недели благодаря нашей системе фрод-мониторинга, сработавшей буквально "боковым зрением", нам удалось предотвратить два крупных несанкционированных перечисления из других коммерческих банков на общую сумму порядка 200-300 млн рублей. В этом случае преступники как раз использовали механизм управления операционными счетами этих банков. К счастью, деньги удалось сохранить, одновременно выявив серьезную проблему в обеспечении безопасности.
Что касается атак на клиентский сегмент, то это совершенно другая область. Есть вполне обоснованное мнение, что в тех случаях, когда клиенты становятся жертвами мошенников в результате воздействия методами социальной инженерии, они виноваты сами, так как добровольно предоставляли преступникам информацию закрытого характера - секретные слова, пароли и т. д. В то же время мы как социально ориентированная структура являемся сторонниками несколько иного подхода: ответственность за действия своих клиентов, в результате которых они пострадали от преступных действий, частично разделяет и банк. Поэтому, предоставляя, например, сервисы мобильного банка, мы обязаны помнить о том, что многие наши клиенты еще недостаточно компетентны и опытны в использовании таких инновационных технологий. И мы должны придумать систему защиты, которая будет страховать их от неправильных, опасных действий. Подобная система защиты сегодня должна создаваться в любом банке. Речь идет о фрод-мониторинге, который способен в автоматическом режиме защищать клиентов от случайных или даже сознательных некорректных действий.
Если говорить о цифрах, то еженедельно мы блокируем порядка 350 млн рублей, фактически уже украденных преступниками у наших клиентов - физлиц. Такой уровень эффективности, с одной стороны, является объективным поводом для нашей гордости, а с другой - демонстрирует реальные масштабы киберпреступности в нашей стране. Это пугающие цифры, учитывая и то, какое огромное количество людей занимаются сегодня этим видом преступлений. Именно поэтому мы считаем необходимым, как я уже говорил, соразмерно ужесточить действующее законодательство, а также ввести в УК РФ сам термин "киберпреступление", который сегодня в нем отсутствует. В том числе мы считаем необходимым дополнить ст. 158 "кража" новым подпунктом - "кража с электронного счета" с адекватным наказанием.
Резюмируя, повторюсь - сегодня две ключевые задачи обеспечения кибербезопасности банка - во-первых, защищать себя самого, свои системы, свое ядро, не допускать остановки процессов обслуживания, иными словами - не пропускать ударов "в самое сердце", направленных на операционную систему, на базу данных, на ЦОДы с данными своих клиентов. И вторая задача - защищать клиентов при любых обстоятельствах, независимо от уровня их финансовой и компьютерной грамотности.
Вот два стратегических направления, которыми мы активно занимаемся, при этом в рамках каждого из них Сбербанк реализует множество проектов и подпроектов, которые в своей совокупности и составляют нашу единую систему противодействия кибермошенничеству.
Источник - журнал "ПЛАС"