|
|
Обзор подготовлен
При поддержке
CNews: Сфера ИБ весьма зарегулирована. На ваш взгляд, оправдано ли это, или бизнесу можно дать больше свободы?
Василий Окулесский: Если рассматривать этот вопрос с точки зрения того, что свобода - это осознанная необходимость, то законы, которые регулируют область ИБ, это и есть та самая необходимость. Не законы увеличивают или ограничивают область свободы, а их знание и умение их применять.
Если мы правильно работаем с этими законами, то у нас появляется больше свободы в выборе решения. Иначе говоря, если нормативное требование - это сертификация криптографических средств защиты информации, а я умею правильно их применять, имею опыт работы с ними, понимаю принципиальную разницу между ними, то это дает больше свободы в принятии решения. А если у меня нет достаточных знаний в этой области, то, естественно, я попадаю в область ограничений, и эти законы начинают связывать руки.
CNews: То есть вы считаете, что ситуация вполне нормальная и менять ничего не нужно?
Василий Окулесский: Здесь у нас выбора нет, поэтому говорить о том, хорошо это или плохо, смысла нет. Есть смысл говорить о том, насколько правильно или неправильно, в полном объеме или нет, мы можем применять эти законы. У нас нет возможности не выполнять их.
CNews: Какие наиболее актуальные проблемы приходится решать службам информационной безопасности в финансовых институтах?
Василий Окулесский: К актуальным проблемам можно отнести выполнение нашего триединого требования: целостность, доступность, конфиденциальность. В рамках этих требований все задачи актуальны. Доступность – это антивирусная безопасность, и резервное копирование, и резервирование каналов связи, и обеспечение построения бизнес-процессов.
Это целый комплекс проблем, все они актуальны. Пренебрежение любой из них приводит к тому, что сервисы бизнеса становятся недоступны. В обеспечении целостности – всё те же проблемы. Главное понять, что пренебрежение любой из них, приводит к тому, что бизнес останавливается. Конфиденциальность это обязательное требование, особенно в финансовых структурах и 26 статья Закона «О банках и банковской деятельности» напрямую предписывает обеспечивать сохранность банковской тайны.
CNews: В чем отличия информационной безопасности банков от ИБ обычных пользователей?
Василий Окулесский: Все то же самое, что и для всех, только умноженное на сто. Даже не на сто – вот есть средний доход человека, и есть средний доход банка. Вот такая же разница и в важности этих проблем. Проблемы одинаковые у всех, просто у кого-то они маленькие, у кого-то большие, а у кого-то совсем большие. А по сути все одно и то же. Просто значение каждой мелочи возрастает пропорционально тем суммам, с которыми мы работаем.
CNews: Что вы можете сказать про внутренние угрозы?
Василий Окулесский: Нельзя делить угрозы на внешние и внутренние. Проблема в том, что потери есть потери, и не важно, от чего они – из-за хакерской атаки или из-за инсайдера. Если сервисы заблокированы хакерской атакой, то банк теряет деньги. Если из-за недостаточного резервирования упала сеть, то это тоже потери. И они такие же, они достаточно велики.
Несколько лет назад все компании больше внимания уделяли защите внешнего периметра: устанавливали файрволы, веб-сенсоры, антивирусы. А сейчас все это классика, тот бэкграунд, который не обсуждается - он должен быть просто потому, что он должен быть. Без этого сегодня никуда.
А о внутренних угрозах сейчас заговорили потому, что появился минимально достаточный выбор средств для борьбы с ними, а не потому, что раньше не было инсайдеров. Они существовали всегда и везде. Классический пример – экономический шпионаж.
Раньше технических средств для борьбы с внутренними угрозами было совсем мало, поэтому об этом никто и не говорил, так как говорить было не о чем. Сейчас ситуация существенно поменялась, инструменты появились и на это стали выделяться средства.
CNews: По вашему мнению, сегодня этих средств уже достаточно?
Василий Окулесский: Достаточно не бывает никогда, ведь новые угрозы появляются каждый день, а рынок предлагает ответы только на существующие угрозы. Поэтому достаточного количества продуктов не может быть в принципе. Чем больше продуктов, тем больше выбор. Чем больше предложений одного класса, похожих по своим техническим возможностям, тем меньше будет цена внедрения.
Это закон рынка! И с моей точки зрения, чем больше конкуренция, тем лучше для потребителя. Но в этом случае сразу возникает проблема выбора. А сегодня в магазинах множество брендов.
То же самое, например, сейчас с антивирусными продуктами. Приходишь в магазин, а там и «Касперский», и Dr.Web и много чего еще. И каждый говорит, что он лучше всех, что это подтверждает независимыми исследованиями. Попробуй тут выбери!
Проблема выбора становится критичной и здесь важно не ошибиться. В таких случаях нам помогают наши друзья, консультанты. Они знают наши проблемы, проникаются ими, помогают решать их. И не только в плане того, какой продукт «круче», а в плане того, какой продукт лучше встраивается в нашу систему и лучше работает именно у нас.
Потому что у нас есть особенности системы, особенности архитектуры, особенности построения, географического распределения и так далее, это все очень важно. Поэтому всегда требуется опыт консультантов-профессионалов, с которыми мы всегда стараемся считаться.
CNews: Ваш банк совсем недавно принял решение о смене ряда систем защиты. С чем это связано?
Василий Окулесский: Это в корне неправильный вопрос. Системы защиты в нашем банке были всегда, есть и будут. Но поскольку мы живем в динамичное время, то система защиты очень быстро устаревает. Поэтому мы постоянно, ежедневно, находимся в состоянии смены чего-то на более новое.
В итоге говорить, что мы приняли решение о смене ряда систем защиты неверно. Это наше постоянное состояние, мы все время что-то меняем, улучшаем, расширяем, совершенствуем, актуализируем. С чем это связано? Все меняется, враг не дремлет, мы должны за ним успевать. Это перманентный процесс, который не может быть остановлен ни на минуту.
Если мы его останавливаем, а потом начинаем что-то новое, то у нас на период внедрения будет брешь в защите. Поэтому наша задача - ни на минуту не останавливаясь, постоянно искать какие-то новые решения, все время что-то менять, настраивать, перестраивать, достраивать и снова строить. Этот процесс постоянно актуален.
CNews: Расскажите, как вы выбирали новое решение для защиты банковской инфраструктуры?
Василий Окулесский: Поскольку у нас в банке процесс внедрения новых систем защиты идет непрерывно, то и нет такого понятия, как “выбор нового решения”. У нас не бывает так, что мы выбрали одно решение и заменили все на него. Для каждой конкретной задачи выбирается конкретное решение.
Например, недавно была заменена система защиты от вирусов и спама. Выбирая ее, мы руководствуемся многими критериями: наибольшая функциональность, централизованное управление, возможность удаленного администрирования, возможность построенная централизованной системы в гетерогенной среде, простота и эффективность поддержки, естественно.
Мы решили, что продукт «Kaspersky Total Space Security» всем этим требованиям отвечает. И, что немаловажно, реализовано отечественным производителем: разработчик должен быть рядом для того, чтобы оперативно реагировать и быстро решать наши проблемы. Вот такие критерии.
CNews: Вы проводили анализ имеющихся на рынке предложений?
Василий Окулесский: Мы всегда сравниваем то, что предлагает рынок, проводим предварительные тестирования, создаем опытные районы. Решения принимаются естественно не спонтанно, а взвешенно. И здесь руководство банка полагается в большей мере не на внешних экспертов, а на заключение своих собственных ИТэшников.
Ведь именно они будут работать с этим продуктом. Поэтому нам более интересно и более важно именно их мнение. Они ставят, они проверяют, мы помогаем и участвуем.
CNews: С чем сравнивался в итоге выбранный вами Kaspesky Total Space Security?
Василий Окулесский: Мы сравнивали со всеми решениями, которые доступны на рынке. Есть Топ-5 Virus Bulletin, так вот мы его весь ставили и проверяли.
CNews: Как шло внедрение, какие этапы оказались самыми трудными?
Василий Окулесский: Положительные моменты - это полученный результат - решение работает. Процесс идет. Надо сказать, что мы не стремимся закрыть все свои потребности только одним решением. У нас много чего есть, поэтому имеется возможность сравнивать. Если у нас коэффициент однородности составляет 80 процентов, то это уже очень хорошо.
CNews: Ощущаете ли вы изменения в характере угроз и в их количестве?
Василий Окулесский: Начну с конца. Много ИБ не бывает. Поэтому преувеличить роль и значение безопасности принципиально невозможно. Если кто-то пытается принизить значение ИБ, то он просто не понимает, что делает.
В первую очередь это касается бизнеса, потому что у людей из бизнеса очень серьезное недопонимание проблем информационной безопасности и недооценка связанных с ней угроз. Поскольку «жареных петухов» никто не отменял, нужно их использовать по «полной» – и своих и чужих.
Преувеличить роль и значение ИБ невозможно, но нужно приводить людей к пониманию того, что ИБ - это конкурентное преимущество любого банковского продукта. Если у банковского продукта в его свойствах указано, что он информационно защищенный, то он более конкурентный, чем другие продукты.
Нужно воспитывать бизнес и руководителей, даже самых высоких. Сейчас общее понимание того, что ИБ нужно заниматься, уже есть. Осталось добиться того, чтобы бизнес-руководство понимало, в каком объеме нужно этим заниматься. Ведь это непрерывный, постоянный и очень сложный процесс.
К сожалению, проблемы информационной безопасности разрастаются гораздо быстрее, чем возникает понимание руководства, что их нужно решать. Любая безопасность затрудняет бизнес. И любые попытки увеличения безопасности приводят к тому, что бизнесу нужно либо ущемляться, либо искать какой-то компромисс для выполнения требований ИБ.
Естественно, что это встречает сильное сопротивление. И чем больше банковский бизнес стремится стать более доступным и удобным для клиента, тем более небезопасным он становится. А как только мы пытаемся сделать бизнес более безопасным, он становится менее удобным. И здесь, естественно, очень важен правильный анализ рисков, серьезный и взвешенный, что можно, а что нельзя делать, пытаясь соблюсти баланс между удобством бизнеса и соблюдением требований ИБ.
CNews: Как вы думаете, сколько должно пройти времени, чтобы бизнес в полной мере осознал важность ИБ? Ведь никого уже не удивляет, что нужно платить охране, что для инкассаторов нужно покупать специальный броневик и так далее.
Василий Окулесский: Боюсь оказаться пессимистом – на нашем веку этого уже не произойдет, к сожалению. Мы с бизнесом находимся в постоянных «контрах». Бизнес никогда не согласится с тем, что нужно направлять серьезные деньги на обеспечение информационной безопасности, если, на его взгляд, без этого можно обойтись.
Сколько автомобилистов возят с собой огнетушитель? Я думаю, что меньше половины. А если и возят, то у него уже давным-давно вышли все сроки годности. При этом все понимают, что его нужно иметь не только потому, что это требование правил, но и потому, что он может спасти жизнь водителю и пассажирам. Но имеют исправный огнетушитель в машине все равно далеко не все.
CNews: На ваш взгляд, в чем тут дело? В недооценке рисков или в инертности человеческого мышления?
Василий Окулесский: На самом деле проблема гораздо глубже и серьезнее. Постоянно говорится, что нужно оценивать риски ИБ. Но, несмотря на то, что мы знаем угрозы ИБ, мы абсолютно не умеем преобразовать их в деньги.
Мы не можем объяснить, какими потерями могут обернуться эти угрозы. Потому что у нас нет механизма перевода угроз в реальные потери. А если какой-то математический механизм и есть, то совершенно непонятно, откуда брать исходные данные для того, чтобы подставлять их в эти формулы.
То есть, мы говорим о том, что должны анализировать риски, но, по сути, у нас нет для этого никаких механизмов, нет принципов оценки рисков ИБ. На мой взгляд, это глобальная проблема, которая связана с тем, что на сегодняшний день принципиально отсутствует механизм оценки рисков ИБ. Вообще!
Это проблема для всех, такой методики нет нигде, не только в России. Есть куча методик, научных подходов, масса формул. Но, опять же, мы приходим к тому, что если есть формула, то для нее нет исходных данных, а если есть исходные данные, то нет формулы, в которую их можно подставить.
Соответственно, я не могу соотнести реальные уязвимости с реальными потерями, которые могу понести. Поэтому мне нужно придумать какую-то модель, обманывая при этом и себя и других, говоря, что вот если мы не будем делать это и это, то мы можем понести вот такие потери. Поэтому давайте хотя бы десятую часть от этих потенциальных потерь затратим на информационную безопасность.
А реально это соотнести практически невозможно. Т.е либо эта десятая часть покроет возможные убытки, либо не покроет. Истратим энное количество денег. И они в рамках определенного временного интервала дадут нам некую внутреннюю уверенность, что мы эту угрозу с вполне приемлемой долей вероятности закроем.
Но остается хвостик вероятности реализации инцидента, а он всегда остается, который вдруг реализуется, то наши потери будут в десятки раз больше чем те средства, которые мы сейчас затратили на профилактику.
Подход с точки зрения управления рисками, он, наверное, правильный. Он принят во всем мире, его все рекомендуют. Но в целом, с моей точки зрения, это глобальная проблема, которая не позволяет совершенно однозначно планировать деньги на ИБ.
CNews: А как-то эта проблема решается, по вашему опыту?
Василий Окулесский: Нет. Каждый сам решает эту проблему, каждый сам придумывает доводы для руководства, ищет специальные подходы к своему руководителю. А никаких общих правил не существует, хотя мы все и говорим, что нужно оценивать риски ИБ, что есть теория, есть методика. На самом деле нет ни методики, ни теории, ни практики. Каждый все решает для себя и не всегда успешно. В основном неуспешно, хотя есть и отдельные исключения, которые подтверждают правила.
CNews: Считаете ли вы, что в такой деликатной сфере, как банковская безопасность, необходимо использовать в первую очередь отечественные разработки?
Василий Окулесский: Я сторонник отечественных продуктов. Во-первых, когда мы говорим о безопасности, мы говорим об использовании криптографических средств. А здесь подходят только российские средства, так как они должны быть сертифицированы нашими же регуляторами. Однозначно российские!
Во-вторых, если брать средства контроля безопасности сети, то здесь опять же лучше российские разработки. Они в большей степени адаптированы под то оборудование, которое мы применяем, под ту техническую оснащенность, которая у нас есть.
Не секрет, что по технической оснащенности мы серьезно отстаем от западных компаний. Не потому, что в России нет самых современных средств, а потому, что у нас парк очень разнообразный, сложившийся за нашу непростую историю. В нем есть программные и аппаратные средства, которые на Западе уже можно найти только в музеях, а у нас они еще успешно работают.
И такое разнообразие компьютерного парка западные продукты обычно не учитывают. Хотя бывает и наши иногда этого не учитывают. Но в случае с отечественными решениями всегда можно найти разработчика, чтобы он «пришел и настроил». То, что разработчик здесь и говорит с нами на одном языке, дает существенные преимущества. Поэтому мы ориентируемся на отечественные разработки.
По качеству же наши решения никогда не были хуже западных. А поскольку они ориентируются именно на нас, то они даже лучше «иностранцев». Если с авто все понятно: вот иномарка, и она по определению лучше, чем «Жигули». То в софтверных разработках, особенно если учесть, что большинство выдающихся программистов - это наши бывшие соотечественники, наши программные продуты вовсе не хуже западных.
В итоге - в банковской сфере в части ИБ лучше использовать отечественные разработки. Хотя есть отдельные направления, подчеркиваю, отдельные, где наши разработки недостаточно хорошо представлены. Это всякого рода снифферы и IDS\IPS-системы, например.
CNews: Продукты ИБ считаются одними из самых высокотехнологичных. Как у вас в банке поставлен процесс обучения соответствующего персонала?
Василий Окулесский: Да, обязательно. Обучение, переобучение, постоянное дообучение - это у нас непрерывный процесс. Мы пользуемся и услугами специализированных учебных центров, и производители принимают участие в обучении наших специалистов. Это очень серьезный момент в нашей работе.
CNews: А кому, на ваш взгляд, при обучении требуется больше внимания: ИТэшникам или конечным пользователям?
Василий Окулесский: Пользователей мы, в основном, информируем. У них всегда есть памятки, инструкции, они с ними ознакомлены. А как настраивать, как действовать – этому обучаются ИТэшники и офицеры безопасности. Причем не только центрального офиса, но и со всей филиальной сети. Работа идет. Конечно, в этом отношении можно и больше людей обучать. Но все зависит от времени и финансов.
CNews: Служба ИТ и подразделение ИБ – как они у вас связаны?
Василий Окулесский: Это два разных подразделения. Мы стараемся дружить там, где это получается. А вообще у нас разные задачи, разные руководители. Не скажу, что у нас сильный антагонизм, но в определенном смысле мы являемся противоборствующими сторонами.
CNews: Очень интересно! Это особенность только банков?
Василий Окулесский: Ну почему же, это вполне естественное явление. Как ИБ всегда в конфликте с бизнесом, то и любые ужесточения ИБ в части контроля всегда не нравятся ИТ.
CNews: Почему? Разве ИТ не заинтересовано в безопасности бизнеса?
Василий Окулесский: Предположим, есть некие ограничения по работе в интернете. Под это все и настраивается – файрвол, прокси-сервер, учетные записи. Но ИТ-шник всегда считает себя самым умным, он «круче», чем настройки сервера. И он начинает обходить эти запреты.
А ИБ бьет ему по рукам – нельзя. А он снова. ИБ опять. И начинается. Это игровой пример, но ситуация актуальная. И до тех пор, пока права и обязанности ИБ и ИТ не будут четко разграничены, это будет повторяться. И даже когда это будет сделано, ситуация останется напряженной.
Она нормальная, в том смысле, что она есть, но, по сути, она ненормальная. Конфликт есть по определению. Я не знаю ни одну службу ИБ, которая была бы полна любви к ИТ, и наоборот. Это системный конфликт, конфликт интересов.
Именно поэтому стандарт ЦБ предписывает, чтобы у ИБ и ИТ были разные начальники и даже разные кураторы. Потому что ИБ - это всегда контроль над ИТ. И еще один момент. В ИБ существенно, в десятки раз меньше специалистов, чем в ИТ. Уровень контроля очень высок, широта охвата проблем велика.
В ИТ все по-другому, там как правило узкоспециализированные специалисты. В своей области, в своей узкой части, каждый по своей профессиональной подготовке превосходит ИБ-шника, который нацелен на более широкий круг задач.
В каждой узкой области в ИБ нет такой подготовки, как у ИТ-шника. И это позволяет в ИТ говорить, «я тут крутой спец, а вы тут нули, что вы лезете?!» Психологически это тонкий момент – что это меня контролируют те, кто в этой области ничего не понимает. Тем более что у ИТ-шников, особенно уровня системных администраторов, происходит профессиональная деформация.
И это нормально, потому что постоянное общение с вычислительной техникой накладывает определенный отпечаток. И если этого нет, то человек профессиональным админом не станет. А если становится, то происходит этот сдвиг, и админ начинает считать неправильным любой контроль над собой. Эта проблема есть, к сожалению. Она не лежит в основе конфликта, но дает определенный дополнительный нюанс.
CNews: Какие отношения между пользователями и службой ИБ вы считаете правильными?
Василий Окулесский: О том, что банковский продукт информационно защищен должны знать, как пользователи внутри банка, так и его клиенты. ИБ - это требование, обязательное для всех банковских продуктов дистанционного обслуживания.
Если продукт не будет защищен, то клиент об этом узнает, и спроса на такой продукт больше не будет. То, что продукт защищен, должны знать все, а что именно и как там защищено – это закрытая информация. Внутри банка пользователи должны знать, что ИБ есть, что система на контроле. Что можно делать, а чего нельзя - обязательно должны знать все.
Пользователей нужно регулярно подпитывать информацией о том, что бывает с теми, кто требования ИБ нарушает. Тонус должен быть. Должно быть и ежедневное общение с пользователями – не всегда с пряником, но и не всегда с кнутом. Разъяснительная работа должна вестись неукоснительно.
Обычно пользователи положительно воспринимают, когда им разъясняют, а не просто наказывают. Но бывают и исключения. И это нормально! Это часть нашей работы. Люди всегда должны знать: как нужно действовать, и что бывает с теми, кто игнорирует правила.
Реакция руководства на нарушения также должна быть доведена до всех. Человек так устроен, что без нарушений он не может, и нарушителей нужно наказывать. Это естественный процесс. Наказывать не ради наказания, а для воспитательного эффекта, который будет гораздо сильнее, если сведения о наказании нарушителей доводить до всех!
CNews: Спасибо.
Сообщить факт о Windows XP
Почему устарела Windows XP?
Сообщить цифры о Windows XP