Рольова модель "Ренесанс Кредиту"

Інтерв'ю Дмитра Стурова, виконавчого директора, начальника управління інформаційної безпеки «Ренесанс Кредит»

-У чому полягає специфіка захисту інформації у фінансовому секторі? Чим вона обумовлена?

- Головна відмінна риса фінансів – це наявність платіжних процесів, які накладають певні вимоги та обмеження.

Тому я виділив би три основні особливості у захисті інформації у фінансовому секторі. По-перше, це загальний підхід до захисту інформації, що ґрунтується на захисті її цілісності, тобто введення заборони на несанкціоновану зміну, конфіденційність, оскільки така інформація завжди відноситься до банківської таємниці, і доступність - можливість вільного використання клієнтами платіжних процесів.

Друга особливість – це наявність сильного регулятора у банківській сфері, який не тільки стежить за відповідністю та актуальністю інформаційних стандартів, а й веде велику постійну роботу щодо гармонізації всіх нормативно-правових актів.

І, нарешті, третя складова – велика кількість клієнтів, які споживають банківські послуги щодня. А отже, банки мають бути готові працювати з більшими обсягами та навантаженнями.

- Які великі проекти з інформаційної безпеки ваш банк завершив у 2016 році?

- На завершальну стадію у нас вийшов великий проект – "Рольова модель", який суттєво полегшує функціонування всієї інформаційної інфраструктури банку. Ми провели велике внутрішнє дослідження з виявлення, угруповання та класифікації всіх співробітників банку відповідно до їхніх бізнес-ролів. Згідно з цими бізнес-ролями ми сформували групи доступів до тієї чи іншої інформації. Система працює автоматично, і впротягом 15 хвилин ми маємо можливість відкрити доступ до необхідної інформації, яка потрібна співробітнику для виконання ним посадових обов'язків. "Ренесанс Кредит" - банк роздрібний, багато позицій мають масовий характер, багато і переказів співробітників усередині самого банку, тому впровадження "Рольової моделі" дозволило нам суттєво оптимізувати робочий час, звести до нуля ймовірність помилки у наданні неправильного доступу якомусь співробітнику.

Також наприкінці 2015 р. ми завершили сертифікацію банку за стандартом Банку України СТО БР, отримавши зовнішню відповідність від аудиторської компанії. Згідно з їхніми висновками, ми отримали четвертий рівень відповідності. Це дуже висока оцінка, яку банк має за всіма груповими показниками, такими як криптографія, антивірус, захист мобільних сервісів та ін.

Щодо менеджменту інформаційної безпеки, то тут банк "Ренесанс Кредит" відповідає найвищому балу - п'яти, оскільки питанням безпеки завжди приділялася особлива увага. Ще 2008 р. банк був сертифікований за міжнародним стандартом СО 27001.

Наразі стандарт Банку України ще не є обов'язковим для виконання всіма кредитними організаціями та рішення про відповідність йому фіксується у внутрішніх документах банків, проте ведеться активна робота зі створення нового ГОСТу в частині інформаційної безпеки, і за його основу буде взято саме СТО БР. Очікується, що до 2018 року впровадження таких стандартів буде обов'язковим для всіх.

- Програми для онлайн-платежів є улюбленою мішенню кіберзлочинців. Як ваш банк забезпечує їхню безпеку?

- Донедавна вважалося, що основні ризики, пов'язані з онлайнплатежами, лягають на клієнтів, тобто саме клієнти втрачали свої гроші ввнаслідок дій кіберзлочинців. З метою захисту банки стали активно використовувати антифрод-системи, які в автоматичному онлайн-режимі стежать за платежами, що здійснюються, і якщо за яким-небудь показником порушуються антифрод-правила, то такі платежі відразу ж блокуються для їх додаткового захисту.

Однак за останні півтора-два роки ситуація кардинальним чином змінилася: ми всі стали свідками того, як злочинці змінили свої пріоритети, звернувши більшу увагу на самі банки, системи міжбанківських платежів та великі платіжні системи. Безумовно, розмір розкрадань у разі несумісний із втратами фізичної особи. Внаслідок таких хакерських атак деякі банки втрачали кілька сотень мільйонів рублів зі своїх кореспондентських рахунків.

Тому ми підходимо до питання інформаційної безпеки комплексно: з одного боку, займаємося захистом самого сервісу та банку загалом, з іншого - активною роботою з клієнтами, під час якої ми проводимо навчання та інформування клієнтів про основні правила безпеки: знання навіть базових принципів безпеки платежів здатне суттєво знизити ймовірність шахрайських дій щодо таких клієнтів.

Крім того, банки активно використовують "тестові" проникнення, в результаті яких можна подивитися, які є вразливі місця та що потрібно зробити для більш ефективного захисту.

- Які основні вектори розвитку платіжних онлайн-сервісів та інтернет-банків з точки зору забезпечення безпеки?

- Оскільки пріоритети злочинних груп змістилися, то зараз дедалі активніше розробляються нові способи захисту від атак, що таргетують. Платіжні системи та системи міжбанківських переказів також підвищують рівні захисту та змінюють стандарти безпеки.

- Чи є у вашому банку класифікація інцидентів відповідно до рівня загроз?

- Безумовно, така класифікація інцидентів у банку є, причому має вона розширений характер і містить безліч атрибутів. Загалом інциденти ми класифікуємо за їх критичністю: високий, середній, низький; залежно від небезпеки; реалізації; величини порушених активів. Також є єдина система зберігання цих інцидентів, де ми ведемо облік статистики, які траплялися інциденти, а також здійснюємо збір регулярних метрик про стан захисту інформації.

- Як ви бачите розвиток технологій інформаційної безпеки у банківській сфері у перспективі найближчих трьох років?

- Розвиток технологій інформаційної безпеки буде пов'язаний з тим, що банки почнуть приділяти увагу тим активам, на які вони раніше не звертали уваги, оскільки ризики з'являються у несподіваних сферах.

Ще один тренд, який може викликати підвищену небезпеку, - прагнення багатьох організацій фінансової сфери до інтеграції, глобалізації та спрощення взаємодії з клієнтом. Багато сервісів повністю переходять в онлайн, отримавши можливість виробляти віддалену ідентифікацію клієнтів, що також може стати ще одним фактором появи нових ризиків.

Вразливим місцем з погляду хакерів також можуть бути біржі. Якщо банки вже навчилися справлятися з хакерськими атаками і вони починають з'являтися ефективні механізми захисту, то біржі, з поширеною практикою роботизованої торгівлі, становлять серйозний інтерес. Тому в цілому інформаційна безпека "підлаштовуватиметься" під ІТ-технології, що з'являються, які вже стали самостійними точками зростання для багатьох напрямків бізнесу. Крім того, кіберзлочинці навчилисязаробляти навіть на інформаційної безпеки, проводячи аналітичні дослідження нових сервісів і виявляючи їх слабкі місця. Говорячи про розвиток технологій інформаційної безпеки, не можна не згадати про те, що основним джерелом загроз, як і раніше, залишаються співробітники компанії, які з різних причин – вплив ззовні, недбалість, помилки – завдають організаціям збитків, з якими поки що не можуть зрівнятися навіть хакерські атаки. Це було, є і буде головним головним болем підрозділів інформаційної безпеки.

Не варто забувати і про тіньове ІТ - самостійне вибудовування бізнес-підрозділами процесів "збоку" від основних систем, використовуючи для цього всі доступні інструменти, починаючи від настільних програм типу Excel і закінчуючи "мовчазним" використанням хмарних сервісів або послуг сторонніх технологічних компаній. У зв'язку з цим у час набирають обороти системи поведінкового аналізу користувачів, які, працюючи з великим обсягом даних, будують профілі типового поведінки й виявляють аномалії.

---