Новости
Тема дня
Новости Банков
Новости Экономики
Аналитика
Интервью
Банки
Банки Екатеринбурга
Рейтинг банков
Заявка на кредит в банки:
Заявка на кредит (в несколько банков)
Тинькофф Кредитные Системы
Русский Стандарт
Услуги для Физических лиц
Вклады
Потребительские кредиты
Кредитные карты
Автокредит
Ипотека
Дистанционное управление
Денежные переводы
Услуги для Юридических лиц
Расчетные счета
Кредиты для бизнеса
Лизинг
Дистанционное управление
Полезное
На главную / Интервью/ Эффективная система безопасности должна быть комплексной
[ архив ]
25.03.13

Эффективная система безопасности должна быть комплексной

Вице-президент банка ВТБ Карл СУММАНЕНВице-президент банка ВТБ Карл СУММАНЕН в интервью НБЖ рассказал о том, как можно построить действующую эффективную систему информационной безопасности и какие для этого необходимо предпринять шаги.

«К СОЖАЛЕНИЮ, СЕГОДНЯШНЕЕ ЗАКОНОДАТЕЛЬСТВО ПОСТРОЕНО ПО ПРИНЦИПУ БЕЗОТВЕТСТВЕННОСТИ КЛИЕНТА»

- Карл Тайстович, система противодействия угрозам информационной безопасности (ИБ) должна включать как минимум три компонента: законодательство, процессы и технологии. На ваш взгляд, какая из этих составляющих является наиболее проблематичной для российских банков и почему?

- Я действительно считаю, что работающая эффективная система безопасности должна быть комплексной и включать три составляющих. Из перечисленных составляющих на сегодняшний день наиболее проблематичной для российских банков и других участников национальной платежной системы являются технологии. Самое «слабое звено» ИБ - это клиент, пользователь систем дистанционного банковского обслуживания (ДБО). Я сейчас говорю только о ДБО, то есть о совершении платежей через дистанционные каналы. Вопрос безопасности использования пластиковых карт затрагивать не буду, поскольку там совершенно другие подходы к обеспечению ИБ, и эти две темы нельзя смешивать.

Подавляющее количество хищений при ДБО сейчас происходит в результате грубого нарушения клиентом требований безопасности. Меньшее число киберкраж происходит за счет хакерских атак на компьютер клиента. И мне неизвестны случаи хищения в результате атак на внутренние системы кредитной организации.

«Слабое звено» - в данном случае человек - играет ключевую роль, потому что использование существующих инструментов защиты является сложным для клиента. К сожалению, данная проблема пока не нашла решения, несмотря на все усилия, которые предпринимает мировое сообщество для того, чтобы сделать эффективные средства безопасности элементарными в применении.

Конечно, в любом случае правильное использование инструментов защиты требует от клиента определенных знаний, дисциплины, соблюдения конкретных и не всегда простых инструкций. Банки же зачастую вместо аккуратного, последовательного и скрупулезного соблюдения всех требований ИБ сталкиваются с довольно недисциплинированным подходом наших пользователей. Бороться с этой проблемой можно двумя способами: во-первых, нужно работать с клиентами, обучая их и объясняя им, как последовательно соблюдать все требования безопасности, во-вторых, использовать технологии. Если удастся сделать средства защиты простыми в применении и менее зависимыми от дисциплинированности и грамотности пользователя, то есть от человеческого фактора, то это в значительной мере решит проблему атак. К ней косвенно примыкает вопрос законодательства, которое при правильном построении может либо способствовать соблюдению клиентом требований безопасности, либо игнорировать этот процесс. Если законодательство построено так, что пользователь отвечает за свои действия, то он будет аккуратен в своих поступках, а если оно не возлагает ответственности на клиента, то ему незачем соблюдать требования безопасности, ведь он и так защищен законом. К сожалению, сегодняшнее законодательство построено по принципу безответственности клиента. Но мы к этому вопросу еще вернемся.

«БАНКИ ПЕРЕХОДЯТ ДОПУСТИМУЮ ГРАНЬ ИБ, ОДНОВРЕМЕННО ДЕЛАЯ ПРОДУКТ МАКСИМАЛЬНО УДОБНЫМ И СНИЖАЯ БЕЗОПАСНОСТЬ»

- Определенный круг проблем ИБ связан с различными уровнями безопасности банков, с разночтениями в правилах и с многочисленными отличиями внутренних процессов. Можно ли как-то решить данный вопрос?

- То, что у банков разные процессы, подходы и решения, -неплохо. Плохо, что появляются кредитные организации, у которых уровень безопасности ниже должного. И происходит это по двум причинам. Во-первых, из-за непрофессионализма тех людей, которые реализуют для финансовой системы управление безопасностью. В прошлом были случаи, когда способные, умные, но непрофессиональные в области ИБ сотрудники банков реализовывали самостоятельно разработанные инструменты защиты. При этом они просто не знали о существовании определенных угроз, поэтому не учитывали их. В результате появлялись средства безопасности с уязвимостями. Компании, которые поставляют промышленные решения, обладают богатым опытом и учитывают практически все известные угрозы, поэтому решения, которые они предлагают, как правило, максимально эффективны.

Вторая причина появления банков со слабыми системами безопасности - это конкуренция на рынке. Есть принцип, который заключается в следующем: чем выше безопасность, тем меньше удобств для клиента. Этот принцип в сочетании с конкуренцией заставляет банки сознательно снижать уровень защиты систем ДБО. В этой ситуации кредитные организации, стремясь сделать продукт максимально удобным и конкурентоспособным, могут переходить допустимую грань и опускать безопасность системы ДБО ниже оптимального уровня.

- Что делать в такой ситуации?

- Если у банков есть стимулы понижать безопасность, то, наверное, должен подключиться регулятор, который установит некий минимальный уровень стандартов в части обеспечения ИБ. Я не веду сейчас речь о нормативе, обязательном к применению, поскольку сейчас это невозможно и вряд ли когда-либо станет возможным. Скорее, это набор принципов, которым кредитные организации должны стремиться соответствовать. Регулятор мог бы, например, такие принципы сформулировать в документе, а банки на добровольной основе присоединились бы к этим требованиям в системах ДБО, что послужило бы для клиентов неким показателем должного уровня безопасности финансового учреждения.

«КОНСУЛЬТАЦИОННЫЙ СОВЕТ ЗАЙМЕТСЯ РАЗРАБОТКОЙ ПРИНЦИПОВ КОЛЛЕКТИВНОЙ СИСТЕМЫ ПРОТИВОДЕЙСТВИЯ МОШЕННИЧЕСТВУ»

- Эксперты говорят, что настало время объединить усилия представителей банковского сообщества в борьбе с мошенничеством в киберсреде. Каким вы видите данный процесс и почему пока дело ограничивается лишь разговорами?

- Я не соглашусь, что дело ограничивается только разговорами. На самом деле, особенно в последний год, идет динамичный процесс взаимодействия различных участников, в том числе Центрального банка, правоохранительных органов, Национального платежного совета, которые обсуждают, как должны вырабатываться принципы безопасности при ДБО. Возможно, этот процесс еще не достиг своего завершения, потому что в моем понимании в результате должна появиться некая организационно оформленная на национальном уровне структура взаимодействия между участниками, система, управляемая одним координирующим центром.

В какой форме это можно сделать? Как вариант напрашивается создание некоего координационного органа (совета) под эгидой одной из профильных организаций, занимающейся регулированием национальной платежной системы и обладающей необходимыми ресурсами, своего рода площадки, на которой будут общаться представители различных ведомств (правоохранительных, судебных органов), Центрального банка, коллективных сообществ (Ассоциации российских банков, Ассоциации «Россия», Национального платежного совета), отдельных банков, наиболее квалифицированные эксперты рынка. Этот совет должен заняться разработкой принципов коллективной системы противодействия мошенничеству. Пока этот вопрос находится на стадии обсуждения, я надеюсь, что он будет решен и что такая система взаимодействия появится.

«МЕСТО ДЛЯ МОШЕННИКОВ ПОЯВЛЯЕТСЯ В РЕЗУЛЬТАТЕ ОШИБОК ИЛИ НЕСОБЛЮДЕНИЯ КЛИЕНТАМИ ПРАВИЛ»

- Можно ли создать систему информационной безопасности банка, где для мошенников просто не останется места? Что необходимо сделать, чтобы преступники не обгоняли законопослушную часть общества?

- В широком смысле системы информационной безопасности ДБО уже созданы. Те средства защиты, которые сейчас применяются в ДБО, при условии аккуратного соблюдения клиентами банка всех требований уже практически безопасны, и там мошенникам места нет. Место для них появляется в результате ошибок или несоблюдения клиентами правил.

Если говорить о том, можно ли создать такую систему безопасности, которая бы вообще не зависела от человеческого фактора, то ответ будет отрицательным. Необходимо стремиться ослабить влияние этого фактора в том числе технологическими средствами, придумывая такие способы защиты, чтобы от людей мало что зависело. Но системы безопасности, абсолютно не зависящей от человека, не бывает, что подтверждает мировая практика. Например, трагическая ситуация на Чернобыльской АЭС, где существовало несколько эшелонов защиты, которые были отключены людьми, показывает, что риск нарушения человеком правил безопасности никакими технологическими средствами не может быть сведен к нулю.

Тем более не надо забывать о принципе «чем выше безопасность, тем меньше удобств для клиента». Участники национальной платежной системы (кредитные и другие организации) находятся в жесткой конкурентной среде, которая вынуждает снижать уровень безопасности ради удобства обслуживания. Не стоит ожидать, что какой-то банк «закрутит гайки» в системе безопасности, но при этом останется без клиентов, которые просто перейдут в другие финансовые учреждения. Каждый человек решает для себя вопрос, где ему обслуживаться. Есть клиенты, для которых безопасность имеет абсолютный, наивысший приоритет, и они останутся в банках, предлагающих им максимально защищенные системы. Но таких клиентов очень мало. Основная масса людей ищет баланс, когда присутствует достаточный уровень безопасности, но при этом предоставляются определенные удобства в работе. Поэтому финансово-кредитные организации должны искать некую золотую середину по принципу «клиенту еще удобно, а мошеннику уже невыгодно».

«ЕСЛИ С КЛИЕНТА ОБЯЗАТЕЛЬСТВА СНИМАЮТСЯ, ТО ПОСТРОЕНИЕ СИСТЕМЫ БЕЗОПАСНОСТИ СТАНОВИТСЯ ПРОСТО НЕВОЗМОЖНЫМ»

- Вы не раз высказывались о проблемах национальной платежной системы. Как вы оцениваете существующую редакцию Закона «О национальной платежной системе» с точки зрения ИБ? Какие аспекты ИБ учтены, какие - нет?

- С точки зрения информационной безопасности закон на детальном уровне ничего не регулирует. Закон установил принцип безусловного права клиента требовать деньги, списанные с его счета, обратно при выполнении определенных условий. В том числе это право распространяется на физических лиц, которые могут потребовать свои средства обратно, никак не объясняя, что же все-таки произошло. И банк обязан вернуть деньги, после чего будет пытаться каким-то образом доказать, что хищение произошло в результате неправильных действий клиента. На мой взгляд, это абсолютно нереализуемая схема, поскольку кредитная организация не имеет ни средств, ни возможностей, ни прав проводить расследование. Ей придется доказывать, что клиент что-то нарушил, при том что клиент имеет право не свидетельствовать против себя и не давать банку никаких разъяснений.

Эта норма закона, по моему мнению, не способствует обеспечению безопасности в национальной платежной системе, потому что она снимает ответственность с одной из сторон процесса. Как мы уже говорили, безопасность определяется рядом факторов, в том числе таким звеном, как клиент, который должен придерживаться определенных правил. Только при соблюдении этого условия можно построить систему безопасности. Если с клиента обязательства снимаются (а именно так и происходит из-за такой формулировки закона), то создание системы безопасности становится просто невозможным.

Получается, что мы, с одной стороны, законопослушным клиентам даем посыл не напрягаться и не следовать требованиям безопасности, а с другой стороны, мошенникам предоставляем способ, с помощью которого можно воровать деньги. Поэтому я считаю, что девятая статья 161-ФЗ должна быть изменена, в частности необходимо четко определить обязанности сторон по обеспечению безопасности. Банк должен гарантировать клиенту определенный уровень защиты, который при условии соблюдения всех требований кредитной организации убережет пользователя от мошеннических действий. Как я уже говорил, тех средств безопасности, которые есть на сегодняшний день, уже достаточно, чтобы выполнить эти требования, минимальный уровень защиты уже обеспечен. Конечно, кредитная организация должна предоставить клиенту информацию о том, как надо использовать инструменты защиты информации, в частности в подробной инструкции описать все возможные угрозы, риски, а также, естественно, обеспечить безопасность внутри финансового учреждения.

Обязательства клиента очень просты: он должен выполнить те требования ИБ, которые ему предписал банк. Если каждая из сторон будет выполнять свои обязательства, то мошенникам места уже не останется.

Далее схема очень проста: если какая-то из сторон не выполнила свои обязательства, она виновата.

- Как вы думаете, поможет ли исправить ситуацию отсрочка на год вступления в силу девятой статьи 161-ФЗ?

- Надо вносить разумные изменения. Хочу заметить, что в законе есть много других юридических неясностей, связанных, например, с требованием оповещения клиента. Фраза о том, что банк должен оповестить клиента, звучит просто, но, когда начинаешь задумываться, что такое оповещение и какой юридический смысл оно имеет, возникают вопросы.

Как банк докажет, что клиент получил SMS-сообщение? Даже если будет придумана какая-то схема: допустим, клиентов попросят присылать ответное SMS, подписанное их ЭЦП, то все равно возникнет масса вопросов. Что делать, если, например, у клиента будет выключен телефон или если он будет вне зоны доступа?

В отношении уведомления клиентов об операциях, проведенных по их счетам, я бы предложил очень простой подход: банк обязан обеспечить пользователю возможность доступным способом получить информацию о совершенной операции. Клиент должен такое сообщение получать с необходимой частотой. Существующие системы ДБО уже позволяют это делать. Например, в системе ДБО, которой я пользуюсь, я могу в любой момент с помощью мобильного телефона или через Интернет получить информацию о проведенной операции. При желании я могу подключить SMS-оповещение. Я, как клиент, считаю в этой ситуации, что обязанности банка по уведомлению меня о проведенных операциях уже выполнены. Все остальное - моя ответственность.

«ИДЕАЛ НЕДОСТИЖИМ: НЕВОЗМОЖНО СДЕЛАТЬ СИСТЕМЫ ДБО ОДНОВРЕМЕННО МАКСИМАЛЬНО УДОБНЫМИ И АБСОЛЮТНО БЕЗОПАСНЫМИ»

- На рынке существует разнообразие средств безопасности ДБО, однако банковские специалисты отмечают, что они не могут в полной мере удовлетворить все требования бизнеса и запросы клиентов в удобстве и безопасности использования ДБО. Почему, на ваш взгляд, складывается такая ситуация?

- Потому что идеал недостижим: невозможно сделать системы ДБО одновременно максимально удобными и абсолютно безопасными, нужно искать разумный компромисс. Разнообразие инструментов ИБ, по моему мнению, не является недостатком. Общество ищет и изобретает новые средства защиты: что-то исчезает, не выдерживая испытания практикой и временем, что-то появляется. Плохо только то, что встречаются инструменты безопасности, не соответствующие разумным стандартам. Здесь, наверное, регулятору имеет смысл сформулировать какие-то нормативы и рекомендации, к которым бы кредитные организации могли присоединиться. Это оказало бы положительное влияние, поскольку некачественные средства защиты ушли бы с рынка. Кроме того, банки должны иметь возможность при сохранении минимального уровня ИБ предлагать различные варианты уровней безопасности в зависимости от потребностей клиента.

Конечно, при этом не снимается вопрос о постоянном поиске таких средств защиты, которые при заданном уровне ИБ повышают степень удобства. Этот поиск идет постоянно во всем мире. И можно сказать, что динамика повышения безопасности при сохранении удобства либо повышения удобства при сохранении безопасности положительная.

- Как бы вы оценили уровень затрат российских банков на информационную безопасность, насколько адекватны бюджеты на ИБ?

- Если говорить про «среднюю температуру по больнице», то, на мой взгляд, кредитные организации много внимания уделяют ИБ и тратят на это серьезные средства. Это подтверждает, что к безопасности клиентов банки относятся ответственно.

«КОГДА РЕЧЬ ИДЕТ О ХИЩЕНИЯХ, БАНК ДЕЙСТВУЕТ ДОСТАТОЧНО ЖЕСТКО И ВСЕГДА В РАМКАХ ЗАКОНА»

- Расскажите о практике противодействия хищениям и взаимодействия в этой связи с правоохранительными органами.

- Такая практика действительно есть. Пока она не очень большая, поскольку проблема появилась не так давно.

Подход ВТБ в данном случае основан на том, что ВТБ - это государственный банк, который однозначно стоит на страже средств и интересов своих клиентов. Поэтому, когда речь идет о хищениях, банк действует достаточно жестко и всегда в рамках закона.

В случае хищения средств клиента, когда тот обращается в правоохранительные органы, кредитная организация стоит на стороне клиента, максимально предоставляя всю необходимую ему информацию по инциденту, для того чтобы правоохранительные органы могли предпринять какие-то действия.

Если говорить о статистике, то сейчас у нас работает система фрод-мониторинга, которая обнаруживает 80-90% попыток хищений до их совершения. На оставшиеся инциденты у нас приходится примерно одно событие в месяц. Мы с клиентом производим полный разбор ситуации еще до его обращения в правоохранительные органы, оказываем ему максимальное содействие.

По статистике в подавляющем числе случаев выясняется - и клиенты, кстати, это признают, - что причиной хищений было грубое нарушение самим пользователем требований банка по обеспечению безопасности. В меньшем количестве случаев это была хакерская атака на компьютер клиента, но опять-таки в каком-то смысле это стало следствием несоблюдения клиентом правил обеспечения ИБ. Не было ни одного факта, чтобы пользователь не признавал, что вина находится на его стороне. О случаях инсайда, когда сотрудники банка участвуют в хищении средств клиента, я не слышал.

Сейчас Центральный банк начал собирать информацию об инцидентах. Возможно, вскоре появится репрезентативная статистика. Я уверен, что она будет такой, как я сказал: 95% - нарушения правил безопасности, 4,9% - хакерские атаки и 0,1% -явно выраженная вина банка, когда он не выполнил свои же инструкции.

Что касается создания коллективной системы противодействия, то эта работа сейчас проводится в банковском сообществе. Центральный банк, Национальный платежный совет, Ассоциация российских банков, отдельные кредитные организации, включая ВТБ, правоохранительные органы обсуждают принципы построения такой системы. Уже сформировались некие работающие процессы, когда банки обмениваются данными о произведенных хищениях, эта информация позволяет предотвратить новые кражи, а в ряде случаев - остановить уже начавшиеся. Если быстро выявить хищения и оповестить тот банк, куда переводятся деньги, то кредитная организация может предпринять меры по предотвращению кражи. Здесь следует отметить, что существующее законодательство пока не дает достаточной базы для того, чтобы банк, получив на счет клиента средства, отказал ему в дальнейшем переводе, у него нет для этого юридических оснований. Поэтому требуется изменение законодательства, порядка работы правоохранительных органов, которые должны чуть ли не в режиме реального времени реагировать на обращение клиента о начавшемся хищении.

Я надеюсь, что такая серьезная работа будет проведена. Если будет создан координационный совет, который объединит усилия участников рынка, то его задачами станут разработка принципов работы такой системы, учет предложений по изменению законодательства и работы правоохранительных органов.

Конечно, это неблизкий путь, и быстро мы данную проблему не решим. Но это обязательно надо делать, сама по себе она не решится никогда.

«ПОКА НЕ СЛОЖИЛИСЬ ПРИНЦИПЫ РАБОТЫ НОВОГО ЦИФРОВОГО ОБЩЕСТВА, ПРОБЛЕМЫ В ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ БУДУТ ВОЗНИКАТЬ»

- Какова ваша точка зрения на проблему обеспечения безопасности мобильных финансовых услуг в России?

- Проблема обеспечения безопасности мобильных финансовых услуг одинакова и для России, и для всего мира - российской специфики здесь не существует. Вопрос заключается в следующем. Возникла новая реальность, связанная с появлением дистанционного финансового обслуживания. Она начала обозначаться лет двадцать назад, стала материально ощутимой десять лет назад и сейчас еще формируется. В связи с этим возникло много новых реалий. Вся предыдущая практика ведения бизнеса и совершения сделок, которая сформировалась за столетие, при появлении дистанционного заключения сделок уже не подходит. Появляется, например, кража ID, когда другое лицо (мошенник), предъявив те же самые идентификаторы, которые предъявляет законный клиент, с точки зрения второго участника сделки, выглядит вполне законно. В такой ситуации, если мы говорим, что дистанционные сделки разрешены, то второй участник сделки, выполняя операцию на основании предъявленных идентификаторов, должен быть прав, потому что ему предоставили необходимую информацию. При этом он не может знать, что на другой стороне действует мошенник. Однако в этом вопросе, к сожалению, нет однозначности ни на уровне законодательства, ни на уровне практики.

С ЭЦП тоже непонятная ситуация. С одной стороны, в законе прописано, что ЭЦП полностью эквивалентна собственноручной подписи, и если банк получил в распоряжение документ, подписанный ЭЦП, то он полностью защищен. С другой стороны, в том же законе написано, что если клиент подписал бумаги ЭЦП, а потом пришел в банк и написал заявление о возврате денег на счет, то банк обязан это сделать. Здесь возникает просьба к нашим законодателям: определитесь, как все-таки нужно действовать, эквивалентна ли ЭЦП собственноручной подписи на документе на бумажном носителе или нет. Не может быть в законодательстве одной страны двух принципиально разных подходов к вопросу.

Однозначно можно сказать, что пока не сложились принципы работы нового цифрового общества, проблемы в обеспечении безопасности будут возникать.

- Как можно решить эти вопросы?

- Общество должно совместными усилиями вырабатывать принципы, законы, ведь любые законы - это результат договоренности в обществе. Может ли рынок сам, без какой-то координации, внешнего воздействия, прийти к определенной системе законов? Может, вопрос только во времени. Эволюционные рыночные процессы достаточно медленные. Если нет какого-то центра кристаллизации, координации, то будущая модель будет формироваться очень долго. А фактор времени здесь играет большую роль, ведь проблемы с безопасностью возникают потому, что в новых формирующихся реалиях преступники очень быстро ориентируются и по максимуму используют все неопределенности, которые есть на переходном этапе. Поэтому общество заинтересовано в завершении разработки общих принципов и формировании системы коллективной безопасности. А чтобы это произошло быстро, усилия нужно координировать. Мы опять приходим к мысли о появлении консультационного совета, который должен обеспечить координацию усилий всех участников процесса.

Беседовала Оксана Дяченко

Источник
NBJ 
Главная О проекте Реклама Контакты Карта сайта
© 2008 - 2021 Bank-RF.ru - При использовании материалов гиперссылка на Bank-RF.ru обязательна.