— Артем Михайлович, если попробовать сравнить картину информационной безопасности в различных отраслях, какое место здесь занимает финансовый сектор? Некоторые эксперты — в том числе глава Минцифры РФ Максут Шадаев — относят финансовые организации к фронтлайнерам инфобеза, другие считают, что это, наоборот, слабое место, поскольку очень много злоумышленников целится именно туда. Что по этому поводу думаете вы?
— Мне все-таки ближе первая точка зрения: финансовая система — проводник кибербезопасности. Более того, я как лицо, непосредственно занятое регулированием этой системы, могу сказать, что российские банки подготовлены к отражению киберугроз на порядок лучше своих западных коллег. В то же время я не могу сказать, что люди, которые придерживаются второй точки зрения, неправы. Российская банковская отрасль действительно привлекает к себе достаточно большое количество злоумышленников. Именно это и стало причиной того, что банки научились работать в таких условиях, в ситуации постоянного стресса, постоянного ожидания атаки.
— Как бы вы оценили сибирские банки и сибирских кибернетиков на общероссийском фоне? Есть ли у них какие-то особенности, отличающие их от всех прочих?
— Сибирь выглядит более чем достойно — я вижу, что банки делают все, чтобы клиенты и они сами были надежно защищены. Свой вклад в их работу вносит и то, что в Сибири есть свои хорошие центры разработки: новосибирский Академгородок, Томск, Красноярск. Это не просто университетские центры, где готовят программистов, там есть еще и компании, организации, для которых инфобезопасность — основной профиль, научный и практический.
— Как повлияли на инфобезопасность в банковской среде ограничения на использование иностранных продуктов? Насколько далеко вы уже продвинулись в этом деле?
— На сегодня все системы безопасности укладываются в эти нормы «с запасом». Мы изучали этот вопрос совместно с Ассоциацией банков России, и на текущий момент до 90% всех средств инфобезопасности, в том числе аппаратных, — российского производства. На самом деле замещение цифровой стратегической инфраструктуры — вопрос намного более сложный, чем кажется. В замене нуждается очень много систем, в том числе тех, что уже исторически сложились на базе многих иностранных разработок. Нужно много времени, чтобы их заменить, при этом не останавливая работу.
— Подавляющее большинство киберугроз так или иначе включают в себя социальную часть, с которой не всегда получается бороться техническими средствами. Как ее можно минимизировать?
— В 2020 году Банк России провел киберучения с рядом крупных банков, за основу их сценариев были взяты реальные кейсы, которые уже имели место в банковской отрасли. Наша задача — выяснить и проверить не только то, какие инструменты для борьбы с киберзлоумышленниками у кого есть, но и то, как оперативно они реагируют на угрозы и устраняют их последствия. Во многих сценариях присутствовал и внутренний фрод. Против него нужны комплексные решения, куда входят и технические меры, в том числе такие элементарные, как инспектирование сетей и портов USB, контроль учетных записей и доступа к определенным данным. Как показывает опыт, процентов девяносто случаев они отсекают. Оставшиеся десять — это уже организационные меры и работа с персоналом, очень кропотливая работа. Все это, на мой взгляд, достаточно для борьбы с утечками.
И еще одно. Если утечки все же случаются, очень важно, чтобы банк не сидел, сложа руки и думая, что никто не заметит, а работал. Для нас как регулятора самый важный аспект заключается в том, насколько финансовая организация способна вовремя выявить проблему, локализовать ее и исправить. Что для этого нужно? Прежде всего, понимание того, что проблема есть и ею надо заниматься на всех уровнях. Чтобы и руководитель, и исполнитель понимали, что и для чего они делают.
— А что по этому поводу говорит закон?
— В Уголовном кодексе РФ есть статья 163, которую можно инкриминировать тем, кто либо устраивает атаки на банки, либо так или иначе способствует им. Важно, чтобы при выявлении каждого такого случая пострадавшая сторона — то есть банк — доводила дело до суда. К сожалению, так поступают не все. Да и если доводят, толку от этого немного, статья считается легкой, и приговоры по ней чаще всего условные. Это даже отдаленно не сопоставляется с последствиями утечки огромной базы данных — все равно что за ядерный взрыв в центре города наказывать штрафом. Поэтому позиция Банка России проста: статья должна быть доведена как минимум до средней тяжести. Как минимум. И еще очень желательно добавить к наказанию запрет на занятие определенными видами деятельности — в первую очередь, на финансовых рынках. Причем не только для тех, кто непосредственно выложил, например, клиентские данные в открытый доступ. Представьте себе, что кто-то не убрал с крыши снег, наступила весна, снег сошел и покалечил прохожего. Кто за это отвечает? Не только дворник, не сделавший свою работу, но и его начальник, который проявил халатность. Банковские данные, как показывает опыт, намного тяжелее любого снега. И бьют больнее.
— Если сейчас банки, опасаясь репутационного ущерба, часто стараются не афишировать случаи взлома, маскируя их под проблемы со связью, с сервером и так далее, то что будет, если эти поправки будут приняты? Готовы ли вы к тому, что сокрытий инцидентов станет только больше?
— Думаю, не станет. Разумеется, организации могут решить, что скрыть проще, чем сделать все по правилам, но уверяю, у нас есть механизмы, способные выводить все на чистую воду. Не так давно был случай, когда мы узнали о хищении денег из одного банка, обратились к ним — и оказалось, что о самом факте кражи они только от нас и узнали. Тут, конечно, речь идет не столько о сокрытии, сколько о халатности, но если мы вдруг выясним, что банк знал о проблеме и пытался ее утаить, разговор будет вестись уже по-другому. Потому что допустить просчет и исправить его — это одно дело, допустить и не обратить на него внимание — другое, а допустить и попытаться скрыть — третье.
В целом, если говорить о репутационных издержках, Банк России в ходе разбирательства никогда и ни при каких условиях не выдает в публичное пространство сведений о том, кто, где и как. Потому что банк — это не финансовая пирамида, где наша работа как раз сводится к тому, чтобы их не стало. В банках нас интересуют две основные вещи. Во-первых, инцидент может оказаться — и скорее всего окажется — не уникальным. Вполне вероятно, что с аналогичной ситуацией уже сталкивался кто-то другой, и почти наверняка с ней кто-то столкнется в будущем. Для этого нам нужна информация, чтобы можно было сказать: «Вот такое может быть, мы с таким уже сталкивались, готовьтесь действовать так-то». Задача номер два — нам важно знать, насколько банк способен выявить, локализовать и устранить инцидент, как это влияет на его финансовую устойчивость. Также очень важно знать, кто действительно понимает связь инфобеза с деятельностью банка, а кто внедряет эти инструменты, что называется, «для галочки».
— Такое часто бывает?
— К сожалению, мы сталкивались и с такими случаями. Но их меньшинство — большая часть руководителей сегодня осознает прямую связь между безопасностью в цифровом пространстве и безопасностью в целом.
Федор Туров
Континент Сибирь, 28.09.2021