Александр Егоркин, Газпромбанк: Если мы немедленно проведем импортозамещение, бизнес-процессы встанут

Александр Егоркин: Задача защиты экосистемы банка распадается на две части: первая – безопасное программирование и DevSecOps-конвейер, в которых должны внедряться программные и аппаратные средства защиты; и вторая – повышение защищенности всех структур экосистемы, которые имеют с банком информационный или любой другой сетевой обмен.

С DevOps все понятно. Любой проект разработки приложений начинается с опросника. Партнеры дают свои ответы, из которых рождаются наши требования по защите приложения. Опросник очень детальный и по функционалу, и по архитектуре, и по количественным характеристикам – по всем параметрам системы. Наши требования по ИБ к указанным в ответах параметрам системы сопровождаются набором рисков, которые мы должны минимизировать своей линейкой продуктов.

Далее мы говорим партнерам: либо вы внедряете эти средства защиты, а мы это контролируем и руководим процессом (что-то внедряем мы сами, и это включается в стоимость системы), либо вы считаете, что система с таким обременением не взлетит, и тогда вы принимаете риски, монетизация которых рассчитана по утвержденной в банке методологии управления рисками, а банк резервирует под эти риски соответствующую сумму. Мы сравниваем, сколько стоит внедрение средства защиты, и сколько банк резервирует денег под остаточные риски. Считаем, что нам получается выгоднее, и принимаем решение.Игорь Лейпи, ГК Softline: Объем поставок российских операционных систем в ближайшие годы увеличится как минимум вдвое

Что касается экосистемы, у Газпромбанка огромное количество дочерних и зависимых обществ. Не меньше других партнеров, подрядчиков и прочих, взаимодействующих с банком, структур. Наш банк не торгует семечками и не оказывает сервисов информационной безопасности, в уставе у нас такое не написано. Устав мы менять не стали, создали внешнюю структуру – Центр противодействия киберугрозам (ЦПК). Она сделана настолько внешней, что формально с банком и не связана, но, тем не менее, ЦПК живет на средства банка и берет на себя задачи по предоставлению сервисов информационной безопасности всем, кому мы считаем нужным, для обеспечения безопасности банка.

Газпромбанком в свое время был составлен список дочерних и зависимых обществ, у которых большой и тесный трафик с банком. Причем есть компании, которые обрабатывают данные и в своей системе, и в банковской. У некоторых есть необходимость в перекачке больших объемов банковских данных в свои системы и наоборот. При таком тесном взаимодействии уязвимость дочерней структуры – это уязвимость банка.

В банке с таким положением не согласились. Мы потребовали существенно повысить информационную защищенность всех прямых связей с дочерними и зависимыми обществами, а также с подрядчиками, которые тесно взаимодействуют с банком. Это была наша недоверенная среда. Банк заинтересован в фильтрации их информации, приходящей к нам, и нашей, уходящей к ним.

Среда, может быть, и не доверенная, но бизнес должен все-таки работать. Нам пришлось классифицировать все предприятия экосистемы банка по профилю. В ней, например, есть организации банковского профиля, которые подпадают под требования Банка России и должны соответствовать всем стандартам и требованиям регулятора. Все, что банк делает для себя, должно делаться и для них. ЦПК готовы помочь этим организациям людьми, спецификациями, документацией и всем, чем нужно.

Есть общества, которые далеки от банковского профиля. Для них банк разработал три вида стандартов. У кого богатая ИТ-инфраструктура, насыщенный электронный документооборот – одни требования. Другие, в основном промышленные предприятия, где ничего нет, – там требования предъявляются по минимуму. Ну, и третьи, деятельность которых критична для функционирования банка. Для них уровень требований между первыми и вторыми.

Каждая из этих групп делится, в свою очередь, на три части. Первые – это те, которые ничего не понимают в информационной безопасности. С этими все идеально – раз ничего нет, то они и не возмущаются. ЦПК берет на себя весь их трафик, который идет по техническим каналам, и пропускает через свои системы защиты. Он все фильтрует и освобождает от атак, зловредов в почте, от спама, от всего. Это забота ЦПК.

На начальном этапе это ничего не стоит для партнеров, но когда порядок взаимодействия с такими структурами нормализуется, то это будет что-то стоить – партнерам придется платить ЦПК за услуги информационной безопасности. Но, скорее всего, это для них будет дешевле и проще, чем самим нанимать специалистов, закупать продукты, все это внедрять и налаживать, проходить аудит на соответствие и так далее. Они это готовы отдать на откуп специалистам ЦПК.

Вторая группа – противоположная: у них все есть, у них все сделано не хуже, чем в ЦПК. Тогда эксперты ЦПК проводят краш- и пентесты. По результатам составляется список уязвимостей и их специалистам посылается отчет обо всех обнаруженных уязвимостях. Затем ЦПК проводит аудит. Уже работает портал, где дочерние структуры могут провести самооценку по вопросам Центрального Банка. Будьте любезны ответить на 370 вопросов, а потом специалисты ЦПК придут к вам с аудитом, чтобы проверить, насколько правдиво вы ответили.

После такого взаимодействия налаживается более конструктивный диалог. Появляются запросы на сервисы, которые они самостоятельно сделать не могут. А если после проверки ЦПК у них все нормально, то они молодцы. Тем не менее, ЦПК устанавливает таким компаниям средства, которые снимают информацию с их информационных систем и передают в ЦПК всю оперативную информацию о трафике. Они могут видеть все события с признаками инцидентов у ЦПК в личном кабинете и самостоятельно реагировать на все.

Третья группа – самая проблемная. У них что-то есть, чего-то не хватает. Им тяжело расстаться с тем, что есть. Есть, например, всего один специалист, который недостаточно компетентен (по мнению ЦПК), и его надо бы уволить, но они этого сделать не могут. Есть какой-то арсенал внедренных средств, не согласующихся с архитектурой ЦПК, и т.д. Здесь также начинается диалог, аудит, заключение и рекомендации ЦПК, что нужно сделать. Также вырабатывается оценка, что они могут сами сделать, а что не могут. В общем, начинается торг и поиск компромиссов. В целом процесс идет.

Из тех, которые имеют интенсивный трафик с банком, практически все охвачены вниманием ЦПК. Их примерно десяток. Еще три десятка имеют менее активный, но чувствительный для банка трафик. Мы опасаемся вполне определенных, неприемлемых рисков. Они все выявлены и посчитаны. Краш-тесты регулярно проводятся специалистами ЦПК, причем на системной основе – это не разовые акции. Все новые уязвимости, о которых узнает ЦПК, они же и закрывают не только у нас в банке, но и настоятельно просят закрыть у всех ключевых партнеров.

У нас зависимых обществ сотни, а мы с помощью ЦПК защитили десятки. Но все остальные практически никакого трафика с банком не имеют, и их уязвимость для банка не критична, но это их (и наша) печаль. У них в лучшем случае с нами только система банк-клиент – они платежи проводят через нас. Банк-клиент у нас защищенный, там есть криптозащита, антифрод и т.д., там все хорошо. Поэтому 90% из чувствительных для нас предприятий экосистемы мы уже провели по описанной выше процедуре.

Остальные могут быть нечувствительны для банка, но иметь значительный вес в государстве. Например, промышленный завод: если их взломают и украдут секретные чертежи, то это будет важно для обороноспособности страны, но с банком у него кроме почты и платежных систем никакого взаимодействия нет. Мы будем опечалены их состоянием, ЦПК проведет аудит, очистит их почту, но полностью его защитить пока не в наших силах. И таких осталось довольно много. Это наше светлое будущее, но эта часть экосистемы сейчас не является дырой в защите банка.

Александр Егоркин: ИБ – всегда тормоз. ИТшник настроен на то, чтобы автоматизировать какой-то бизнес-процесс, чтобы было быстро, легко и удобно, и нажатием одной кнопки все становилось хорошо. У ИБшника задача противоположная – ему нужно обеспечить контроль и ограничения. Он устанавливает, что можно, а что нельзя, и если можно, то как. И то, и другое здоровый организм ИТшника и клиента не воспринимает. Они устают десять раз пароль набирать и выполнять другие меры предосторожности.

Защита – это всегда удорожание ИТ-проекта, увеличение сроков его внедрения и появление чего-то неудобного и для ИТшников, и для клиентов. Не может быть слияния ИТ и ИБ. У них разные задачи. Педаль газа с педалью тормоза не совместить. Можно, конечно, говорить, что тормоза придумал трус, но, тем не менее, без них движение будет стремительным, коротким и закончиться печально в кювете.

Мы рассматриваем ИБ как сервис: хотите защиту – получите, не хотите – ваши проблемы. Но есть определенные требования к защищенности со стороны регуляторов.

У нас в банке реализован риск-ориентированный подход. Если часть наших требований попадает в раздел невыполнимых, то есть нам говорят, что система с нашими требованиями не взлетит, то мы говорим, что наши требования должны были минимизировать вот такие риски. У нас есть алгоритм монетизации рисков, утвержденный в банке. По нему мы рассчитываем, сколько будет стоит банку принятие соответствующего риска.

Далее мы выясняем, кто владелец бизнес-процесса, который автоматизируется. Мы к нему подходим и спрашиваем: берешь на себя такие риски, чтобы банк отложил вот такую кучу денег на минимизацию этого риска? Если да, то вопрос закрыт, если нет, тогда необходимо пересмотреть средства автоматизации, провести реинжиниринг бизнес-процесса, изменить стоимость, сроки проекта, и в итоге внедрить необходимые механизмы защиты. Вопрос решен – никаких скандалов и сплошная дружба.

Александр Егоркин: Фраза о том, что украдены банковские деньги – вранье. У банков за последние 5 лет ничего не украли. Не было случая, чтобы была взломана какая-то банковская система, например, банк-клиент или связь с Центробанком, после чего, как было с национальным банком Бангладеш, где Lazarus увели $81 млн. У нас такого не было ни разу. Банки в России защищены более-менее грамотно.

Все, что украдено, украдено у конкретных клиентов банка преимущественно методами социальной инженерии. Когда цыганка, например, выманивает у своего клиента золотые серьги, цепочки и кольца, то почему-то ювелиров не обвиняют в этом. Сам же отдал цыгану? Здесь же инфоцыгане точно также разводят клиента, и он снимает деньги с депозитов, берет кредиты и тащит все им. Виноват ли в этом банк?

Давайте разделим статистику. Хищений денег у банков – ноль. У банков ничего не украли. А вот хищений у клиентов банков – это почти 16 млрд рублей^[1]. И часть из них точно пошла на финансирование ВСУ. Это государственная задача: где служба защиты граждан государства? Может, ее надо создать? Может, зря ее нет?

Если бы государство на себя взяло такую функцию, сейчас на всех каналах центрального телевидения каждый день в самое ходовое время должны были бы выступать жертвы мошенников и рассказывать, на что они клюнули. Как получилось так, что их, таких умных и грамотных, развели на раз. Дальше уходит жертва и приходит сотрудник МВД, который зачитывает объяснения, которые пишут эти жертвы. Это же просто приключенческий роман. «Меня спросили то-то. Я солгал. Я сказал, что я не нахожусь под влиянием третьих сил. Я солгал. Я в это время держал у уха трубку, где мне подсказывали, что отвечать». МВД должно дать оценку с правовой точки зрения.

Пока банк не возместил деньги клиенту, потерпевший – клиент. Если у банка средства защиты платежной системы соответствуют требованиям регулятора, банк не виноват. После возмещения денег клиенту банк становится потерпевшим, а клиент виновным, так как не выполнял требования банка, давал ложную информацию о платеже, намеренно вводил в заблуждение сотрудников банка.

Дальше должны выйти все те, кто являются фигурантами мошеннических сценариев. Представители ЦБ должны сказать, что нет у них «безопасных счетов», и с физическими лицами они вообще не работают. Должны выйти правоохранительные органы и также сказать, что они не проводят оперативных мероприятий с участием старушек, которым дают «секретные» задания по телефону. Почему они не выступают? Должны выступить.

Далее должны выступить представители банков и сказать: «Милые, мы же вас спрашиваем для вашей же защиты». Просто первыми, кто читает наши опросники, являются жулики. Они наши опросники знают наизусть. И когда звонят вам, то они вам диктуют ответы на наши вопросы. Разуйте мозги и подумайте. У нас такая подборка кейсов, что можно приключенческий роман в слезах писать. Так работает социальная инженерия.

Александр Егоркин: С моей точки зрения, это атомная бомба. Это печаль, которая пока еще не оценена ни руководством государственного уровня, ни руководством финансовых структур. Идея сбора биометрических данных после появления дипфейков вообще должна быть забыта навсегда.

Несколько секунд дурацкого разговора жулика с жертвой позволяют потом с помощью искусственного интеллекта построить любой текст устной речи голосом жертвы. И не так много секунд разговора надо. Достаточно просто грамотно построить исходный разговор, чтобы там были все правильные звуки и эмоции. После этого искусственный интеллект может произнести любой заранее написанный текст.

В банк для системы идентификации приходит оцифрованный код звуков и изображений. Цифры, которые создает искусственный интеллект, и цифры, которые рождает видиокамера, одни и те же. Нет абсолютно надежной системы распознавания дипфейков. И чем дальше будет развиваться генеративный искусственный интеллект, тем сложнее будет отличить дипфейк от реальности. Все, что сейчас еще можно заметить, уже в скором времени скроют. Набор цифр можно сделать таким похожим, что не отличить.

Я не вижу пока нормального способа защиты от этого. От биометрии, с моей точки зрения, нужно отказываться. Она ни как система идентификации, ни как система аутентификации сейчас не годится. Атака превосходит оборону на порядок.

Взламывают даже отпечатки пальцев. Были же случаи, когда сделали фотографию клиента, который сидел на трибуне стадиона или ипподрома, кричал и показывал соответствующий жест «Победа! Victory!». Этого оказалось достаточно, чтобы снять его пальцы с противоположной трибуны телеобъективом, потом воспроизвести отпечатки на правильные резинки, которые надеть на теплые пальцы, и нормально идентифицироваться. Никакой защиты от подобного мошенничества я не знаю. Это очень опасно.

Александр Егоркин: Было два «замечательных» предложения: дисквалифицировать больших начальников, ответственных за информационную безопасность, и накладывать оборотные штрафы на юридических лиц. При этом почему-то начальников выделили из всей остальной цепочки исполнителей. Может, есть смысл и на исполнителя посмотреть? Какой-то рядовой сотрудник банка сумел обойти систему защиты и скопировать базу данных. С моей точки зрения, начальника можно отлучить и отстранить за конкретные действия: если он не организовал защиту в своем юридическом лице, не внедрил все, что должен был внедрить, не привел системы в соответствие со стандартами и не прошел аудит.

Для сравнения, пожарным предписаны определенные действия: где должен висеть огнетушитель, какая должна быть ширина двери, что двери должны быть открыты в случае пожара и т.д. Если ты нарушил эти правила, получи наказание. А если юридическое лицо прошло все проверки, все аудиты, всему соответствует и все внедрило, и тем не менее – нет абсолютно защищенных систем – случился пожар (закидали коктейлями Молотова) или утечка персональных данных. Виноват ли в этом руководитель?

Любая система уязвима. Имея неограниченный ресурс в деньгах и во времени, любую систему можно взломать. Как утверждал Кевин Митник, любая самая защищенная система взламывается за 10 минут, пять из которых уйдет на нагрев паяльника в чувствительном месте системного администратора.

Защититься от своего системного администратора невозможно, даже если у тебя внедрены системы контроля привилегированных пользователей и все другие механизмы защиты. Риск всегда остается. Причем свои айтишники – это самые квалифицированные, самые знающие твою инфраструктуру, имеющие все необходимые и даже сверх необходимого полномочия нападающие. Инцидент с их участием будет без превышения официально полученных прав доступа. После этого начальника ИБ можно менять хоть раз в неделю, и ничего не изменится в лучшую сторону. С моей точки зрения, посыл наказания руководителей ИБ ошибочный.

Александр Егоркин: То же самое касается и оборотных штрафов. Если юридическое лицо действительно пренебрегло рекомендациями, не обратило внимание на стандарты, не прошло аудиты, и так далее, не вопрос – наказывайте. Но если что-то произошло, то давайте разберемся.

В нормативной базе нет ни одного слова о расследовании. Что такое утечка? Описание одного лица – это утечка? Мы сейчас внедряем систему, которая обнаруживает перед экраном, на котором работают платежные и банковские системы, наличие фотоаппарата или смартфона, чтобы предотвратить фотографирование чувствительных данных. Но вообще-то нащелкать с экрана данные каких-то клиентов в других системах возможно – вот тебе и утечка. И ее никак не заметишь и не предотвратишь.

Мне бы хотелось, чтобы расследование подобных инцидентов проводил квалифицированный орган. Но кто такими расследованиями мог бы руководить? МВД? А у них хватит квалификации? Роскомнадзор или кто-то еще? И они должны доказать, что это именно утечка, именно из этого банка и именно по вине должностного лица, а не компиляция неизвестных данных из устаревших источников, особенно, если речь идет о повторной утечке.

Жулики же тоже друг друга обманывают – продают друг другу разные непонятные данные. Этот законопроект, мне кажется, не продуман системно. Изменения еще не введены, но от этого не менее тревожно.

Александр Егоркин: Все, что наработано всем человечеством с участием нашей страны за последние 40 лет, взяли и назвали импортным и гордо сказали, что мы отказываемся. Обидно и несправедливо. И мы теперь должны за год заново слепить все, что человечество сделало за 40 лет. Причем должны сделать то же, но в одиночку и за указанный достаточно короткий срок. Давайте назовем все, что сделало человечество, а у нас осталось в эксплуатации, трофейным, провозгласив при этом тезис: «Давайте построим защищенную ИТ-среду из недоверенных трофейных компонентов». Это возможно.

Можно сделать так, что вектор атаки не построишь через уязвимости в трофейных продуктах. Для этого, во-первых, нужно использовать правильные инструменты защиты, во-вторых, сделать реинжиниринг бизнес-процессов и пересмотр ИТ-ландшафта, что отчасти уже сделано. Дальше нужно постепенно избавляться от трофейного и ставить родное.

Но это родное должно соответствовать трофейному по функционалу, по нагрузочным характеристикам, по надежности работы. Сейчас оно не соответствует. Нагрузочные характеристики нередко в нем в сто раз меньше, чем те, которые нужны. Функционал на 50% меньше, чем нужно. Надежность у нас была четыре девятки, а отечественные и одну девятку не могут обеспечить. Мы 10% времени тратим на то, чтобы восстановить работу системы после сбоя, а ведь задача у нас была обеспечить непрерывность банковских бизнес-процессов. Если мы немедленно полностью перейдем на импортозамещение, то бизнес-процессы просто встанут.

В результате импортозамещения мы должны были повысить информационную защищенность. От каких рисков мы защищаемся, отказываясь от импортного? Риска всего три: они нам не продлят лицензии и не будут оказывать нам техобслуживание, и все устареет и умрет; они сами развиваются, а нам ничего нового не продадут; а вдруг они активируют недекларированные возможности, закладки, логические бомбы и так далее. Несомненно, все эти три риска актуальны, и мне даже странно, что до сих пор они не проявились в том масштабе, какой можно было бы ожидать. То есть они все проявились, но как-то вяло.

Систем, которые выпали в синий экран, в нашем банке одна – антиспам Barracuda. Лицензия была проплачена на 3 года, но перестала работать. Кто отказался продлевать лицензии? Практически все. Сколько систем, которые мы не смогли взломать и продлить себе лицензии до бесконечности? Ни одной. Они сейчас будут работать в трофейном режиме. Нашей квалификации хватило, чтобы избавиться от этого риска полностью. Но техобслуживание и обновление – это, действительно, сложный вопрос.

Можно было бы и накатить какое-то обновление, но вдруг в нем заложено что-то нехорошее. Мы проводим оценку – и динамическую, и статическую – всех обновлений, но все-равно риск есть. Но мы и раньше этим занимались, поэтому для нас ничего не поменялось. Эти риски сохранились.

А теперь вопрос: когда мы переходим на импортозамещение, эти риски уходят? Ни один из них не уходит. Все наши производители сейчас – в основном мелкие структуры с непродолжительным опытом работы и бизнеса. Они находятся в стадии слияния и поглощения в турбулентной экономической среде. В них работают «умники и головастики» – они что-то пишут и молодцы, замечаний нет.

Но можно ли ожидать, что если мы купим чей-то продукт, то на годы получим гарантии, что они будут работать на нас, писать исправления и обеспечивать техподдержку? Так нет же. Если бы кроме нас их купил, например, зеленый гигант, то он может купить не только отдельный продукт, но всю компанию целиком. В этом случае мы остаемся без продления лицензий, сопровождения, техподдержки и обновлений. Значит, этот риск не уходит.

Что касается недекларированных возможностей, то прошли те года, когда программист писал весь код от начала до конца. Сейчас используются готовые библиотеки. И если в импортных или открытых программных продуктах есть вредоносные закладки, то они именно там. И неважно, кто написал программу: русский, американец или индус. Закладки в зараженных библиотеках будут у всех. Все продукты, которые находятся в реестре Минцифры, проверяют только на «правоверность» создателя. Если владельцы наши, то хорошо.

Кто кроме нас проверяет, что исходный код может быть дырявым, не очень знаю. Думаю, что основные банки первой пятерки – скорее всего, они тестируют безопасность продуктов. А все остальные? Мне кажется, что они конкретно уязвимы, и это печаль для всей страны.

Я слышал выступление высокопоставленного руководителя Минцифры, который сказал, что в программе проверки исходных кодов мы достигли больших результатов: уже проверили 260 каких-то программных приложений. А нужно, чтобы их было 260 тысяч, и проверять их нужно после каждого установленного исправления.

В стране должны быть тысячи лицензиатов ФСТЭК, имеющих право и квалификацию проводить анализ исходных кодов, чтобы не годами ждать, а за день получать результат. Чтобы все компьютеризированные субъекты страны имели возможность в режиме онлайн проверять исходный код. Но сейчас я не вижу такого. Филиалы лабораторий лицензиатов ФСТЭК должны быть по всей стране. И только после проверки исходного кода приложения должны попадать в реестр российского ПО. Пока такая задача не озвучена и не ставится.

Александр Егоркин: Что касается, собственно, импортозамещения. У нас идут пилотные проекты практически по всем продуктам, которые надо импортозаместить. Мы средства защиты информации должны заместить до конца года.

Повторюсь: практически все импортозамещенные продукты не соответствуют нашим требованиям по нагрузочным характеристикам, по функционалу и надежности. Скорее всего, поднять их до уровня существующих, чтобы обеспечить непрерывность и уровень защищенности, до конца года не получится. Мы об этом писали, где могли, но нам говорили, что это не патриотично, и у нас нет веры в российских разработчиков. Вера есть.

Скорее всего, мы будем использовать продукты параллельно. Наверное, это выход. Да, действительно, начинаем боевую эксплуатацию отечественных решений, но за ними будут стоять вторым эшелоном трофейные.

Команды разработчиков молодцы. Они сидят днями и ночами, работают. Принимают наши замечания и требования, что нужно доработать и каким образом. К ним претензий никаких нет. Но и они не успеют все необходимое сделать, отладить, побороть «детские болезни».

У нас в параллель уже работают примерно 60% средств защиты, а до конца года мы запараллелим практически все. Оптимизм есть, шаги широкие делаем, но главное при этом штаны не порвать. Мы видим, что на первом этапе за приличные деньги получим снижение всего: качества, надежности и функциональности. Но очень радует, что развивается отечественная ИТ индустрия, и со временем мы точно будем впереди планеты всей.