2015/06/16 13:57:39

Интервью с вице-президентом по безопасности Тинькофф Банка

Число пользователей корпоративными ресурсами с мобильных устройств в Тинькофф Банке за год выросло в два раза. Именно поэтому банк в 2014г. реализовал несколько масштабных проектов, один из которых призван увеличить безопасность информации на BYOD-устройствах. Внедренное решение позволяет держать всю рабочую почту в защищенном паролем контейнере. Передача сообщений осуществляется по защищенному каналу. Об этом и других масштабных проектах в интервью TAdviser рассказал Станислав Павлунин, вице-президент по безопасности Тинькофф Банка.

TAdviser: Станислав, какие виды киберугроз вы считаете наиболее характерными в банковской отрасли?

Станислав Павлунин: Для начала я хотел бы рассказать об особенностях бизнеса банка. Тинькофф Банк - это не классический банк, а ИТ-компания с банковской лицензией. У нас нет офисов, а все вопросы, возникающие у клиентов, решаются дистанционно. В штате банка есть большое количество разработчиков, администраторов систем, представители сторонних организаций, которых мы привлекаем на аутсорс. Нам необходимо контролировать сотрудников, работающих удаленно. Таких специалистов мы контролируем на точках входа в инфраструктуру банка. Деятельность сотрудников, имеющих удаленный рабочий доступ к внутрикорпоративным системам, также контролируется.

Для нас характерны риски, которые присущи ИТ-компаниям. Также в тренде целевые атаки, которые бок обок идут с социальной инженерией, и DDoS-атаки, которые никуда не исчезли. С этими явлениями работать гораздо проще, чем с вирусами, которые злоумышленники пишут для целенаправленных действий. Стандартные антивирусы не обнаруживают зловредных объектов, которые написаны для объекта атаки. Системы, которые позволяют фиксировать такие целевые атаки на конкретную финансовую организацию и выявлять риски на лету – это другой класс безопасности.

TAdviser: Если Тинькофф Банк - ИТ-компания с банковской лицензией, то с помощью каких инструментов вы обезопасили себя от рисков, присущих классическим банкам?

Станислав Павлунин: Безусловно, в Тинькофф Банке есть классическая часть, которая характерна для любого банка, – это DLP-система, антивирусная система, система доступа пользователей к базам данных, контроль пользователей, которым доступны различные подключения, дополнительные опции, такие как ICQ, Skype и так далее. Также есть составляющая, обусловленная спецификой работы банка. Что касается конкретных решений, то мы используем продукты ведущих мировых вендоров, входящих в аналитические отчеты агентства Gartner.Российский рынок CRM-систем: оценки, тренды, крупнейшие поставщики и перспективы. Обзор TAdviser 149.2 т

TAdviser: Как регулярно вы проводите аудит безопасности в банке?

Станислав Павлунин: У нас есть несколько регулярных аудитов. Есть аудиты информационной безопасности, которые мы обязаны совершать в сроки, регламентированные регулятором – Центральным банком России. Как правило, такая проверка проводится один раз в год.

Существуют аудиты безопасности, которые мы организуем в отношении ряда критических систем в течение месяца или квартала. По внутреннему регламенту проверка систем проводится раз в три месяца.

TAdviser: Какие крупные проекты в сфере безопасности вы внедрили в 2013-2014 г?

Станислав Павлунин: Мы внедряли множество проектов в сфере информационной безопасности в 2013-2014 гг.

Например, мы реализовали проект по внедрению системы класса Mobile Device Management. Многие сотрудники банка хотят иметь доступ к почте, отвечать на сообщения, быть мобильными и эффективными вне офиса. Раньше доступ на устройство выдавался через почтовый сервер. При такой реализации существовали риски утраты рабочих файлов и данных в результате пропажи или кражи самого устройства. Вся информация шла по «незащищенному» каналу связи. Варианты перехвата могли быть самыми разными.

Мы долго искали решение на рынке, обратились к оценкам Gartner. В итоге мы остановились на одном из пяти вендоров. Это решение позволяет всю рабочую почту держать на устройстве в защищенном паролем контейнере. В контейнер помещаются рабочий календарь, почта, заметки. Передача почты с сервера банка на конечное устройство осуществляется по защищенному каналу.

Если пользователь потерял устройство, то не всегда сразу сообщает в службу поддержки, что у него были установлены мобильные корпоративные сервисы Тинькофф Банка. А здесь оператор по безопасности через MDM может оперативно отреагировать.

Концепция BYOD активно развивается, ведь Тинькофф Банк стремится быть на шаг впереди классических игроков. Год назад пользователей BYOD было порядка 150, а сейчас их количество превышает 300. В прошлом году специалисты банка окончательно внедрили DLP-систему, докупив модуль для контроля над e-mail, web-трафиком, удаленными рабочими станциями и конечными пользователями.

В 2014г. была внедрена SIEM-система. Она позволяет собирать и коррелировать все логи со всех устройств сети, которые есть, показывать правила, нестандартные ситуации и незамедлительно информировать о нештатных ситуациях офицера ИБ. SIEM-система обрабатывает логи и производит корреляцию. Оператору теперь ни к чему тратить время на ручной поиск объектных инцидентов: система предоставляет некий предварительный результат, с которым специалисту необходимо ознакомиться и принять решение.

Это некий web-шлюз внутри банка, по которому в защищенном режиме записываются логи о входе в корпоративные системы удаленных сотрудников и администраторов. В случае инцидента, мы конкретно можем найти причину и сделать выводы на будущее, чтобы избежать аналогичных последствий.

В прошлом году мы завершили проект по защите баз данных. Для этого мы приобрели и внедрили серьезное решение. В первую очередь защищаются те базы, где содержится критически важная информация по клиентам. Инициатором всех проектов, связанных с информационной безопасностью, был департамент безопасности банка. В его состав входит управление информационной безопасности, которое взаимодействует с ИТ-подразделением.

TAdviser: Какие проекты в сфере информационной безопасности вы планируете реализовать в 2015г.?

Станислав Павлунин: Один из крупнейших проектов, который сейчас на стадии реализации, это защита от APT-атак. Мы долго тестировали большие, сложные системы, которые позволяют отлавливать специфические атаки и противодействовать им. Возможно, количество пользователей корпоративными системами возрастет, в связи с чем получит развитие MDM-решения.

TAdviser: Разделяете ли вы инциденты по виновникам и каналам происшествий?

Станислав Павлунин: Конечно, у нас принято разделять виновников на внешних и внутренних, а инциденты – по каналам, поскольку необходимо понимать, как предотвращать возможные атаки на банк и минимизировать количество рисков. У нас все автоматизировано в плане информационной безопасности, мы также проводим постоянный анализ и улучшаем процессы ИБ.

Основные каналы, которые подвергаются рискам – это наиболее важные коммуникационные системы. В первую очередь речь идет о корпоративной почте. Если проблемы спама решаются специализированными средствами, то для предотвращения утечек информации у нас есть DLP-система. Риски того, что специалист банка может умышленно или не осознанно отправить служебную информацию по почтовому каналу, существуют всегда.

Второй важный канал взаимодействия сотрудников с банком – web-канал. Здесь также мы все тщательно контролируем. В зависимости от функционала, сотрудникам предоставляется различный доступ в интернет, а некоторым работникам разрешен только определенный список сайтов. За последний год количество нарушений со стороны персонала заметно сократилось. Я уверен, чем больше сотрудник знает о правилах работы в банке и информационной безопасности, тем меньше он что-то нарушает.

TAdviser: Как вы повышаете грамотность сотрудников? Основаны ли лекции по информационным безопасностям на реальных кейсах?

Станислав Павлунин: Действительно, для сотрудников банка мы запустили учебную программу. Обучение в обязательном порядке проходят новые специалисты, получая необходимые навыки по работе с корпоративной почтой, интернетом, со съемными носителями, антивирусной защитой и так далее. Программу мы сделали интерактивной, чтобы она действительно была интересной для слушателей.

Иногда основой для лекций становятся случаи из нашей практики. Например, в прошлом году банк подвергся мощной DDoS-атаке. Специалисты по информационной безопасности установили исполнителей и совместно с правоохранительными органами привлекли их к уголовной ответственности. Из этого кейса мы сделали хороший урок для слушателей и вынесли урок для себя.

Мы усилили внешние системы и наладили взаимодействие с компаниями, которые предоставляют специализированные услуги по чистке трафика от DDoS-атак. Как правило, мы изменяем учебную программу раз в полгода, модернизируем ее или убираем устаревшие элементы.

TAdviser: Станислав, приветствуете ли вы применение практику привлечения anykey- специалистов в сфере информационной безопасности?

Станислав Павлунин: Привлечение anykey-специалистов в сферу информационной безопасности – достаточно спорный вопрос. Конечно, этот подход приветствуется любой коммерческой организацией, где не может быть большого количества сотрудников, как в Сбербанке.

Такие специалисты могут понадобиться в очень узких областях. Например, в рамках информационной безопасности есть одно из направлений – это средства криптографической защиты информации, работа с удостоверяющим центром, выпуск сертификатов, отслеживание жизненного выпуска сертификатов, оформление лицензий ФСБ и так далее.

Здесь как раз будет необходим anykey-специалист, который раньше работал в этой области и понимает всю специфику взаимодействия со спецслужбами. Да, время от времени мы привлекаем таких anykey-сотрудников.

TAdviser: Какие глобальные или локальные тренды будут определять процессы в информационной безопасности в ближайшие 2-3 года в близких вам отраслях: классическом банкинге и ИТ?

Станислав Павлунин: Я считаю, что произойдет усиление государственного регулирования банковской сферы. На мой взгляд, Центральный банк поступает правильно, когда усиливает регулирование. Компании, в свою очередь, будут противостоять возрастающим вызовам высокотехнологичных мошенников и хакеров. Все это будет происходить на фоне развития ИТ-отрасли и технологий. Вместе с этим, развиваются новые угрозы, которым мы вынуждены будем противостоять.