Директор по ИБ «Московской биржи» Сергей Демидов — о росте кибератак и новой стратегии защиты в интервью TAdviser
«Московская биржа» ожидает 15 млн розничных клиентов к концу 2021 года. И по мере того, как она прирастает клиентами-физлицами, увеличивается и ее привлекательность для киберпреступников. А пандемия только подливает масла в огонь. О том, с какими вызовами в области ИБ столкнулась «Московская биржа», и как отвечает на них, в открытом интервью на конференции TAdviser IT Security Day рассказал Сергей Демидов, директор департамента операционных рисков и информационной безопасности этой организации.
Демидов
Сергей, расскажите, пожалуйста, вкратце о «Московской бирже» и масштабах ее деятельности.
Сергей Демидов: Я достаточно много рассказываю о «Московской бирже». Это, действительно, уникальный институт. Мы являемся инфраструктурой финансового рынка, через нас проходят колоссальные объемы денег. Например, наш итог торгов за март — 90 трлн рублей. При этом в пиковые дни объем торгов достигает 4 трлн рублей. У нас есть отчасти юмористический слайд, на котором мы сравниваем этот объем с другими значениями и, например, объем финансирования государственной космической программы на 5 лет составляет 2,5 трлн рублей, а у нас дневной объем — до 4 трлн.
Мы помогаем государству выполнять роль по работе финансовой системы. Через нас свободные денежные средства размещает Федеральное казначейство, Пенсионный фонд тоже получает доходы и помогает экономике работать; конечно же, Центральный банк осуществляет денежную кредитную политику. Но при этом мы, по сути, являемся и ИТ-компанией. Теперь уже нет людей, который стоят и показывают руками процессы купли-продажи. Всё это происходит автоматически на платформах. При этом мы обеспечиваем в этой системе, условно, центральное звено. У нас есть большая машинка, вокруг которой образуется инфраструктура, причем даже не наша, а паутина систем участников торгов и их клиентов.
Рынок двухуровневый: нашими непосредственными клиентам являются профессиональные участники рынка ценных бумаг, такие как банки, брокеры, а их клиенты — физические лица, компании из реального сектора производства. В 2021 году у нас случился рекорд — у нас 12 млн физических лиц. Соответственно, большая разрозненная паутина систем, где в центре находимся мы — это и есть «Московская биржа».
Сергей, давайте посмотрим на «Московскую биржу» как на некий процесс. У процесса есть показатели эффективности, метрики. Обеспечение ИБ как-то влияет на них? Киберугрозы, кибератаки — как вы справлялись на протяжении 2020 года?
Сергей Демидов: Критерием эффективности любой финансовой организации, публичной организации является доходность. Наши акции обращаются на нашей же бирже, их можно купить и даже заработать на этом. Доходность у нас достаточно хорошая, и 2020 год стал для нас просто рекордным. Наверное, даже с самого начала существования биржи такого роста не было. Это случилось и благодаря тому, что упомянутые выше 12 млн граждан пришло на этот рынок. Показатели бешеные: фондовый рынок в объемах торгов вырос на 73%, валютный рынок — на 26%, что нетипично. Срочный рынок, самый привлекательный для физических граждан, вырос на 80%. Поэтому для нас как для организации 2020 год стал самым лучшим с точки зрения доходности.
Но с учетом того, что мы идем в ритейловый сегмент, мы начали замечать, что, действительно, активировались злоумышленники. Мы измеряли и видели, что за последние три года число таргетированных атак с использованием, в том числе, средств социальной инженерии в отношении клиентов, росло постоянно. За 4 года их количество выросло на 60%. На апрель 2021 года же всё ускорилось: выросло на 30-35% за год. Чем рынок интересней, больше и чем он более ориентирован на работу с физлицами, тем сильнее он интересует киберпреступность. Игорь Лейпи, ГК Softline: Объем поставок российских операционных систем в ближайшие годы увеличится как минимум вдвое 
Есть еще одна группа атак – это все вещи, связанные со спонсированными атаками. К сожалению, мы, как часть инфраструктуры финансового рынка, очень подвержены им.
Когда началась пандемия, гонка вакцин, когда президент США сказал, что они будут отвечать на кибератаки, мы сразу ощутили на себе, что тоже кое-кому интересны: снаружи начали «щупать» наш сайт и весь периметр сетевых адресов. Поэтому ситуация двойственная: доходы растут, интерес граждан к инвестициям на организованных торгах повышается, но растет и интерес злоумышленников к нам, как к площадке, которая эти торги организует.
В период пандемии общее количество атак, действительно, возросло, это тренд. Какие цели чаще всего преследовали преступники, атакуя ваши сервисы?
Сергей Демидов: Трудно выделить какой-то один профиль. У нас целая паутина сервисов, под угрозой все. Но если говорить именно о 2020 годе, то я бы отметил проблемы по порядку. Первое: когда начался выход на удаленную работу, мы были готовы, так как уже давно внедрили программу по непрерывности, даже сертифицировались по международному стандарту, но оказались неготовы сотрудники. Мы их тренировали, с инфраструктурой тоже проблем не было — в течение недели около 90% сотрудников ушли на удаленку.
И тут мы заметили, что дома сотрудники иначе осознают угрозы. Дома человек находится немного в другой реальности, у него другое мироощущение. Письма с фишингом выросли в разы буквально за март и апрель. Мы поняли, что дело плохо и начали менять подход: говорить с людьми по поводу опасностей почти каждую неделю.
Вообще, мы регулярно проверяем своих сотрудников: рассылаем им письма самого разного содержания, отрабатывая у них навык реакции на фишинг. Например, проектные команды получают сообщение от Демидова Сергея, то есть от меня: «Новые требования по ИБ к проекту», и в нем всякие неправильные ссылки. И что вы думаете? Половина покупается!
Эта борьба будет вечной. Мы много учим, но и фишинг не стоит на месте, он развивается. В письмах были хорошие подделки, вещи, затрагивающие ковид или вакцины, особенно пока их ещё не было. Людей начали ловить на этот крючок.
Но в той же истории, рассказанной выше, есть и плюс: другая половина не поверила и писала нам. Мы поощряем стремление сотрудников информировать нас и реагировать на подобное. Благодаря этому фишинговые атаки лучше видны.
Второе, что было обнаружено с точки зрения нетипичных атак именно за время пандемии — это история с биржами мира. История прикольная, если можно так выразиться, и, к счастью, она произошла не с нами. Новозеландская биржа ушла на удаленку, и этим тут же воспользовались хакеры, которые знали, что местное законодательство относительно удаленной работы очень строгое, и сотрудники не могут просто взять и прийти в офис самовольно. Преступники начали атаковать инфраструктуру удаленного доступа, и смогли остановить работу биржи на полторы недели. Это небывалое событие в мировой индустрии!
Новозеландская биржа является крупным куском экономики всей Новой Зеландии. Государство вынуждено вмешалось, были задействованы вооруженные силы. Но пока этого не сделали, работа стояла, а хакеры требовали выкупа в биткоинах.
Когда мы узнали про эту историю, то стали по своим каналам узнавать у других бирж, как дела. Оказалось, что это массовое явление. Мы тут же перешли в режим повышенной боевой готовности, ожидая, что это начнется и у нас.
В конце 2020 года вы утвердили и согласовали новую стратегию развития информационной безопасности до 2024 года. Понимаю, что документ может быть закрытым, но возможно озвучить 2-3 аксиомы или вектора, которые вы определили для себя как стратегически важные на эти три года?
Сергей Демидов: Сама по себе история не новая. Когда мы создавали комплексное ИБ на бирже ранее, тогда у нас была первая стратегия, а это уже третья. Мы не только утвердили ее, но и уже начали реализовывать. В основе этой стратегии лежат 4 столпа. Первое, что учитывается — бизнес-стратегия самой компании. Биржа на апрель 2021 года захватывает три направления: развитие текущих рынков и новых инструментов внутри них, поиск новых клиентов — если пока мы больше работаем с профессионалами рынка ценных бумаг, то в будущем планируем развивать работу с корпоративными клиентами, которым тоже нужны новые методы инвестирования, и третье направление — ритейл.
Мы одни из немногих бирж мира, которые по-серьезному двинулись в настоящий ритейл. С 2017 года Банк России реализует проект маркетплейсов. Под маркетплейсом подразумевается возможность создания полностью дистанционной платформы, где физическое лицо может производить любые операции: сделать вклад, получить страховку — словом, воспользоваться любым продуктом финансовой организации.
При этом было много сложностей. Например, физическая идентификация. Вы не можете стать клиентом банка, не пройдя такую идентификацию. Пока это обходят с помощью курьеров. А уж чтобы стать сразу клиентом нескольких банков — об этом даже речи не было. Но в 2020 году был принят соответствующий закон, и нам это позволило запустить первый в России маркетплейс данного типа. Он называется «Финуслуги», можете зайти на сайт и сделать депозит. Там одно из самых дешевых в России ОСАГО, рекомендую посмотреть. Сам пользуюсь и экономлю.
Надо понимать, что, идя в ритейл, мы получаем новые риски и новые варианты фрода. И начиная работать с «корпоратами», мы тоже сталкиваемся с новыми вызовами. Например, оказалось, что они более требовательны к сервисам, к тому, что называется пользовательским опытом. Для того, чтобы их привлечь, мы должны изобретать новые сервисы надежной аутентификации, но такие, которые, к тому же, удобны для них, а для нас — безопасны.
Второй столп — это ИТ-стратегия. ИТшники понимают: если у бизнеса есть три направления развития, то под каждый надо адаптироваться и им. В результате решили сделать «двухскоростное ИТ». «Первая скорость» подразумевает, что мы обеспечиваем надежность и доступность ключевого бизнеса. Мы не можем применять здесь гибкие методы разработки, иначе потеряем в надежности. Нельзя применять половинчатый функционал, он должен быть сразу полным. Но, с другой стороны, когда идешь в сегмент ритейла, нужно постоянно пробовать новые продукты. Поэтому «вторая скорость» подразумевает эксперименты.
Мы разделились. На одном конце у нас безопасная разработка, воспетая ФСТЭК, применяются стандартные практики в рамках ИТ — waterfall. А на другом конце используются гибкие методы.
Третий столп в нашей стратегии — актуальные угрозы. Для нас это фишинг и социнженерия, таргетированные атаки. Это борьба щитов и копьев, пока тяжело сказать, кто побеждает.
Плюс для нас важна динамика изменения ИТ — это тоже среди угроз. У нас количество изменений ИТ растет на 20-30% в год, у нас нет свободных выходных, потому что каждые выходные проводятся изменения. А изменения могут поменять на раз весь ландшафт безопасности, просто по щелчку пальцев. Это надо контролировать, иначе буквально за пару недель всё изменится до неузнаваемости, и мы не уследим.
Мы много инвестируем в тему искусственного интеллекта и в анализ поведения, потому что человек своими глазами все эти точечные непрерывные изменения отлавливает всё хуже и хуже, не видит мелкие спайки внутри шума сетевого трафика. Поэтому в следующие четыре года это будет важным направлением: мы хотим научиться контролировать динамическую ИТ-среду.
Четвертое направление стратегии — это регулирование. Куда же без него. Все понимают, что оно действительно давит. И Банк России, получив большие полномочия по регулированию ИБ, заметно активизировался. Как можно заметить из сообщений СМИ, он идет не только в финансовый сектор. В своем консультативном докладе Банк России уже замахнулся на то, чтобы регулировать ИТ-компании типа «Яндекса» или Mail.ru.
Мы должны соответствовать всем этим требованиям. Но у нас есть и особая роль. Находясь в центре паутины, мы должны помогать рынку адаптироваться к данному регулированию. Через ИТ-комитеты, через работу с участниками торгов мы много инвестируем в этот процесс. Мы помогаем понять, как нужно трактовать тот или иной норматив и готовы устраивать консультации с Банком России, создавать рабочие группы для встреч с законотворцами и находить общий язык.
У «Московской биржи» есть «дочка» — «МБ Защита информации», предоставляющая услуги в области ИБ. Какие именно услуги и по какой модели она предоставляет? Как выстроено взаимодействие между ней и «Московской биржей»?
Сергей Демидов: Специфика работы биржи заключается в том, что участники торгов должны иметь максимально быстрый доступ к торговому ядру биржи. При этом важна не только скорость, но и так называемый jitter —предсказуемость прохождения сигнала по каналам связи. Всё это накладывает очень специфичные требования на каналы связи, используемые в организации. И, в то же время, при тех объемах, которые проходят через биржу, очень важна безопасность данных. Поэтому была создана дочерняя компании «МБ защита информации», которая является лицензированным оператором связи и которая оказывает услуги связи клиентам биржи и другим компаниям группы «Московская Биржа», обеспечивая при этом защиту информации.
Кроме того, «Московская Биржа», по своей сути, является ИТ-компанией и сама разрабатывает свое ПО. Теперь, когда с этого года вступили требования Банка России к безопасной разработке, и все продукты Биржи должны проходить оценку по так называемому «оценочному уровню доверия» (ОУД4) в рамках ГОСТ 15408, «МБ защита информации» также имеет лицензии на проведении подобной оценки. Но сначала мы сфокусируемся на том, чтобы провести оценку своего ПО, хотя в будущем, скорее всего, сможем оказывать подобные услуги и другим компаниям.
«Московская биржа» проходила сертификацию, в том числе, по международным стандартам информационной безопасности. Как отличаются российские стандарты в области ИБ от международных? Приведите, пожалуйста, основные отличия.
Сергей Демидов: Да, действительно, «Московская Биржа» сертифицирована по международному стандарту ISO 27001, причем в область сертификации вошли основные виды нашей деятельности — «проведение торгов и клиринга». Процесс сертификации мы начали тогда, когда еще не было четких требований по ИБ к организаторам торгов со стороны Банка России, но уже тогда мы понимали, что нужен ориентир, на который нужно равняться при построении системы информационной безопасности. Такой ориентир важен при демонстрации корректности выбранного пути построения ИБ как руководству компании, так и инвесторам и акционерам.
Если говорить о разнице между соблюдением международных и российских стандартов и требований, то она, скорее, в методике оценки соответствия, то есть в том, как именно тебя проверяют. В РФ больше смотрят на формальное соответствие и четкое соблюдение всех пунктов требований, в то время как по международным стандартам и требованиям часто действует принцип «соблюдай или объясняй», что позволяет в отдельных случаях не соблюдать требования буквально, объяснив проверяющим, какие компенсирующие методы используются для того, чтобы в полной мере достигать целей обеспечения информационной безопасности.
В последнее время мы видим, что регуляторы в РФ тоже становятся более гибкими. Надеюсь, что в скором времени, мы так же, как и за рубежом, сможем строить информационную безопасность более гибкими методами, подстраиваясь под актуальные угрозы.
