Вячеслав Касимов — о том, как банки работают над информационной безопасностью

ЭкспертРепортаж

«Очень важный совет: никому не доверять!»

Директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов — о том, как банки работают над информационной безопасностью и что может сделать сам клиент банка для защиты своих счетов

Евгения Обухова, Любовь Маврина

Директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов

Вместе с удобством и экономией цифровизация банковских услуг принесла риски: теперь для того, чтобы ограбить банк, не нужно даже выходить из дома — достаточно найти лазейку в банковском ПО. В свою очередь, банки теперь охраняют не только свои физические отделения, но и виртуальные. О том, как это происходит, «Эксперту» рассказал Вячеслав Касимов, директор департамента информационной безопасности Московского кредитного банка.

— Как бы вы распределили по опасности и потенциальному объему потерь основные угрозы в плане кибербезопасности — клиентское мошенничество, происки киберпреступников, атаки на банк, атаки на клиентов, атаки на дистанционное банковское обслуживание (ДБО), инсайдерские инциденты? В каком направлении сейчас смещается основной вектор угроз?

— Мы рассматриваем четыре основные группы угроз. Это угрозы, связанные с атаками непосредственно на банк, когда злоумышленники ищут какие-то платежные системы, платежные шлюзы и стараются либо добавить туда платежи, либо модифицировать уже существующие. Вторая группа угроз — атаки на клиентов банка. Это и получение доступа к личным кабинетам клиентов в дистанционном банковском обслуживании (ДБО), и совершение переводов с карты на карту от имени клиентов. Еще одна группа угроз — атаки на банкоматы и терминалы для приема денежных средств. Это либо использование программных средств, которые выдают деньги без карт, либо какие-то программы, которые говорят от имени терминала: «У меня побывала такая карта, она пополнена на такую-то сумму, зачислите, пожалуйста». Процессинг может принять решение: «Зачисляем». Кстати, угрозы, связанные с скиммингом (в устройство для работы с картами встраивается специальная накладка, которая копирует карту, после чего остается только узнать пин-код — и можно карточку использовать, создав дубликат) сходят на нет по мере распространения чиповых карт, так как скопировать чип пока невозможно.

Четвертая группа угроз — разглашение клиентских данных. Здесь действует законодательство, связанное с соблюдением банковской тайны, в том числе с защитой персональных данных, как наше отечественное, так и требования Еврокомиссии (GDPR).

Банк платит, если виноват

— Как изменялись количество и объем атак и хищений?

— Злоумышленники начали активно атаковать банки в 2014 году. Тогда в фокусе их внимания были изменения платежной информации, когда во внешние платежи — в сведения, кому и сколько надо начислить, — в платежной системе корреспондентских счетов добавлялись платежи злоумышленников. Так как «приказы» приходили от имени банка, они исполнялись, происходило зачисление денежных средств в других банках. При этом было понятно, что виновен тот банк, который взломали и от имени которого были направлены соответствующие платежные инструкции. В таких трендах банковская сфера прожила несколько лет. Потом цель поменялась: в 2016 году злоумышленники стали атаковать процессинги (внутренние банковские системы совершения операций. — «Эксперт»). На картах искусственно увеличивали баланс, а дальше злодеи снимали с карт «надувные» денежные средства. Через год целью стал SWIFT — с валютных счетов деньги перечислялись на специально подготовленные счета юридических лиц в других банках. За этот праздник тоже платил атакованный банк, потому что, по сути, списания были с его счетов. Потом общими усилиями служб информационной безопасности в банках и «ФинЦЕРТа» (орган в ЦБ по информационной безопасности. — «Эксперт») этот тренд сошел на нет. Мы в прошлом году зафиксировали около 900 попыток целенаправленных атак на нас, которые успешно отразили.

— Это были атаки всех перечисленных типов?

— Да. Проникновение в банк происходит примерно одинаково — как правило, через почту. Отправляют вредоносное вложение работнику банка и определенными манипуляциями вынуждают открыть его. Дальше зараженный компьютер выбирает какую-то цель для финансовой атаки.

Фоновые атаки есть всегда — мы, например, сейчас фиксируем попытки кражи денежных средств у наших клиентов через систему ДБО. К счастью, неуспешные. Что касается атак на банкоматы и терминалы для внесения наличных, там все выглядит сезонно и какого-то тренда, связанного с откровенным ростом или, наоборот, падением, нет. Это единичные всплески, когда появляются определенные преступные группировки. Потом их успешно отлавливает полиция, и снова какое-то время ничего не происходит. Но так как предсказать, когда это произойдет, проблематично, все банки постоянно готовятся к отражению атак.

— Как выглядит со стороны банка работа по обеспечению безопасности, что в нее входит?

— Я пришел работать в МКБ чуть больше года назад. По результатам аудита (что есть, что умеем, что делаем, чего не делаем) была сформирована стратегия — это полновесное описание процессов, которые информационная безопасность в банке должна выполнять. У нас их всего 72. Под них рассчитаны необходимые людские ресурсы и технические средства. Естественно, названные четыре основные угрозы являются компонентами стратегии, также там «живет» принцип нулевой толерантности к мошенничествам, принцип четкого исполнения нормативных и регуляторных требований и еще один из главенствующих принципов — «запрещено запрещать». Если мы видим, что бизнес или ИТ хочет что-то сделать и это что-то полезное, но сама реализация не выглядит безопасной, тогда мы просто предлагаем альтернативную реализацию, которая будет более безопасной, но при этом позволит исполнить бизнес-цели.

— Всегда ли можно найти какое-то более безопасное решение?

— В общем, да. Не сталкивался ни разу с кейсами, когда хочется сделать что-то адекватное с точки зрения бизнеса и при этом невозможно сделать это безопасно. Единственное, что нужно предусмотреть, — чтобы цикл разработки банковских продуктов включал радиус нашего контроля. Что я имею в виду? Мы начинаем участвовать в разработке продукта в тот момент, когда появилась бизнес-постановка задачи. Здесь у нас происходит обсуждение вместе с бизнесом: насколько это правильно или неправильно и насколько корректный контроль заложен на стадии бизнес-постановки? Дальше мы совместно с ИТ прорабатываем, каким образом это будет реализовано технически, и вносим какие-то коррективы, если это необходимо. Наконец, наша команда проверяет эту реализацию с точки зрения потенциальных хакеров. Возможно нанести ущерб или нет? И только по результатам такого анализа вносятся доработки в прод (промышленную эксплуатацию. — «Эксперт»), и дальше решение начинает функционировать во благо клиента.

— Правда, что в подразделениях информационной безопасности работают бывшие хакеры, которые проверяют, могут ли другие хакеры взломать защиту банка?

— Я бы сказал, что работают люди, у которых в какой-то момент был выбор: либо встать на темную сторону силы, либо на светлую. Есть, конечно, прецеденты, когда хакеры меняли профиль и уходили в какие-то честные бизнесы, но что-то мне подсказывает, что человек, который однажды своровал, все-таки не самый лучший работник в банке. Да и наша экономическая и внутренняя безопасность этого не допустит, и тут я с ними буду согласен.

Доверие как фактор риска

— У обычных людей информационная безопасность выглядит так: мы не открываем письма с неизвестных ящиков, а если и открыли, то наш антивирус, особенно платный, должен это отловить. В банке это не так?

— Почта — это основной канал, через который пытаются атаковать, но не единственный. Есть же еще различные сервисы, которые доступны из интернета, те же самые системы ДБО, различные порталы для приема заявок от потенциальных клиентов, сайты и так далее, можно атаковать через них. Можно атаковать через третьи стороны. Например, есть интеграция у банка с каким-то партнером. И если банковский контрагент менее защищен, а банк не подумал о том, что нужно защищаться еще и от него, тогда можно ждать атаки с этой стороны. Если же говорить о собственно e-mail, то для целенаправленных атак используются вредоносы, которые не детектируются стандартным антивирусным ПО. У преступников есть специальные сервисы, которые не сообщают вендорам о найденных вредоносах, на них мошенники тестируют свои вложения, и поэтому стандартные антивирусы уже не спасают. В банках используются достаточно сложные решения под названием «песочницы». Стоят они дорого, работают хорошо: принимают входящее письмо и моделируют: что будет, если пользователь откроет такое вложение или пройдет по такой вот ссылке? Если «песочница» видит, что происходят странные действия, которые не должны происходить от обычного вордовского файла или при визите на определенный сайт, то она помещает письмо в карантин для ручного анализа.

— Какие есть правила в обращении с персональными данными для сотрудников банка?

— У нас основные действия нацелены на то, чтобы минимальное количество работников имело доступ к персональным данным. Мы прекрасно понимаем, что работника фронт-офиса (отдел по работе с клиентами. — «Эксперт») невозможно оградить от доступа к персональным данным клиента. Если мы говорим про отчеты, выгрузки из систем, то основное требование, чтобы там не содержались персональные данные. Если мы говорим про уровень наших прикладных систем, то это управление доступом: мы даем сотрудникам доступ только такой, какой нужен для выполнения их функций, и не больше. И если доступ совмещен с возможностью просмотра и изменения какой-то конфиденциальной или чувствительной информации, то мы должны знать, кто и к какой информации имел доступ. Завершающий штрих — система противодействия утечкам информации, которая запрещает копировать информацию из банка по определенным каналам и шаблонам, которые в нее заложены. Например, если в каком-то сообщении большое количество номеров телефонов, такое сообщение будет заблокировано и отправлено в ручной разбор, чтобы выяснить, нужно ли такое сообщение отправлять. Я думаю, что в основном все банки это делают. При обучении людей мы доносим до них, что персональные данные — это конфиденциальная информация, с ней нужно обращаться бережно, и в случае, если доступ к ней предоставлен, нельзя создавать копии и дополнительные места, где она хранится.

— Что касается защиты на стороне клиента, то основные правила известны: никому не сообщать пин-коды и коды из СМС, не передавать никому данные карты, особенно CVV-код и так далее. Но все-таки хищения происходят. Может, есть еще какие-то правила, которые позволяют обезопасить клиента?

— В дополнение к стандартным мерам безопасности есть простые советы: обновляйте операционные системы, не ставьте себе на телефон (ноутбук или настольный ПК) непроверенные приложения, не посещайте все подряд в интернете, не проходите по ссылкам от неизвестных источников и не открывайте неизвестных вложений. Я всегда смотрю на количество скачиваний и рейтинги приложений, чтобы понять, насколько они легитимны и востребованы. Это меня избавляет от установки фальшивого банковского приложения. Еще один очень важный совет для пользователей — никому не доверять. К сожалению, в последнее время хищения в основном происходят за счет фишинга и социальной инженерии. Но если особо никому не верить, то и пострадать достаточно сложно. Не нужно верить людям, которые говорят: «Здравствуйте, мы из банка! Назовите данные карточки, назовите пароль, который сейчас придет для того, чтобы мы проверили, что вы это вы, иначе случится что-нибудь плохое — заблокируется счет и так далее». Надо просто перезванивать в банк по номеру, указанному на обороте вашей карты. Этого достаточно — я так живу давно и каких-то инцидентов, связанных с попытками кражи, у меня, не было.

Предоставлено пресс-службой МКБ

Хочешь стать одним из более 100 000 пользователей, кто регулярно использует kiozk для получения новых знаний?
Не упусти главного с нашим telegram-каналом: https://kiozk.ru/s/voyrl

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Сын за отца Сын за отца

Что происходит с активами Владимира Когана после его болезни

Forbes
20 напоминаний тем, кто решил сдаться 20 напоминаний тем, кто решил сдаться

Если вы приготовились окончательно опустить руки, читайте этот список

Psychologies
Как заработать на инвестициях в общее благо Как заработать на инвестициях в общее благо

Социально ответственное инвестирование позволяет снижать риски

Forbes
Борис Минц пожаловался на жизнь на £10 000 в неделю и давление на его семью Борис Минц пожаловался на жизнь на £10 000 в неделю и давление на его семью

Бизнесмен Борис Минц считает, что на него и его семью оказывается давление

Forbes
Купленный Гуцериевым за $20 млн завод оценили в 1 рубль Купленный Гуцериевым за $20 млн завод оценили в 1 рубль

На конец 2018 года Афипский нефтеперерабатывающий завод мог стоить 1 рубль

Forbes
Замужем за ресторатором: опыт Елены и Антона Пинских от первого лица Замужем за ресторатором: опыт Елены и Антона Пинских от первого лица

Тяжело ли совмещать семью и бизнес и как оставаться в форме

Cosmopolitan
«Искусством лучше не зарабатывать». Как знаменитые фотографы монетизируют свое творчество «Искусством лучше не зарабатывать». Как знаменитые фотографы монетизируют свое творчество

В Москву приехал единственный русский фотограф международного агентства Magnum

Forbes
Как часы могут быть медленными или быстрыми? Как часы могут быть медленными или быстрыми?

Когда речь заходит о точности часов, все говорят об их скорости

GQ
«Тур де Франс»: велосипеды, машины и 250 чизбургеров «Тур де Франс»: велосипеды, машины и 250 чизбургеров

В Париже завершился «Тур де Франс»

РБК
Сколько времени детям можно проводить у экранов? Сколько времени детям можно проводить у экранов?

Сколько экранного времени положено в сутки детям разных возрастов?

Psychologies
Суд приговорил к восьми годам колонии бизнесмена, отсудившего у IKEA 25 млрд рублей Суд приговорил к восьми годам колонии бизнесмена, отсудившего у IKEA 25 млрд рублей

Суд приговорил предпринимателя Константина Пономарева к восьми годам колонии

Forbes
Годжи мой! Годжи мой!

Почему миндальное молоко, ягоды годжи и безглютеновые хлебцы нас не спасут?

Собака.ru
Даты выхода всех фильмов и сериалов Marvel на ближайшие два года Даты выхода всех фильмов и сериалов Marvel на ближайшие два года

А также полный список супергероев нашего времени!

Maxim
Ну и тела! Звезды, не скрывающие, что прошли липомоделирование Ну и тела! Звезды, не скрывающие, что прошли липомоделирование

Липопластика – это комплексный подход к коррекции тела и лица человека

Cosmopolitan
Что смотреть на кинофестивале «Стрелка» кроме Ксавье Долана и Кена Лоуча Что смотреть на кинофестивале «Стрелка» кроме Ксавье Долана и Кена Лоуча

Есть смысл запастись билетами в кино на неделю вперед

Vogue
«Читателю нужно, чтобы Пелевин писал каждый день». Генеральный директор «ЛитРес» о рынке электронных книг «Читателю нужно, чтобы Пелевин писал каждый день». Генеральный директор «ЛитРес» о рынке электронных книг

Интервью с генеральным директором «ЛитРес» Сергеем Анурьевым

Forbes
Друг Бориса Джонсона: Reuters узнал о роли экс-соратника Ходорковского в попытке отстранить Мэй Друг Бориса Джонсона: Reuters узнал о роли экс-соратника Ходорковского в попытке отстранить Мэй

Бывший акционер ЮКОСа Александр Темерко влиятельная фигура в британской политике

Forbes
Музыка нас связала. Audi S5 против Mercedes AMG E53 Музыка нас связала. Audi S5 против Mercedes AMG E53

Что решает в битве суперкаров?

РБК
5 признаков того, что ты плохо целуешься (даже если ты уверен в обратном) 5 признаков того, что ты плохо целуешься (даже если ты уверен в обратном)

Ты уверен, что она в восторге от твоих поцелуев

Playboy
С кислым видом С кислым видом

Кефир оздоравливает микрофлору кишечника и способствует похудению

Добрые советы
Тунис за семь дней: где остановиться, какие экскурсии выбрать и что посмотреть Тунис за семь дней: где остановиться, какие экскурсии выбрать и что посмотреть

Что, как и в каком порядке стоит посмотреть в Тунисе

Cosmopolitan
Как слушать музыку почти бесплатно: 4 лайфхака с Яндекс.Музыкой Как слушать музыку почти бесплатно: 4 лайфхака с Яндекс.Музыкой

Прошли времена, когда лицензионные альбомы стоили хороших денег

CHIP
Типичная российская катастрофа Типичная российская катастрофа

Крупнейшая железнодорожная авария царской России — Тилигульская катастрофа

Дилетант
В Майами начали строить первый жилой небоскреб Aston Martin с квартирами до $50 млн В Майами начали строить первый жилой небоскреб Aston Martin с квартирами до $50 млн

Первый жилой небоскреб от производителя суперкаров Aston Martin

Forbes
Ты узнаешь ее из тысячи Ты узнаешь ее из тысячи

Какие признаки верно укажут на то, что мы во власти Амура

Psychologies
Кейт Буш Кейт Буш

Правила жизни певицы Кейт Буш

Esquire
«Я трачу деньги не на вещи, а на опыт, который делает меня живым». Правила потребления инвестора Дмитрия Волкова «Я трачу деньги не на вещи, а на опыт, который делает меня живым». Правила потребления инвестора Дмитрия Волкова

Современные предприниматели живут и работают в новом мире, с другими ценностями

Forbes
Зачем слушать аудиосериал «Пост» Дмитрия Глуховского? Зачем слушать аудиосериал «Пост» Дмитрия Глуховского?

Дмитрий Глуховский рассуждает о грехах и учится быть диктором

GQ
Ни слова о «Лошарике». Как федеральные телеканалы рассказали о гибели 14 моряков в Баренцевом море Ни слова о «Лошарике». Как федеральные телеканалы рассказали о гибели 14 моряков в Баренцевом море

Как федеральные телеканалы освещают пожар на подлодке в Баренцевом море

Forbes
Черный лебедь не прилетит: повлияют ли субботние протесты на рынок и инвесторов Черный лебедь не прилетит: повлияют ли субботние протесты на рынок и инвесторов

Пока что уличные акции и котировки ценных бумаг — параллельные вселенные

Forbes
Открыть в приложении