Фото: пресс-служба Как киберриски сегодня корректируют работу интернет-банков и платежных систем, РБК+ рассказал директор по информационной безопасности и противодействию мошенничеству QIWI Алексей Юдин.
— Какова емкость российского рынка информационной безопасности и в чем основные тренды, его характеризующие?
— По разным оценкам, объем рынка информационной безопасности РФ в 2022 году составил от 100 миллиардов до 200 и более миллиардов рублей, его рост различные эксперты оценивают от 5 до 20% год к году. Такая динамика объясняется тем, что фактор кибербезопасности стал решающим не только для обеспечения стабильного функционирования систем внутри компаний, но и как критерий сотрудничества с партнерами при заключении сделок и обслуживании клиентов.
Одна из наиболее ярких тенденций — это автоматизация. В условиях нехватки специалистов по информационной безопасности продолжает развиваться модель MSSP, то есть безопасность как готовый сервис, который продается под ключ и приземляется на потребности конкретного бизнеса. Особенно актуальны такие решения для компаний, которые по тем или иным причинам не могут позволить себе большой штат специалистов по обеспечению безопасности.
Еще один важный тренд — развитие SSE-платформ, которые обеспечивают надежное хранение данных при работе с облачными сервисами. Распространению этого подхода способствует распределенная работа команд и удаленка. Сейчас такими платформами пользуется подавляющее большинство технологичных компаний, и финтех-индустрия не исключение. В рамках тех же SSE-платформ работает принцип ZTNA — для упрощения его часто называют «стратегией zero-trust», — который предполагает строго ограниченный доступ каждого сотрудника к определенному объему данных компании в зависимости от его специализации и задач.
Развитие таких решений можно объединить трендом на всестороннюю приватность: защищенность данных компании не только от внешних факторов, но и от сотрудников, которые могут неосознанно делиться данными в повседневной работе, если будут иметь к ним неограниченный доступ.
— В чем заключаются киберриски, которым подвергаются сегодня российские компании финансового сектора?
— К ключевому я отношу риск нарушения работоспособности или полного отказа систем. Речь о постоянных DDOS-атаках, которые с каждой неделей становятся все изощреннее. Нередко компании оказываются не готовы к новым атакам. В итоге страдает конечный потребитель, который не может в полной мере воспользоваться услугами.
Другая важная история — атаки на информационные системы с целью кражи персональных и платежных данных. Нередко мы видим в СМИ информацию о масштабных утечках данных пользователей у крупных организаций из разных отраслей экономики. Когда такие клиентские базы с персональными данными оказываются в открытом доступе, это болезненно как для пользователей, так и для репутации взломанной компании. Как правило, подобная информация используется злоумышленниками для атак методами социальной инженерии уже на отдельных пользователей.
Следствием утечек и хакерской деятельности становится необходимость для компании произвести «работу над ошибками», чтобы не допустить подобных инцидентов в будущем. Эта требует большого количества времени и ресурсов.
— Работает ли на практике импортозамещение в части обеспечения информационной безопасности?
— В области импортозамещения мы видим разную ситуацию с софтом и «железом». Государство много сделало для разработчиков программного обеспечения, и это дало результаты: сформировался обширный реестр отечественного ПО, он активно наполняется, и хотя пока не обеспечивает все потребности, но работа в этом направлении ведется, и уже есть позитивные результаты.
Другая ситуация с «железом»: для программно-аппаратных комплексов серьезные меры поддержки, аналогичные ПО, заработали только с этого года. У нас есть передовые дизайн-центры микроэлектроники, но при этом в стране острый дефицит производственных мощностей электронной компонентной базы с современным уровнем технологических процессов, нет своих фотолитографов. Сейчас запущен ряд проектов, строятся заводы в Дубне и Зеленограде. Но быстрых результатов в этой области добиться невозможно. Инвестиционный цикл здесь долгий. И на реализацию таких проектов требуется больше времени.
— Актуальный тренд последнего года — существенный отток квалифицированных ИТ-кадров за рубеж. Отразился ли он на компании?
— На QIWI эта ситуация не оказала существенного влияния. Еще с начала пандемии COVID-19 мы работаем в гибридном режиме. Наша компания придерживается политики «нулевого доверия» (zero trust), которая вот уже который год нас сильно выручает. У любого сотрудника есть строго определенный и ограниченный набор доступов. Каждое устройство максимально защищено: здесь и шифрование, и контроль удаленного доступа с точки зрения используемого оборудования, контроль средств защиты на самой точке доступа плюс жесткие ограничения по доступам внутри корпоративной сети.
Было бы лукавством утверждать, что мы вовсе не испытываем кадрового голода. События последнего года показали, что проще выращивать собственные кадры, чем искать готовых сотрудников на стороне. На не критичные участки мы имеем возможность брать людей, полностью работающих удаленно. Однако число собеседований на одну позицию в 2022–2023 годах увеличилось минимум вдвое, что говорит о недостаточной квалификации соискателей. И если раньше мы брали в штат человека с пятой-седьмой попытки, сейчас берем с пятнадцатой.
На подготовку одного сотрудника «с нуля», то есть не имевшего корпоративного опыта, но работавшего в ИТ, уходит от трех до шести месяцев. Если у человека имеется релевантный опыт работы хотя бы один-два года, его базовое образование в общем и не важно. В первую очередь такие соискатели занимают позиции в техподдержке, клиентском сервисе, особенно если у них уже был опыт общения с клиентами, например в другом банке. После полугода подготовки такой специалист уже спокойно работает и обычно нет нужды его плотно контролировать. Но если рассуждать об информационной безопасности банка и дочерних структур, такой подход не годится. Здесь мы стараемся подбирать максимально готовых кандидатов.
— Каково сегодня влияние государственных органов на вашу работу?
— Сфера информационной безопасности тесно связана со взаимодействием с государственными органами. Об инцидентах с персональными данными следует сообщать в три инстанции: в ФинЦЕРТ, ФСБ России, Роскомнадзор. О факте определенных категорий инцидентов мы обязаны сообщить регуляторам в течение трех часов после начала атаки. В экстренной ситуации приходится одновременно поднимать работоспособность систем и писать углубленный отчет о произошедшей ситуации, что в условиях ограниченного количества людей и ресурсов, конечно, весьма непросто. Но мы стараемся все успевать.
— Деятельность регуляторов больше тормозит работу бизнеса, чем способствует решению проблем?
— Здесь налицо парадокс. Если сравнивать финансовый рынок с другими отраслями экономики, то он у нас в стране сегодня достаточно неплохо защищен, в том числе потому, что в области информационной безопасности сильно зарегулирован. Есть несколько государственных органов — Центральный банк РФ, ФСБ России, ФСТЭК России, — накладывающих требования по различным доменам информационной безопасности. Если в 2015–2016 годах результатом даже одной атаки на кредитную организацию мог стать вывод злоумышленниками сотен миллионов рублей, то сейчас кража и вывод денежных средств такого объема внешними злоумышленниками сильно усложнились.
При этом, учитывая достаточно высокую зарегулированность, при разработке и принятии законодательных актов и других инициатив очень важно учитывать необходимость проведения организациями соответствующих доработок своих систем, а в идеале — предварительные обсуждения с рынком, чтобы выявить возможные сложности реализации и учесть это в финальной редакции документов.
Мы недавно подсчитали, что за период 2022–2023 годов только в части требований по защите информационной безопасности банков увидели более 16 новых законодательных инициатив. Нам нужно время и ресурс на их обработку. Также очень важна синхронизация между требованиями разных регуляторов. Деятельность кредитных организаций в части информационной безопасности, как уже отмечалось, регламентируется сразу несколькими ведомствами. Для финансового сектора важно, чтобы требования учитывали друг друга, при этом роль единого центра здесь может играть Банк России как профильный регулятор, к компетенции которого отнесен контроль и надзор над финансовыми организациями, а также операционной надежностью банковского сектора.
— Каким может быть выход из положения?
— Должен быть рабочий механизм обсуждения законодательных нововведений. Очень сильно демотивирует, когда замечания или предложения, которые подавались по тем или иным нормативным актам, отметаются без обсуждения и каких-либо оснований. Должны появиться и заработать правовые механизмы для более глубокого обсуждения инициатив частного бизнеса.