Interviu realizat de Pavel Zingan cu Oleg Glivinschi, Șef departament IT EuroCreditBank, despre viitorul securității cibernetice bancare

Interviu cu Oleg Glivinschi, șeful Direcției IT la EuroCreditBank. Interviul a fost pregătit cu sprijinul XONTECH Systems (IT & Security Integrator).

Oleg, bună ziua. Vreau să vă cer ajutor…

???

Am început să scriu o serie de articole despre securitatea informațiilor, inclusiv bancare. Pentru un jurnalist, sarcina este dificilă, subiectul este foarte restrâns profesional. Prin urmare, aș dori să vă rog să faceți pentru mine și pentru cititori o scurtă digresiune în istoria securității bancare informaționale din Moldova. De cât timp lucrați în acest domeniu?

De mult timp. De pe vremea când însuși conceptul de „securitate informațională” nu exista încă. Iar specialistul care trebuia să controleze ceva în rețelele de calculatoare ale băncii, de regulă, făcea parte din departamentul de securitate „fizică” al băncii, împreună cu colectarea.

Când a început să apară cu adevărat în Moldova conceptul de: „securitatea informațiilor bancare?”

Primul imbold puternic în dezvoltarea securității informaționale al băncilor din Moldova a fost odată cu venirea băncilor străine în țară. În 2003-2004, în timp ce lucram în una dintre băncile de top din Moldova, am descoperit că exista deja un post de „ofițer de securitate a informațiilor”. Iar în anul 2007, când consiliul de administrare al băncii era condus de către francezi și se implementa core banking-ul în bancă (ținând cont de faptul că deja atunci exista o divizie cu experiență a Groupe Société Générale) ofițerii de securitate informațională din bancă au început a fi separați de departamentul IT. Pentru acea vreme era un progres enorm.

De ce ar trebui separată securitatea informațiilor de IT? Specialiștii doar sunt aceeași?

Specialiștii sunt într-adevăr din același domeniu, dar interesele lor sunt constant în conflict și sistemul lor de priorități este diferit. Departamentul IT trebuie să-și facă treaba. Sarcinile de securitate a informațiilor nu fac decât să le împiedice munca. Și din punct de vedere al departamentului de securitate a informațiilor, cea mai de încredere garanție este să îngropați computerele în pământ și să nu le mai atingeți niciodată. Exagerez, desigur, dar vreau doar să subliniez că există întotdeauna un conflict de interese între aceste două servicii și că organizarea muncii IT și a securității informaționale trebuie făcută cu un echilibru eficient între ele.

M-ați convins. Dar atunci această sarcină devine atât de serioasă încât autoritatea națională de reglementare nu poate sta deoparte? În caz contrar, fiecare bancă va acționa în felul său și va fi haos în sistem?

Să vorbim despre exemplul aceleeași Mobiasbancă în care am lucrat. De exemplu, noi deja implementasem tehnologia SIEM atunci când Banca Națională ne-a propus nouă și tuturor celorlalte bănci să introducem Log Analyzer…

SIEM? Log Analyzer?

SIEM înseamnă Security Information and Event Management. Gestionarea securității informațiilor și managementul evenimentelor de securitate. Tehnologia SIEM oferă un audit și o analiză în timp real al evenimentelor de securitate generate de dispozitivele și aplicațiile de rețea și vă permite să răspundeți la apariția unor posibile incidente înainte de apariția unor daune efective.

Dar Log Analyzer?

Simplu exprimându-mă, aceasta este doar o înregistrare/jurnalizare a evenimentelor, astfel încât ulterior, în timpul analizei, să puteți găsi încălcările făcute în sistem.

Reiese că băncile, cel puțin cu proprietari străini, au depășit chiar cerințele de securitate ale Băncii Naționale?

Pentru o anumită perioadă, da. De exemplu, conducerea băncii la care lucram a spus: „Faceți parte dintr-un grup și există un risc de reputație. Dacă sistemul dumneavoastră de securitate va fi spart, presa va scrie că întregul grup a fost spart.”

Dar asta a fost în 2008-2010. Cum este situația acum?

Situația a început să se schimbe dramatic începând cu 2016-2017. Apoi Banca Națională a devenit un catalizator pentru formarea proceselor avansate de securitate a informațiilor în bănci prin lansarea unei campanii de conformitate la scară largă.

Din nou vă cer lămuriri…

După bine-cunoscutele evenimente din sistemul bancar al Republicii Moldova, Banca Națională a cerut tuturor băncilor să-și alinieze procesele interne cu cerințele Băncii Naționale. Aceasta a vizat mulți parametri de lucru, inclusiv organizarea securității cibernetice în bănci și alinierea lor la cerințele regulatorului național. Aceste cerințe au fost înaintate către toate băncile din Moldova. Fie că voiam noi sau nu, a trebuit să facem modificări semnificative în procesele de lucru, inclusiv implementarea controalelor de securitate. Acest lucru a necesitat investiții suplimentare, dintre care majoritatea erau foarte mari. Ca urmare, aceasta a format nivelul modern de organizare a securității cibernetice în sistemul bancar din Moldova.

Ca să corespundem standardelor de securitate informațională, am implementat la EuroCreditBank de exemplu, soluția SIEM de la McAfee prin intermediul integratorului XONTECH Systems. Soluția răspunde de administrarea securității IT a băncii și de monitorizarea conformităților legale (interne și naționale). Pentru noi este foarte important să putem detecta rapid, în timp real, orice posibile incidente de securitate ca să le rezolvăm imediat și acestea să nu aibă niciun impact semnificativ asupra activității băncii. SIEM ne permite să vizualizăm, detectăm, controlăm incidentele de securitate, încălcările de politici de securitate și să evaluăm continuu nivelul de conformitate a băncii cu normele legale.

Un alt aspect important pentru noi la EuroCredinBank este să asigurăm securitatea datelor utilizatorilor și clienților noștri. Securitatea informațională stă la baza unei relații de încredere între noi și clienți. De aceea, ca să întărim nivelul de securitate din acest punct de vedere, am implementat cea mai avansată soluție de autentificare multifactorială de la OneSpan, la fel prin intermediul XONTECH Systems. Aceasta soluție  de MFA este o componentă de gestionare a accesului care solicită utilizatorilor să își dovedească identitatea folosind cel puțin doi factori de verificare diferiți înainte de a obține acces la un site web, la o aplicație mobilă sau la altă resursă online, inclusiv la o resursa internă a băncii. Avantajul maxim de implementare al unei astfel de soluții este că în cazul în care un factor de autentificare este compromis, un atacator trebuie să treacă de încă o barieră de autentificare ca să poată înainta spre a obține acces la contul unei ținte. Această soluție este vitală pentru activitate și ne bucurăm că avem pe piață un partener de încredere cu specialiști calificați așa cum este “XONTECH Systems” care a implementat și configurat sistemul ca să fie funcțional.

Cum apreciați acum nivelul de securitate al băncii? Sunt băncile moldovenești protejate în mod fiabil de aceleași atacuri de hackeri?

Fiabilitatea 100% nu poate fi în niciun sistem. Și atacurile hackerilor nu sunt neapărat principala amenințare la adresa securității bancare. Un angajat neglijent sau necinstit poate provoca daune nu mai puține decât un grup extins de hackeri, dacă doar organizarea proceselor de securitate permite, de exemplu, accesul neautorizat la anumite procese de informare. Dar, în general, în ultimii 5-6 ani, toate băncile din Republica Moldova și-au îmbunătățit semnificativ nivelul de protecție. Doar că acest proces nu poate fi niciodată considerat complet, deoarece mediul informațional în care lucrăm și cerințele pentru securitatea acestuia sunt în continuă schimbare.

Să mai abordăm câteva întrebări mai generale. Dacă vorbim de securitatea informațiilor, atunci despre CE vorbim?

Simplificat, vorbim despre trei niveluri de securitate – a rețelei, a sistemelor de operare și a aplicațiilor. Accentul muncii se îndreaptă către aplicații. Pentru că aceasta este partea cea mai dinamică a sistemului informațional al băncii.

Dar trebuie să te integrezi constant cu aplicațiile externe, pentru că departamentul IT al băncii nu poate dezvolta singur toate aplicațiile de la A la Z? Folosiți cumva software care a fost dezvoltat de alte companii?

Aveți dreptate. De aceea, consider că linia principală de dezvoltare a securității bancare va fi interacțiunea băncilor cu companii specializate care prestează servicii în domeniul securității cibernetice. Banca, de partea ei, ar trebui, mai degrabă, să creeze un serviciu de analiză și audit al securității informațiilor care să analizeze și să controleze soluțiile propuse.

Sunt autoritățile de reglementare pregătite pentru această tendință?

E doar o chestiune de timp. Vă voi da doar un exemplu. Până în februarie 2022 a fost interzisă problema stocării de copii ale informațiilor bancare în străinătate, s-a crezut că acest lucru ar putea afecta securitatea datelor, cel puțin așa erau reglementările Centrului pentru Protecția Datelor cu Caracter Personal. Dar, după evenimentele din februarie 2022 din Ucraina, s-au făcut modificări corespunzătoare, iar acum lista țărilor în care pot fi stocate deja copii ale datelor este de 44 de țări.

Rapid!

Prin urmare, cred că în următorii ani, abordarea securității cibernetice va suferi o altă schimbare și o delimitare clară a atribuțiilor și responsabilităților care va intra în practica muncii. Autoritățile de reglementare vor stabili cerințele pentru reglementările care determină construcția securității cibernetice, companiile specializate vor oferi servicii relevante, iar sarcina băncilor va fi să analizeze eficacitatea soluțiilor propuse și să asigure auditul acestora.