Oleg Glivinschi

Олег Гливинский. Будущее банковской кибербезопасности — в четком разделении сфер специализации

Интервью с Олегом Гливинским, начальником ИТ-дирекции EuroCreditBank. Интервью подготовлено при поддержке XONTECH Systems (IT & Security Integrator).

Олег, добрый день. Хочу попросить у вас помощи…

???

Я начал писать серию статей по информационной безопасности, в том числе и по банковской тоже. Для журналиста задача сложная, уж очень тема узкопрофессиональная. Поэтому хотел вас попросить сделать для меня и для читателей небольшой экскурс в историю информационной банковской безопасности в Молдове. Ведь вы уже давно работаете в этой сфере?

Давно. Еще когда самого понятия «информационная безопасность» еще не было. И специалист, который что-то должен был контролировать в компьютерных сетях банка, как правило, числился еще в составе отдела «физической» безопасности банка, наряду с инкассацией.

Когда в Молдове реально стало появляться понятие: «банковская информационная безопасность?»

Первый сильный толчок в развитии информационная безопасность банков в Молдове получила с приходом в страну иностранных банков. В 2003-2004 годах , работая в  одном из ведущих банков Молдовы, я столкнулся с тем, что там была позиция «офицер информационной безопасности».

А уже в 2007 году, когда  в руководящие органы этого банка пришел французский бизнес, в банке была реализована работа корбэнкинга с учетом, что там находилось  подразделение Groupe Société Générale, вот тогда уже офицеры безопасности в банке были выведены за пределы ИТ-департамента. Это был прогресс на тот момент.

А почему информационная безопасность должна быть отделена от ИТ? Специалисты ведь «одни и те же»?

Специалисты действительно из одной сферы, но вот интересы у них постоянно конфликтуют и система приоритетов у них разная. Департаменту ИТ нужно решать свои задачи. Задачи информационной безопасности только тормозят их работу. А с точки зрения департамента информационной безопасности самая надежная гарантия – это зарыть компьютеры в землю и никогда больше к ним не прикасаться. Я, конечно, утрирую, но просто хочу подчеркнуть, что конфликт интересов между этими двумя службами есть всегда и что организация работы ИТ и информационной безопасности должна поддерживать эффективный баланс между ними.

Убедили. Но тогда эта задача становится настолько серьезной, что национальный регулятор не может оставаться в стороне? Иначе каждый банк будет поступать по-своему и будет хаос в системе?

Давайте расскажу на примере того же Mobiasbanca, где я работал. Мы уже внедрили технологию SIEM, когда Национальный банк только предложил нам и всем остальным банкам ввести Log Analyzer…

SIEM? Log Analyzer?

SIEM  — это Security information and event management. Управление информацией о безопасности, и управление событиями безопасности. Технология SIEM обеспечивает анализ в реальном времени событий безопасности, исходящих от сетевых устройств и приложений, и позволяет реагировать на них до наступления существенного ущерба.

А Log Analyzer?

Упрощенно говоря это только запись событий, чтобы потом, при последующем анализе, вы смогли бы найти нарушения, сделанные в системе.

Получается, что банки, по крайней мере с иностранными владельцами даже опережали требования по безопасности Национального банка?

Какой-то период да. Руководство международного банка заявило так: „Вы часть группы и есть репутационный риск. Если вашу систему безопасности взломают, то в прессе напишут, что взломали всю группу.”

Но это было в 2008-2010 году.  Как обстоит ситуация сейчас?

Ситуация начала кардинально меняться в 2016-2017 годах. Тогда уже Национальный банк стал катализатором формирования продвинутых процессов информационной безопасности в банках, запустив масштабную кампанию по комплаенс.

Снова запрашиваю ваши пояснения…

После известных событий в банковской системе Молдовы Национальный банк потребовал от всех банков привести в соответствие внутренние процессы с требованиями Национального банка. Это касалось многих параметров работы, в том числе и организации кибербезопасности в банках. Вышло так, что хотели мы или нет, но мы должны были существенно изменить работу. Эти требования, зачастую, опережали то, что на тот момент нам казалось необходимым, это требовало дополнительных инвестиций, в большинстве своем  очень существенных. В итоге, это сформировало современный уровень организации кибербезопасности в банковской системе Молдовы.

Чтобы соответствовать стандартам информационной безопасности, сегодня мы внедрили в EuroCreditBank SIEM-решение от McAfee через интегратора XONTECH Systems. Решение отвечает за управление ИТ-безопасностью банка и контроль за соблюдением законодательства (внутреннего и национального). Для нас очень важно иметь возможность быстро обнаруживать в режиме реального времени любые возможные инциденты безопасности, чтобы мы могли их немедленно решить, и чтобы они не оказали существенного влияния на деятельность банка. SIEM позволяет визуализировать, выявлять, контролировать инциденты безопасности, нарушения политик безопасности и постоянно оценивать уровень соблюдения банком правовых норм.

Еще одним важным аспектом для нас в EuroCredinBank является обеспечение безопасности данных наших пользователей и клиентов. Информационная безопасность является основой доверительных отношений между нами и нашими клиентами. Поэтому, чтобы усилить уровень безопасности с этой точки зрения, мы внедрили самое передовое решение многофакторной аутентификации от OneSpan, в том числе через XONTECH Systems. Это решение MFA представляет собой компонент управления доступом, который требует, чтобы пользователи подтверждали свою личность с использованием как минимум двух различных факторов проверки, прежде чем получить доступ к веб-сайту, мобильному приложению или другому онлайн-ресурсу, в том числе внутреннему банку.

Конечным преимуществом реализации такого решения является то, что если один фактор аутентификации скомпрометирован, злоумышленник должен пройти еще один барьер аутентификации, чтобы перейти к получению доступа к учетной записи цели. Это решение жизненно необходимо для деятельности, и мы рады иметь надежного партнера на рынке с квалифицированными специалистами, такими как «XONTECH Systems», которые внедрили и настроили систему для работы.

Как вы его оцениваете сейчас уровень безопасности банка? Банки Молдовы надежно защищены от тех же хакерских атак?

100% надежности не может быть ни в одной системе. И хакерские атаки – не обязательная главная угроза банковской безопасности. Небрежный или недобросовестный сотрудник может нанести урон не меньше разветвленной хакерской группы, если только организация процессов безопасности допускает, например, несанкционированный доступ к тем или иным информационным процессам. Но, в целом, за последние 5-6 лет все молдавские банки существенно улучшили свой уровень защиты. Просто этот процесс нельзя никогда считать завершенным, ведь информационная среда, в которой мы работаем и требования к ее безопасности постоянно меняются.

Давайте еще немного общих вопросов. Если мы говорим об информационной безопасности, то О ЧЕМ мы говорим?

Упрощенно мы говорим о трех уровнях работы – сеть, операционная система и приложения. Акцент работы сдвигается в сторону приложений. Потому что именно это самая динамичная часть информационной системы банка.

Но ведь вам приходится постоянно интегрироваться с внешними приложениями, ведь не может ИТ департамент банка сам разрабатывать все приложения от А до Я? Так или иначе вы пользуетесь программным обеспечением, которое было разработано другими компаниями?

Вы правы. Поэтому я считаю, что магистральной линией развития банковской безопасности будет взаимодействие банков со специализированными компаниями, предоставляющими услуги в сфере кибербезопасности. Банк на своей стороне, скорее, должен создавать службу аналитики и аудита информационной безопасности, которые будут анализировать и контролировать предложенные решения.

А регуляторы готовы к такому тренду?

Это только вопрос времени. Я вам приведу только один пример. До февраля 2022 года вопрос хранения копий банковской информации за рубежом был под запретом, считалось, что это может нанести ущерб безопасности данных, по крайней мере таковы были регламенты Центра по защите персональных данных. Но после февральских событий  в Украине были приняты соответствующие изменения и сейчас список стран, где уже можно хранить копии данных – 44 страны.

Быстро!

Поэтому я и считаю, что в ближайшие годы подход к кибербезопасности претерпит очередные изменения и в практику работы войдет четкое разграничение сфер обязанностей и ответственности. Регуляторы будут определять требования к регламентам, определяющим построение кибербезопасности, специализированные компании будут предоставлять соответствующие сервисы, а задача банков – анализировать эффективность предлагаемых решений и обеспечить их аудит.

 

Оригинал интервью здесь