Sergiu Nicolaev

Сергей Николаев. Инвестиции в обучение сотрудников – основа информационной безопасности Comertbank-а.

Интервью подготовлено при поддержке компании XONTECH SYSTEMS.

Сергей, добрый день. Если я не ошибаюсь, то 2022 год – юбилейный для вашей банковской деятельности. 20 лет. Но не могли же вы быть связаны с информационной безопасностью все эти 20 лет? В 2002 году и термина такого, наверное, не было?

Вы правы. Координировать эти аспекты работы я начал попозже, с 2015 года, когда меня утвердили в должности, я начал координировать в том числе и деятельность Департамента ИТ, тогда еще информационная безопасность только началась выделяться как отдельное направление работы. В банке такая должность, как офицер по информационной безопасности, появилась, если я не ошибаюсь, в 2013 году.

Кстати, ваше мнение, есть необходимость разделения департаментов ИТ и информационной безопасности? Ведь они опираются на одну базу знаний?

Безусловно необходимость такая есть. Причина не только в том, что информационная безопасность, за эти годы, выделилась в отдельную сферу знаний. Главная причина в том, что задачи у этих служб разные и, чтобы не возникал конфликт интересов, конечно имело смысл выделить ИТ и информационную безопасность в отдельные структуры.

Вы подчеркнули, что информационная безопасность стала отдельной сферой знаний. Ваша стратегия полностью самостоятельно решать все вопросы безопасности или вы готовы сотрудничать с профессиональными компаниями в этой сфере?

В современном мире ни один банк, даже самый крупный, не решает вопросы информационной безопасности только своими силами. Наши специалисты должны обладать широким кругозором и постоянно следить за трендами в сфере безопасности. И потом их задача состоит в выборе надежных профессиональных партнеров в этой сфере. Comertbank в этом отношении, и это не секрет, успешно сотрудничает с XONTECH SYSTEMS. Когда сотрудничество из разовых обращений перерастает в постоянную совместную работу, то формируются и отношения доверия. Бывает, что специалисты XONTECH SYSTEMS и сами выступают с инициативной тех или иных решений, и, что особенно важно, помогают следить за быстро меняющимися трендами в информационной безопасности.

А как обстоят дела с регламентацией работы в сфере информационной безопасности? Насколько активен в этом отношении государственный регулятор?

На моей памяти еще был период, когда каждый банк практически самостоятельно решал, как ему строить работу по информационной безопасности. Это, конечно, не облегчало нашу работу. Хотя отдельные регламенты могут вызывать вопросы, но глубокий и компетентный подход к регламентации работы в сфере безопасности со стороны Национального банка, бесспорно, упорядочил рынок. Это тот случай, когда правил много не бывает. Более того, кроме самой регламентации, Национальный банк оперативно реагирует на частные запросы банков в этой сфере. Сейчас молдавская правовая база в этой сфере уже максимально приблизилась к мировым тенденциям и стандартам.

Какие решения в сфере информационной безопасности сейчас must have для банков?

Сейчас попробую перечислить. Внедрение DLP-систем (Data Loss Prevention). Это решение для предотвращения утечки конфиденциальных файлов за пределы сети компании.  Системы DLP защищают данные, идентифицируя конфиденциальную информацию, а затем используют глубокий анализ контента для обнаружения и предотвращения возможных утечек. DLP-системы анализируют всю входящую и исходящую информацию и можно сказать что на выходе они выступают в роли, вырыжаясь простыми словами, системы «Нипель». То есть, не выпускают информацию без авторизации.

Когда я брал интервью у XONTECH SYSTEMS они говорили и о системе классификации информации и ее визуальной маркировке. Это тоже входит в DLP – системы?

Нет, это другое приложение, Boldon James. Британская разработка, специализирующаяся на решениях для классификации данных и безопасного обмена сообщениями. Информация, которая циркулирует в банке классифицируется на три категории, от абсолютно конфиденциальной до публичной, каждой категории присваивается свой цвет, в зависимости от содержания информации присваивается цветной маркер и пользователям на интуитивном уровне легко понять уровень безопасности и кому может быть доступна данная информация. Это решение нам тоже предложили XONTECH SYSTEMS.

Без чего еще не обойтись современному банку?

Системы MFA/2FA от OneSpan для аутентификации сотрудников банка и внешних пользователей. Потребность в них резко возросла в период пандемии, когда многие сотрудники работали удаленно. Но, поскольку такой характер работы уже всегда будет частью современного мира, то потребность в бифакториальной, а, впоследствии, в мультифакториальной системе аутентификации только возрастет.

Это когда у пользователя, кроме пароля, запрашивают и дополнительную информацию?

Простейшая двухфакторная система аутентификации, это когда вы вводите пароль, а вам на телефон приходит смс-код, который вы также должны использовать, чтобы подтвердить, что это именно вы входите в систему. Понятно, что мультифакторная система использует больше «ступеней» доступа. Каждый следующий существенно повышает уровень безопасности.

А «пентестами» вы пользовались? Когда ваш партнер тестирует независимо от вас вашу систему на возможность несанкционированного проникновения?

Исследования показали, что кибератаки часто определяют судьбу компании: 60% взломанных компаний прекращают свою деятельность через 6 месяцев. Таким образом, кибербезопасность имеет жизненно важное значение для выживания любой компании. По этому, пентесты или тестирование на проникновение рекомендуется проводить регулярно (не реже одного раза в год), чтобы обеспечить более последовательное управление ИТ безопасности, выявляя возможные угрозы или уязвимости. Мы инициировали первый такой тест в прошлом году. Он дал интересную информацию и обозначил необходимый фронт работы для роста уровня информационной безопасности. В этом году, мы запланировали два пентеста: один на Внешнее проникновение нацелено на данные, видимые в Интернете, второй пентест на проникновение в сеть банка изнутри систем и firewall-ов.

Что у Comertbank в планах в части работы по информационной безопасности?

Она всегда следует за планами общего развития банка. Сейчас мы планируем существенно модернизировать наши решения в сфере бизнес бэнкинга. Имея в виду что следующий год для нас, это год серьёзных инвестиций в развитии, информационная безопасность также будет иметь важную роль и параллельно будем работать над тем, чтобы новые решения не создали потенциальных рисков. Кроме того, не стоит забывать, что в основе информационной безопасности лежат знания и привычки поведения людей. Поэтому мы постоянно инвестируем усилия в обучение и инструктирование сотрудников, а сейчас планируем провести специальный модуль инструктирования информационной безопасности для всех работников банка, включая руководство.

Мир стремительно идет к «цифре», и мы должны соответствовать и быть готовыми к этому тренду. В этом плане Совет банка и Правление принимают все необходимые меры по обеспечению безопасности данных, выделяя необходимые финансовые ресурсы для выполнения этой задачи.