Хакеры против клерков: как финансовые организации защищают себя и своих клиентов

Как защитить своих сотрудников и деньги клиентов от хакерских атак? Какие решения использовать? Куда исчезли специалисты по кибербезопасности? Используют ли хакеры искусственный интеллект? Обо всем этом — в интервью Кирилла Ермакова, технического директора компании Qiwi.

Как утверждают аналитики, в 2019 году более 90% кибератак начиналось с фишинга. Можно ли из этого сделать вывод, что самое слабое звено финансовой организаций с точки зрения кибербезопасности это ее сотрудники?

Уже несколько лет ситуация такова. Давайте посмотрим на кибератаку как на бизнес-мероприятие. При использовании фишинга или социальной инженерией затраты минимальны, а эффективность высокая, поэтому и создаются целые подпольные колл-центры, занятые фишингом.

Современный банк это огромная ИТ-инфраструктура со своим периметром (тем, что отделяет внешнюю сеть от внутренней), который надежно защищает организацию от взломов. Атака на нее весьма дорогостоящее мероприятие.

Кирилл Ермаков, технический директор Qiwi

Именно поэтому злоумышленники чаще выбирают людей в качестве объекта атаки. Например, достаточно просто зайти в отделение банка, бросить на пол флешку, и через 15 минут она окажется в одном из компьютеров. «Услугу» подброса флешки можно купить на черном рынке. Имея доступ к компьютеру сотрудника, значительно проще продвигаться через уровни защиты компании. Поэтому социальная инженерия как средство атаки на компанию действительно наиболее простой и дешевый первый шаг.

Как решить эту проблему, ведь каждый сотрудник финансовой компании не может стать специалистом по кибербезопасности?

Базовые правила не требуют от людей быть специалистами по кибербезопасности. Все в точности как с гигиеной: что нужно мыть руки, знают не только врачи. В сфере кибербезопасности тоже есть базовые правила, соблюдение которых предотвращает 90% проблем. А остальные 10% решаются техническими средствами и усердной работой SOC (Security Operations Center центра мониторинга информационной безопасности, прим.).

Конечно, взломать можно любую систему, если инвестировать в это достаточно времени и денег. Чтобы это предотвратить, организациям следует соблюдать основные правила в сфере кибербезопасности – с большой долей вероятности это поможет предотвратить основную массу инцидентов.

Банки и финтех-компании жалуются на дефицит специалистов по информационной безопасности. Как вы решаете эту проблему?

Повышенному спросу на таких специалистов не один год. 3-5 лет назад бизнес увидел потребность в квалифицированных технических специалистах по ИБ и начал оперативно эти кадры искать. Речь идет о так называемых whitehats («белых хакерах»), специалистах с определенной «хакерской» экспертизой, которые предпочитают работать на стороне корпораций.

Информационная безопасность стала, по моей оценке, самой высокооплачиваемой специальностью в ИТ. С учетом этого тренда немало людей взялись осваивать эту профессию, проходить дополнительное обучение. Но, по моим прикидкам, дефицит на этом рынке еще продержится какое-то время.

Опыт QIWI классический для любой крупной корпорации, мы создаем кузницы кадров внутри. Мы выстроили внутренний институт обучения и карьерного продвижения, в рамках которого можно в течение трех лет из младшего инженера дежурной смены взрастить ведущего специалиста в любой области ИТ. Мы много инвестируем в этот подход, это основной путь получения таких кадров.

В 2019 году QIWI стала использовать Microsoft Defender Advance Threat Protection, продукт, базирующийся в том числе и на облачных технологиях. При этом часть экспертов говорит, что делегирование кибербезопасности в облакоправильно, поскольку позволяет компании сфокусироваться на своем профильном бизнесе. Другие же утверждают, что использование облака и предоставления доступа к своим данным и инфраструктуре сторонней компании и аутсорсинг кибербезопасности несет потенциальные риски. Что вы можете сказать об этом решении?

QIWI на практике использует как облачные решения, так и гибридные например, когда инфраструктура расположена у нас, но сопряжена с какой-то облачной частью. При этом все, что касается персональных данных, платежной или иной чувствительной для бизнеса информации, всегда хранится и анализируется в нашем периметре.

При этом внешние облачные решения могут использоваться для тех или иных целей, если сопряжение с облаком выполнено правильно и безопасно. Основной принцип работы облачных решений снижение стоимости конечной услуги за счет консолидации обработки информации. Например, вся система IDS (система обнаружения вторжения) у нас выполнена по гибридной схеме: сенсоры находятся в контуре компании, а центр мониторинга в облаке. Так дешевле и эффективнее, выстроить подобную систему полностью внутри компании стоило бы в два-три раза дороже. В любом случае, любое из облачных решений мы рассматриваем детально, чтобы удостовериться в безопасности данных пользователей.

Социальная инженерия как средство атаки на компанию действительно наиболее простой и дешевый первый шаг

С момента приобретения решения Microsoft Defender в ноябре 2019 мы находимся в стадии опытно-промышленной эксплуатации, по результатам которой мы сможем сделать окончательные выводы о качестве инструмента. На данном же этапе Microsoft Defender помогает нам объединить некоторые группы функционала в одну. Так, Defender заменил нам и антивирус, и решения класса EDR (Endpoint Detection and Response) программу, которая следит за всеми процессами на компьютере с целью выявления угроз. Это удобно, потому что позволяет автоматически выстраивать процессы в синергии. Благодаря объединению функционала Defender оказался и более привлекательным по стоимости, и более удобным в работе решением в сравнении с конкурентными.

Но сегодня рано пока говорить о качестве инструмента – на горизонте года или полутора лет, когда он будет функционировать в полной мере, мы сможем поделиться результатами.

Существует вечное противостояние между информационной безопасностью и юзабилити. Как добиться, чтобы меры, принимаемые для борьбы с киберкриминалом, не мешали бизнес-процессам внутри финансовой компании?

Вопрос выбора между удобством и безопасностью действительно классический. И если мы говорим о финансовых организациях, безопасность крайне важна, потому что мы не можем позволить себе проявить безответственность в отношении данных наших пользователей.

С другой стороны, безопасность должна быть клиентоориентированной. Железным исполнением норм и политик можно испортить многое и продукт, и клиентские коммуникации, и, как результат, бизнес-показатели. Оптимальный баланс, к которому нужно стремиться, будет зависеть от точки его применения. Например, если мы говорим о системах без чувствительных для компании данных, склоняться нужно в сторону юзабилити. А если речь о системах, которые непосредственно участвуют в обработке данных клиентов или финансовой информации, важнее окажется безопасностьв случае с такими системами достаточно одного промаха, чтобы похоронить репутацию компании и нанести существенный урон ее инвестиционной привлекательности.

Сделать так, чтобы меры безопасности не мешали бизнес-процессам, весьма не просто. Для этого на подразделение кибербезопасности нужно смотреть как на часть бизнеса. Важно, чтобы этот взгляд разделял и руководитель по информационной безопасноститогда его стратегия и решения будут ориентированы на бизнес-результат. Продукт, который выпустили с задержкой, потому что долго занимались его защищенностью, это так же плохо, как и слабый продукт с точки зрения безопасности.

Современные продукты и решения для обеспечения кибербезопасности начинают использовать алгоритмы искусственного интеллекта. А известны ли случаи использования ИИ хакерами?

Сегодня само определение алгоритмов искусственного интеллекта и его применения несколько размыто подчас им называют чуть ли не все, что применяется при анализе данных. В этой связи стоит отметить, что хакеры специалисты, обладающие отличными способностями к качественному анализу информации и умеющие находить в ней уязвимости. Например, когда хакер делает рекогносцировку, он создает алгоритм, который в случае атаки большой компании позволит ему быстрее выявлять слабые места в ее ИТ-инфраструктуре.

Так что алгоритмы искусственного интеллекта хакеры используют. Но сфера применения таких технологий лежит в плоскости работы с данными. К примеру, если хакеры получили краденную базу данных клиентов и применяют ее в методах социальной инженерии, они могут использовать алгоритмы data science, чтобы выявить пользователей, атака на которых была бы наиболее эффективной. В дальнейшем они могут сформировать из полученных результатов «модель» поиска новых жертв. Совершенно точно, что алгоритмы data science могут быть использованы и по ту сторону баррикад, но вряд ли это носит массовый характер.

Цифровая трансформация бизнеса подразумевает накопление, использование и обмен данными как внутри самой компании, так и за ее пределами. Создает ли это дополнительные риски утечек данных и если да, как справляются с ними финансовые организации?

С более мелкими компаниями утечки происходят еще чаще. Поэтому если ты хочешь, чтобы внешние подрядчики работали с твоей информацией, стоит тщательно продумать, как это будет организовано. Мы в QIWI тщательно отслеживаем, какие данные передаются, в каком объеме и как можно минимизировать передачу чувствительной информации за пределы компании.

У нас в QIWI, например, есть документ, который описывает процессы, сопровождающие такую работу – Information Security and Data Sharing Policy. В числе процессов будет сопровождение передачи конфиденциальных данных третьим лицам. Мы тщательно отслеживаем, какие данные передаются, в каком объеме и как можно минимизировать передачу чувствительной информации за пределы компании.

И в этой связи важно следить за двумя составляющими процессатехнической и организационной. Техническими мерами реализуется контроль массированной выгрузки информации из систем компании. Организационнымиформирование у сотрудников понимания правил безопасности и целесообразности передачи тех или иных данных третьим лицам. В синергии такие меры работают вполне эффективно.

*На правах рекламы