укр eng

Онлайн-журнал

Міфи щодо побудови інформаційної безпеки у банках та фінансових установах

Олександр ДРЕЛІНГ,
к. т. н., старший науковий співробітник, екс-заступник голови правління банку
+38 050 311 57 49

Маючи великий досвід роботи, зокрема, у банківському секторі, хочу розказати про існуючі у суспільстві міфи щодо галузі інформаційної безпеки. А також хочу висловити аргументи й докази щодо розвінчання цих міфів.

Міф №1. Стосується того, що більшість банків та фінансових установ досі не вважають інформаційну безпеку чимось доцільним, у що треба вкладати гроші. Це їх помилкова точка зору.

Наведу один із «свіжих» прикладів. Нещодавно сайт Національної поліції піддався хакерській атаці, у результаті якої на сторінках декількох обласних управлінь зловмисники встигли розмістити фейковий контент. Про це всі ми дізналися із масс-медіа. Чекаємо результатів розслідування. Інший приклад – приблизно півроку тому невеликі компанії та банки України зазнали значних втрат після хакерської атаки, яка визначалася у шифруванні критичних файлів. Ті, хто проводив ці атаки, вимагали гроші за надання коду дешифрування. Я знаю, що багато організацій заплатили гроші. Проте за висновками антивірусних лабораторій, файли практично було зруйновано і знищено, тобто їх реанімація була не можливою. Компаніям та банкам було нанесено фінансових та репутаційних втрат.

Наступна прикра подія сталася декілька років тому. Хочу зупинитися детальніше на цьому прикладі, оскільки він був унікальним. Це факт хакерських атак на SWIFT-ресурс банків. SWIFT – міжнародна платіжна система. Зараз вона називається CRISP і нині гарантує потрійне дублювання ресурсів та найвищий рівень захисту своєї технології. Але у той час у двох українських банках цю технологію було зламано й вкрадено мільйони доларів. Це була дуже потужна та «цікава» атака, яка досі не розслідувана.

Отже величезні фінансові втрати для банківської спільноти примусили замислитися над вирішенням подібних проблем.

Наступний приклад – всім відомий і дуже розповсюджений вірус «Петя». Тут я можу із задоволенням зазначити, що ті банки, де я працював, зберегли стабільність та працездатність головних фінансових бізнес-процесів. Втім багато інших банків та фінансових установ ще досі не оговталися.

Можна згадати про blackenergy, що мала критичний вплив на об’єкти критичної інфраструктури України.

Що може статися завтра, враховуючи нашу загальну нестабільну ситуацію, ніхто не знає. Точно, – не спокійніше.

Мій висновок щодо першого міфу, – треба вкладати в інформаційну безпеку максимально ресурсів, як професійних, так й фінансових.

Рівень інформаційної безпеки у світі постійно зростає. З точки зору фінансування інформаційної безпеки в компаніях, ще 10 років тому вважалося, що її бюджет повинен складати приблизно 5-10 відсотків від загального бюджету на послуги ІТ. Нині до 30 відсотків, а то й більше – у залежності від ступеню критичності об'єктів та існуючого стану захисту інформації в цих компаніях.

Міф №2 про те, що інформаційна безпека не повинна мати високого рівня і статусу в організації. Це – дуже помилково, тому що досвід показує: для того, щоб успішно захищатися від зовнішніх атак і, особливо, від внутрішніх атак, фахівці інформаційної безпеки повинні бути на рівень вище тих, хто атакує. На 95 відсотків внутрішні хакери – це фахівці ІТ з високим рівнем знань та повноважень.
Тому, практичний висновок щодо цього міфу – рівень і статус підрозділа з інформаційної безпеки повинен бути на тому ж рівні, що й бізнес-підрозділи у компанії. Спеціалісти з інформаційної безпеки повинні мати повноваження і такий самий рівень заробітної плати і соціальний пакет, а, іноді, навіть більший, як і ключові працівники компанії.

Міф № 3 – про те, що інформаційною безпекою може керувати у компанії, хто завгодно.

Якщо звернути увагу на те, які оргмоделі використовують деякі банки, у тому числі досить солідні, можна здивуватися не на жарт. Інформаційною безпекою керують юридичний департамент, голова правління, бізнес. Хто завгодно... Це шлях у «нікуди».

У житті існують дві перевірені часом моделі. Модель номер один (якої дотримувався я), – коли ІТ та інформаційна безпека перебуває під контролем одного з членів правління. Разом з цим, ця конкретна людина повинна мати відповідний фах і відповідний досвід роботи за цими напрямками, бути здатною вирішувати робочі конфлікти збалансовано, не втратити стабільність ІТ-ресурсів з одного боку, та забезпечити необхідний рівень інформбезпеки, з інщого боку. Це дуже складна робота. Особливості полягають у тому, що найбільше конфліктів при побудові інформаційної безпеки, якраз виникає між ІТ та службою безпеки. І член правління, маючи відповідний досвід, повинен збалансувати цю ситуацію.

Друга модель, яка має місце на практиці, – коли інформаційна безпека знаходиться під контролем загальної служби безпеки. Але тут, у більшості випадків, керівники служби безпеки – це люди, які знаються на технічному захисту інформації, що складає не більше 10 відсотків від необхідних знань з інформбезпеки. Важливо, щоб людина, яка очолює службу безпеки, теж мала технічну освіту та мала змогу вирішувати усі проблеми.

Висновок? Вибирайте правильну модель та професійного CISO. Тільки у такому разі ви отримаєте фактор сильної інформбезпеки у компанії.

Наступне про що хотів би наголосити – це важлива роль держави у створенні відповідних законів та розробки стратегій. Насамперед, мова йде про основні засади кібербезпеки, про захист інформації та про об’єкти критичної інфраструктури. Це вкрай необхідні речі. Але більш важливіше те, що вони повинні бути не просто прийнятті, а практично реалізовані.

Я маю на увазі те, що на підставі цих документів насамперед повинен бути проведений аудит існуючих об’єктів критичної інфраструктури, як державних, так і в комерційних галузях, зроблено SWOT аналіз, розроблено відповідні плани, проведено оцінку необхідних ресурсів та бюджетів, виділено їх та розпочато практичну реалізацію.

А держава через відповідні комітети та комісії повинна здійснювати постійний моніторинг ситуації. Це те, що ми всі очікуємо і те, що має реально практичну цінність.
Хочу підкреслити важливу роль підготовки професійних кадрів з інформбезпеки в Україні. Звичайно це завдання у першу чергу профільних вишів держави. Треба уживати також заходів щодо навчання пересічних громадян. Важливо поглиблювати спілкування та нетворкінг між професіоналами та студентами.

Все це сукупно дасть результати на користь держави та бізнесу.