Директор департамента информационной сохранности Столичного Кредитного Банка — о работе в критериях самоизоляции, ленивых жуликах, котиках, имитирующих бурную деятельность владельцев, и уме как главной защите от киберзлодеев.
Вячеслав Касимов
— Есть чувство, что с начала пандемии количество жуликов, звонящих от лица банков и остальных компаний, очень подросло. Ваши наблюдения это подтверждают?
— Рост вправду произошел, и это довольно прогнозируемое явление по одной обычной причине — сделалось больше инфоповодов, при этом таковых ярчайших, добротных. Людям, например, можно предложить исцеление от коронавируса либо чудодейственный защитный бейджик «как у Дмитрия Пескова». Гласить, как возросло в процентном соотношении внедрение социальной инженерии, довольно трудно — официальной статистики нет. Но это, непременно, самый пользующийся популярностью вид мошенничества.
А вот наиболее умственные методы обмана, связанные с хитрецкими вирусами либо иными программками, которые нехорошие люди вынуждают вас поставить на телефон, напротив ушли в тень. С одной стороны, это, наверняка, отлично: чем наиболее сверхтехнологичны конкуренты, тем тяжелее с ними биться. С иной стороны — плохо, поэтому что такие противники разрешают держать себя и команду в тонусе. Да и с социальной инженерией тяжело совладать. Единственная действенная мера — увеличение осведомленности людей и призывы быть бдительными.
— Атаки на сам банк — нередкое явление? Либо обычно цель жуликов — клиенты?
— Это даже не нередкое, а обыденное явление. Мы издавна умеем отлично противостоять атакам, потому воспринимаем их как фон. Будет даже любопытно, если покажется что-то нетривиальное. К примеру, некоторая комбинированная атака, которая начнется, допустим, с пробы доступа к нашему удаленному работнику, отслеживания его подключения к системе с следующим выманиванием человека на кухню за чашечкой кофе, чтоб пользоваться удаленным доступом к сети банка. Но пока все довольно скучновато, в духе закидывания вредного программного обеспечения через почту. При этом и это делают в крайнее время безыскусно. Поступает даже не звонок от «клиента», который типо желает открыть депозит на млрд рублей либо кредит взять большой — нет. Просто приходит письмо с простыми побуждающими текстами. Поизносились у нас как-то злодеи в пандемию.
Ну и 2-ой вариант атак, с которым мы повсевременно сталкиваемся, — пробы пробраться в систему через наши общественные интернет-сервисы. Здесь, естественно, немножко похитрее все, тем не наименее мы тоже удачно с сиим боремся.
— Понятно, что более уязвимое звено в хоть какой системе защиты — человек. Что вы делаете для минимизации данной задачи?
— Человечий фактор был, есть и будет. С ним биться тяжело, но необходимо. Тяжело не из-за того, что приходится выдумывать что-то сверхсложное, а поэтому что это быстрее вопросец культуры. Нужен упрямый и длинный труд, чтоб люди в организации стали наиболее пристально относиться к угрозам информационной сохранности. Если гласить о МКБ, то мы, с одной стороны, обучаем служащих, с иной — временами их тестируем, имитируя деятельность наружных жуликов.
Еще есть такое слабенькое пространство, как операционные ошибки. К примеру, админ конфигурировал-конфигурировал какой-либо сервер, чего-нибудть не так сделал, в итоге возникла уязвимость. В этом случае помогает набор полностью для себя технических способов контроля, для того чтоб идентифицировать баг и вовремя его убрать. Если же ошибку допускает разраб, то тут вступают в силу наиболее высочайшие технологии для анализа кода. На данный момент мы используем их лишь для платежных приложений, но уже запущен проект для их масштабирования на всю компанию. Любые коды программ, которые пишутся в банке, будут подвергаться анализу.
— Еще одна боль в голове почти всех банков — утечки данных. Что вы предпринимаете для защиты инфы?
— Утрата данных, наших либо клиентских, — одна из главных угроз, это теорема. Естественно, мы повсевременно думаем о том, как предупредить утечки. Тут принципиально осознавать, что не существует какого-то 1-го технического решения, которое брал, купил, поставил — и все, данные будут в сохранности. Нужен целый набор мер.
Все начинается на шаге ввода данных в систему. Это обязано происходить в таком режиме, чтоб у сотрудника не было способности взять и скопировать их в какую-то свою кубышку, а потом ими пользоваться. Также разумеется, что нужен ограниченный доступ к сиим данным — даже в самой организации. Обязана быть возможность выслеживать деяния служащих: кто и какого клиента глядел, когда и для чего. Это порождает такую трудозатратную вещь, как система мониторинга и аудита доступа.
Ну и, в конце концов, если сотрудник имеет потребность передать данные из 1-го места в другое, то нужно, чтоб они ушли верно по назначенному адресу, а не куда-то еще. Тут уже отлично работает так именуемая система предотвращения утечек инфы. Она дозволяет выяснить, копировал человек что-то либо не копировал, передавал — не передавал. Так что борьба с утечками — вправду большая, непростая история.
— Как для вас дался переход на удаленку?
— Довольно просто. Я пришел работать в банк в 2018 году и уже тогда отлично осознавал, что в хоть какой организации есть пул служащих, которым нужно подключаться к рабочему месту удаленно, к примеру из дома. Потому мы произвели ревью того, каким образом человек может это создать. Наша новенькая теория исключила самое неловкое — необходимость применять какие-то корпоративные устройства. Мы спрашивали у сотрудника: «Ты хочешь работать удаленно? Окей. У тебя есть планшет и телефон? Замечательно. Тогда ты будешь с планшета подключаться к собственному рабочему столу. А чтоб это происходило неопасно, на телефон поставишь генератор разовых паролей».
Для минимизации рисков у нас опции удаленного подключения выполнены таковым образом, что сотруднику недозволено скопировать информацию, которую он лицезреет впереди себя. В его распоряжении экран, клавиатура, мышка — и все. Я это говорю к тому, что мы заблаговременно подготовились, потому и процесс выведения коллектива на удаленку прошел довольно расслабленно. Единственное, что вызвало сначала определенную сложность, — внедрение системы видео-конференц-связи. Но мы фактически побороли эту делему.
— Как вы на данный момент существуете? Кто находится в кабинете, а кто работает из дома?
— Мы решили, что человек сам должен выбирать, где ему комфортнее находиться. Те, кому удобнее работать из дома, — остаются там. Кто эффективнее делает свои обязанности в кабинете, продолжают сюда ездить. Естественно, они делают это на личном транспорте и не контактируют с огромным количеством людей. Так что у их тоже собственного рода самоизоляция, тем наиболее что в кабинетах у нас посиживают один — максимум два человека.
Чтоб в таковых критериях команда была действенной, мы подняли свой сервис видео-конференц-связи, в каком можно в хоть какой момент набрать подходящего сотрудника и переговорить с ним. По большенному счету это даже наиболее экономно исходя из убеждений временных издержек, чем если б все посиживали в кабинете. Хождение меж кабинетами занимает больше времени, чем нажатие 2-ух клавиш на компе. К слову, конференц-связь — это то, что мы буквально заберем с собой из карантина в «мирное время». Ранее мы не считали ее кое-чем суперважным, с регионами если лишь пообщаться. На данный момент сообразили удобство такового средства коммуникации и движемся к тому, чтоб применять этот сервис во всем банке. Моя команда уже вполне на него перебежала и, можно сказать, повсевременно его тестирует. Пока все замечательно и накрепко.
— Как вы отслеживаете активность собственных подчиненных в рабочее время, сроки выполнения задач?
— Я привык определять работу людей не по времени их присутствия в кабинете, а по результатам. У нас есть трекинг задач, которые зарегистрированы в соответственной системе и должны производиться. По тому, как стремительно продвигается дело, я могу осознать, работает команда либо нет.
Есть, естественно, определенные зоны, связанные с операционной деятельностью. Там вправду принципиально, чтоб человек, ответственный за решение возникающих заморочек, повсевременно был на месте. Чтоб можно было надзирать это и информировать остальные подразделения банка о том, что у нас происходит, формируется отчетность — кто сколько времени проводит в кабинете или в режиме удаленного подключения. При этом есть возможность не только лишь отследить, что человек подключился в 9:00, а отключился в 18:00, да и проверить, как длительно в этом промежутке он вправду был активен за своим компом. Можно, естественно, прицепить мышку к возлюбленному коту либо ребенку и вынудить бегать их по квартире, чтоб имитировать бурную деятельность. Но я все таки надеюсь, что у нас довольно адекватномыслящие сотрудники, чтоб не проделывать такие штуки.
В любом случае для меня это только доп контроль за командой. Основное, на что я ориентируюсь, — трекинг задач.
— Вы верите в весьма пользующуюся популярностью на данный момент идею, что надобность в кабинетах отпадет и все продолжат работать из дома?
— Нет, я верю в комбинированный подход, когда часть времени человек работает из дома, а часть — проводит в кабинете. Пока ничто не может поменять живое общение. Ну и людям довольно тяжело не поменять обстановку. С сиим можно смириться в такие периоды, как на данный момент, но представьте, что вы и далее будете оставаться повсевременно в 4 стенках. Это уже начинает припоминать какую-то кутузку, что, на мой взор, не весьма здорово. Потому я и не верю, что все поголовно перейдут на удаленку. Комбинированный вариант, который дозволит организациям сберечь в том числе на арендуемых площадях, — он вероятен и разумен.
— Куда движутся банки в сфере IT-безопасности? Как они будут защищаться через 10 либо 20 лет?
— Больше мы движемся в сторону ума и мониторинга. Если системы информационной сохранности не стают умственными, то начинается гонка вооружений: злодеи чего-то изобретают, отличные люди следом выдумывают, как от этого защищаться, — и так до бесконечности. Все эти обоюдные придумки выливаются в растраты. И если действовать по таковой схеме, то мяч постоянно будет на стороне злоумышленников, поэтому что бизнес выделяет на сохранность ограниченное количество средств, у жуликов же никакого лимита нет.
Должны внедряться платформы, дозволяющие автоматом отыскивать любые аномалии: подозрительные платежи, непонятные деяния — как клиентские, так и снутри банка. И на это стремительно реагировать, расследовать ситуацию и осознавать, что вышло по сути. Тогда службы информационной сохранности будут очень эффективны. Во всех других вариантах, повторюсь, мы получим бездумную гонку вооружений и неизменное вливание средств на затыкание прорех в сохранности компаний.
Одним словом, я за ум и прилагаю все усилия для сотворения конкретно таковой системы в банке.