Модел за подражание "Ренесанс Кредит"

Интервю с Дмитрий Щуров, изпълнителен директор, ръководител на отдела за информационна сигурност в Ренесанс Кредит

-Каква е спецификата на информационната сигурност във финансовия сектор? Какво го причинява?

- Основната отличителна черта на финансите е наличието на платежни процеси, които налагат определени изисквания и ограничения.

Затова бих откроил три основни характеристики в защитата на информацията във финансовия сектор. Първо, това е общ подход към защитата на информацията, който се основава на защитата на нейната цялост, тоест въвеждането на забрана за неразрешени промени, поверителност, тъй като този вид информация винаги е банкова тайна, и наличност - възможността за безплатно използване от клиенти на платежни процеси.

Втората характеристика е наличието на силен регулатор в банковия сектор, който не само следи за спазването и уместността на информационните стандарти, но и извършва много постоянна работа за хармонизиране на всички регулаторни правни актове.

И накрая, третият компонент е голям брой клиенти, които ежедневно потребяват банкови услуги. Затова банките трябва да са готови да работят с големи обеми и натоварвания.

- Какви големи проекти за информационна сигурност завърши вашата банка през 2016 г.?

– Стигнахме до финала на един голям проект – „Модел за подражание“, който значително улеснява функционирането на цялата информационна инфраструктура на банката. Проведохме голямо вътрешно проучване, за да идентифицираме, групираме и класифицираме всички банкови служители според техните бизнес роли. Според тези бизнес роли сме формирали групи за достъп до тази или онази информация. Системата работи автоматично ив рамките на 15 минути имаме възможност да отворим достъп до необходимата информация, необходима на служителя за изпълнение на служебните му задължения. „Ренесанс Кредит“ е банка за търговия на дребно, много позиции са масивни, има много премествания на служители в самата банка, така че внедряването на „Модела за подражание“ ни позволи значително да оптимизираме работното време, да намалим до нула вероятността от грешка при предоставяне на некоректен достъп до всеки служител.

Също така в самия край на 2015 г. завършихме сертифицирането на банката по стандарта на Банка България STO BR, след като получихме външно съответствие от одиторската компания. Според тяхното заключение сме получили четвърто ниво на съответствие. Това е много висока оценка, която банката има по всички групови показатели, като криптография, антивирус, защита на мобилни услуги и др.

Що се отнася до управлението на информационната сигурност, тук Ренесанс Кредит Банк отговаря на най-високата оценка - пет, тъй като винаги е обръщано специално внимание на проблемите на сигурността. През 2008 г. банката е сертифицирана по международния стандарт SO 27001.

Сега стандартът на Банката на България все още не е задължителен за всички кредитни институции и решението за спазването му е записано във вътрешните документи на банките, но се работи активно за създаване на нов GOST по отношение на информационната сигурност и STO BR ще бъде взет като негова основа. Очаква се до 2018 г. прилагането на такива стандарти да стане задължително за всички.

- Приложенията за онлайн плащане са любима цел на киберпрестъпниците. Как вашата банка ги пази?

- Доскоро се смяташе, че основните рискове, свързани с онлайн плащанията, са върху клиентите, тоест клиентите са тези, които губят парите сив резултат на действията на киберпрестъпниците. За да се защитят, банките започнаха активно да използват системи за борба с измамите, които автоматично следят плащанията, извършени онлайн, и ако правилата за борба с измамите са нарушени по някой показател, тогава такива плащания незабавно се блокират за допълнителна защита.

Въпреки това през последните година и половина до две ситуацията се промени драматично: всички сме свидетели как престъпниците промениха приоритетите си, обръщайки по-голямо внимание на самите банки, междубанковите платежни системи и големите платежни системи. Разбира се, размерът на кражбата в такъв случай е несравним със загубите на едно лице. В резултат на подобни хакерски атаки някои банки загубиха няколкостотин милиона рубли от кореспондентските си сметки.

Ето защо ние подхождаме към въпроса за информационната сигурност по цялостен начин: от една страна, ние се занимаваме със защитата на самата услуга и банката като цяло, от друга страна, ние активно работим с клиенти, по време на което обучаваме и информираме клиентите за основните правила за сигурност: познаването дори на основните принципи на сигурността на плащанията може значително да намали вероятността от измамни действия срещу такива клиенти.

В допълнение, банките активно използват "тестови" прониквания, в резултат на което е възможно да се види какви уязвимости съществуват и какво трябва да се направи за по-ефективна защита.

- Кои са основните вектори на развитие на онлайн платежните услуги и интернет банките по отношение на сигурността?

- Тъй като приоритетите на престъпните групировки се изместиха, сега все по-активно се разработват нови начини за защита срещу целеви атаки. Платежните системи и системите за междубанков трансфер също повишават нивата на защита и променят стандартите за сигурност.

- Вашата банка класифицира ли инцидентите според нивото на заплахите?

- Разбира се, такава класификация на инцидентите в банката има и тя е с разширен характер и съдържа много признаци. Най-общо класифицираме инцидентите според тяхната критичност: висока, средна, ниска; в зависимост от заплахата изпълнение; стойността на засегнатите активи. Съществува и унифицирана система за съхранение на тези инциденти, където поддържаме статистика на случилите се инциденти и събираме редовни показатели за състоянието на защитата на информацията.

- Как виждате развитието на технологиите за информационна сигурност в банковия сектор през следващите три години?

- Развитието на технологиите за информационна сигурност ще се дължи на факта, че банките ще започнат да обръщат внимание на тези активи, на които преди не са обръщали внимание, тъй като рисковете се появяват в напълно неочаквани области.

Друга тенденция, която може да причини повишена опасност, е желанието на много финансови организации да се интегрират, глобализират и опростят взаимодействието си с клиента. Много услуги преминават изцяло онлайн, като имат възможност за отдалечено идентифициране на клиенти, което също може да се превърне в още един фактор за появата на нови рискове.

Борсите също могат да бъдат уязвимост от гледна точка на хакерите. Ако банките вече са се научили как да се справят с хакерските атаки и започват да имат ефективни механизми за защита, тогава борсите с широко разпространената практика на роботизирана търговия представляват сериозен интерес. Следователно, като цяло, информационната сигурност ще се "нагоди" към нововъзникващите ИТ технологии, които вече са се превърнали в независими точки на растеж за много бизнес области. Освен това киберпрестъпниците са научилиправете пари и от информационната сигурност, като провеждате аналитични проучвания на нови услуги и идентифицирате техните слабости. Говорейки за развитието на технологиите за информационна сигурност, не е възможно да не споменем, че основният източник на заплахи все още са служителите на компанията, които по различни причини - външно влияние, небрежност, грешки - причиняват щети на организациите, които дори хакерските атаки все още не могат да се сравнят. Това беше, е и ще бъде основното главоболие на отделите по информационна сигурност.

Не забравяйте за shadow IT - независимо изграждане на процеси от бизнес единици "отстрани" на основните системи, като използвате всички налични инструменти за това, от настолни приложения като Excel до "тихото" използване на облачни услуги или услуги на технологични компании на трети страни. В тази връзка в момента набират скорост системите за анализ на поведението на потребителите, които, работейки с огромно количество данни, изграждат профили на типично поведение и идентифицират аномалии.

---