В 2004 году, а затем с внесенными поправками в 2006 году банковскому сообществу был предложен стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации», который призван предотвратить возникновение уязвимостей в системе информационной безопасности банков и связанных с ними рисков. Сегодня система стандартов насчитывает уже пять документов, включая стандарт аудита, методики оценок соответствия требованиям Стандарта и соответствующие рекомендации. О том, какие сегодня существуют угрозы, как их избежать и о возможностях применения Стандарта рассказал заместитель начальника Главного управления безопасности и защиты информации Банка России Андрей Курило.
— В целом можно сказать, что да. Десятки банков берут на вооружение Стандарт и следуют основным его положениям. Тех, кто приводит себя в соответствие стандарту, то есть жестко выполняет рекомендации и требовательно оценивает свою собственную безопасность, меньше, но, тем не менее, их количество также стремительно увеличивается. Опрос, который проводился в прошлом году, показал, что 17 % организаций на 2008 год наметили приведение внутреннего устройства в соответствие Стандарту. По данным опроса на начало этого года рекомендациям Стандарта в той или иной степени уже следует около 80% банков.
Это хороший показатель. Должно пройти некоторое время, чтобы банк осознал свою проблему и провел внутреннюю работу. Я считаю, что на подготовительный период, период осознания, требуется порядка двух лет. И только на третий год банк переходит к конкретным действиям, что мы сейчас как раз и наблюдаем.
В своей работе мы обращаем внимание высшего менеджмента на то, что приведение банков в соответствие требованиям Стандарта снижает риски основного бизнеса, улучшает управляемость организации в целом, структурирует взаимоотношения внутри организации, повышает ценность активов и продажную цену банка. Есть и конкретные примеры. Так, по данным наших территориальных учреждений, в ходе продажи одного банка его цена достаточно заметно возросла после того, как оценщик узнал, что банк привел себя в соответствие требованиям Стандарта.
— Насколько реально мелким банкам реализовать требования Стандарта?
— Стандарт включает набор требований по безопасности, которые условно можно разделить на две группы. Первая группа относится к обеспечению безопасности платежных систем и их элементов, которые взаимодействуют с платежной системой банка России. В этом случае затрагиваются интересы Банка России и его клиентов, а потому эти требования включены в договора, заключаемые с Банком России, и в техническую документацию на оборудование, которое используется для взаимодействия с платежной системой Банка России. Таким образом, фактически они уже носят обязательный характер. Вторая группа относится к рекомендациям, определяющим вопросы эффективного менеджмента и организации управления системой безопасности. Выполнение этих рекомендаций не требует финансовых затрат. Однако совершенствование вопросов управления в любой организации — это пожалуй самая тяжелая проблема, с которой сталкивается руководство и менеджмент.
Наш опыт говорит о том, что проблемы с обеспечением безопасности начинаются с момента начала эксплуатации системы, в которой безопасность должна обеспечиваться. Если через некоторое время после начала эксплуатации системы персонал будет бросать носители с ключами электронной подписи где попало, и в том числе в работающих компьютерах, оставлять образцы собственноручной подписи на рабочем столе и передавать свои пароли для доступа в систему друг другу, то все технические средства защиты окажутся бесполезными. И воспользовавшись такими уязвимостями, можно легко, например, изменить реальный платежный документ или изготовить заведомо ложный и подписать его легальной (действующей) электронной подписью. Проконтролировать это можно только путем создания очень сложных технических схем контроля, которые всегда имеют конечную надежность.
— Что положено в основу идеологии Стандарта?— В основу комплекса стандартов положена идеология международного стандарта качества ISO (The International Organization for Standartization) серии 9000. Смысл этого стандарта заключается в следующем: если при производстве какого-либо продукта обеспечены и контролируются постоянные условия производства, то качество продукции будет всегда соответствовать исходным, заранее заданным требованиям. Идеология международной системы стандартов серии ISO 9000 была положена в основу идеологии стандартов COBIT, ISO/IES 17799, 15408, а затем и серии 27000, которые являются основополагающими стандартами информационной безопасности.
Опыт показывает, что отказ технических средств или программного обеспечения, отвечающих за безопасность, например, отказ межсетевых экранов, это довольно редкое событие. Как правило, техника работает исправно. А вот нарушение регламента в эксплуатации этой техники происходит гораздо чаще, именно потому, что, во-первых, не отработана и четко не прописана система работы, функциональные обязанности сотрудников, а во- вторых, не организован действенный контроль. И это создает основные риски. Например, эксплуатация базы данных требует обязательного выполнения технологической процедуры резервного копирования базы данных. Эта процедура по определению является крайне опасной с точки зрения безопасности. Но, с другой стороны, без нее просто нельзя обойтись. Если эта процедура реализуется не регламентированно и бесконтрольно, то реально возникают высокие риски хищения базы данных со стороны персонала. К сожалению, сейчас эти процессы часто выполняются бесконтрольно. Такого допускать нельзя. Казалось бы, я говорю очевидные истины, но именно они, как правило, реализуются наиболее сложно. Это только один пример, а их можно привести множество. Поэтому в Банке России мы обращаем особое внимание на наличие таких регламентов.
Следующее, что положено в основу идеологии стандартов безопасности Банка России — риски информационной безопасности, которые в соответствии с рекомендациями Базель II входят в операционные риски. А операционные риски, в свою очередь, напрямую влияют на риски бизнес-процессов. То есть, снижая риски информационной безопасности, мы снижаем риски бизнес-процессов.
— Кем разрабатывался Стандарт безопасности? И что легло в его основу?— К разработке Стандарта были привлечены практически все заинтересованные структуры. Мы принципиально не хотели, чтобы он делался и воспринимался только как Стандарт Банка России. Первоначально мы провели исследование зарубежных аналогов, лучших практик национальных стандартов, международных стандартов ISO, выполнили научно-исследовательские работы. После этого создали некий первичный проект документа.
Для организации коллегиальной работы был создан специальный подкомитет по стандартизации ПК3/ТК362 Ростехрегулирования. Сейчас он включает семнадцать крупнейших кредитных организаций, фактически в него входит вся первая десятка, три аудиторские компании из первой четверки «Прайс Вотерхаус», «Эрнст и Янг» и КПМЖ, плюс организации занимающие значимое место на рынке средств и услуг в области информационной безопасности и представители органов регулирования.
Кроме того, мы увидели, что необходимо поддерживать процедуру внедрения Стандарта в практической деятельности, с этой целью нами была поддержана инициатива по созданию сообщества ABISS (Сообщества пользователей стандартов Центрального Банка РФ по обеспечению информационной безопасности организаций банковской системы РФ).Зарубежный опыт показывает, что возможны две схемы построения работы при создании Стандарта. Страны, имеющие большую банковскую систему, как правило, не используют напрямую международные стандарты ISO. Они на базе этих стандартов разрабатывают собственные стандарты и внедряют их у себя в центральных банках и в банковской системе. Маленькие страны, имеющие небольшое количество банков, часто напрямую заимствуют международные стандарты. Например, по такому принципу действуют наши некоторые бывшие союзные республики. Каждый из этих вариантов по-своему эффективен.
В России мы пришли к выводу, что в нашем случае, учитывая специфику законодательства РФ и особенности менталитета, необходимо разработать собственный стандарт. Однако методологически, идеологически, терминологически все стандарты совместимы.
— И в чем заключается основное отличие Стандарта Банка России от международных аналогов?— Стандарт Банка России не только учитывает национальные особенности, но он еще и более гибок. В международном стандарте ISO, например, выносится категоричное суждение: банк либо соответствует требованиям стандарта, либо не соответствует. А Стандарт ЦБ позволяет определить, какого уровня зрелости достиг банк, дает возможность самостоятельно себя проверить с помощью специальной методики. После этого можно разработать список замечаний и план совершенствования системы безопасности на несколько лет. В этом заключается новизна российского Стандарта безопасности. — А каким образом в подкомитет по разработке стандарта могут попасть представители банков?
— Желающий принять участие в обсуждении и принятии стандарта пишет письмо в технический комитет ТК362, а тот, в свою очередь, выносит одобрение. Одна просьба к вступающим — активно участвовать, то есть не сидеть наблюдателем, а читать документы, вносить предложения, обсуждать. Конечно, организации заинтересованы в непосредственном участии в разработке стандарта, и, вступая в комитет, каждый преследует свой собственный интерес. Я, как председатель подкомитета ПК3/ТК362, это вижу и считаю, что это правильно, так и должно быть. Если Сбербанк высказывает свои замечания по тексту документа, конечно, к этому надо прислушиваться. То же самое справедливо и по отношению к Альфа-Банку, Газпромбанку и любой другой кредитной организации. Но консенсус достигается только путем тяжелого, плотного общения, выслушивания позиций и принятия аргументов сторон.
Я убежден, что мы находимся на верном пути. Не случайно форму нашей работы приняли и в других отраслях и сферах деятельности. Фактически по нашему пути пошли Газпром, РАО ЖД, предприятия Атомэнергопрома.
— Стандартом Банка России установлена пятиступенчатая шкала оценки безопасности. Какой точке соответствует большинство российских банков? Каковы критерии оценки?— Критерии оценки у нас складываются из трех показателей: уровень технической готовности, направление, в котором движется банк, степень осознания руководства собственных проблем безопасности. Комбинация из этих трех цифр определяет местоположение на шкале зрелости. Технически все банки, как правило, оснащены очень хорошо. Хуже всего, как ни удивительно, выглядит показатель, связанный с осознанием руководством проблем безопасности.
По этим ключевым направлениям деятельности, например работа с документацией, финансирование, кадровая политика, у нас разработаны методики оценки соответствия, сформулированы специальные вопросы. После того как организация на них отвечает, становится понятно, как ее руководство понимает внутренние проблемы.
Проблемы часто возникают из-за того, что со сменой первого лица, как правило, происходит смена кадров. А со сменой кадров происходит обвальное обрушение достигнутого уровня безопасности, всех наработок. И этот момент является для банка критически опасным. Приходится начинать все с нуля.
— С использованием сложных технических средств в системе безопасности во многих банках функции службы безопасности и отдела IT смешались. Порой трудно разобраться кто каким вопросом занимается и кто за что отвечает. Это естественный процесс или опять же недоработки внутреннего управления?— Одна из самых сложных задач в управлении банком — это структурирование деятельности IT. Действительно, часто возникает такая ситуация, когда служба информационной безопасности и служба информатизации подчиняются одному лицу. Это абсолютно неправильно. IT часто подавляет безопасность, подчиняет своей деятельности. Это не злой умысел, просто цели IT и системы информационной безопасности разные. Но, к сожалению, служба безопасности в таком случае не может полноценно выполнять свои функции. При такой схеме работы возникают достаточно высокие риски. Спасает только то, что ей везет — инсайдер или хакер, например, не завелся. Но в банковском бизнесе нельзя полагаться на везение. Это аксиома.
Эти задачи должны быть разведены между менеджментом. Сейчас соотношение банков, придерживающихся схемы с объединенным управлением, и банков, разделяющих менеджмент этих подразделений, 50 на 50. Но тенденция прослеживается правильная.
— Насколько надежно защищены банковские базы?— Лучший показатель, насколько надежно защищена банковская база, — ее отсутствие на рынке. Если она представлена на рынке и актуальна, значит, она защищена плохо. В настоящее время на рынке актуальных баз ЦБ, да и, пожалуй, комбанков, нет. Если что-то появляется, то мы проверяем и обычно приходим к выводу, что это подделка. На рынке есть базы по таможенным расчетам, по физическим лицам, по налогам… И заявляются они, как актуальные. Насколько это соответствует действительности, не берусь утверждать, так как не занимался этим вопросом. Базы Центрального банка презентуются как базы 2003–2005 годов, то есть они утратили свою актуальность. Из этого я делаю вывод, что наши реальные базы защищены достаточно надежно.
Последние случаи — в Лихтенштейне, прокатившаяся в Англии волна с утерей данных о гражданах — говорят о том, что надо уделять вопросу защиты баз данных самое пристальное внимание. На всех этапах ее создания, эксплуатации, копирования, хранения, пересылки и уничтожения .
Часто возникает проблема управления доступом, предоставление соответствующих прав и полномочий пользователям. Группой риска в данном случае являются администраторы баз данных и операционных систем. Тут возникает необходимость проведения мониторинга деятельности этих сотрудников. А это сложная техническая задача, которая только сейчас начинает реализовываться. Для ее реализации требуется большое количество данных, их анализ, интерпретация, а затем проведение постоянного мониторинга и наблюдения за ситуацией. ЦБ тщательно отслеживает эту проблему и, если говорить о деятельности внутри себя, уделяет серьезное внимание вопросам управления доступа, мониторинга деятельности, отслеживания действий, которые можно интерпретировать как опасные. — Если клиентскую базу банка Лихтенштейна менеджер продал налоговому ведомству другой страны за несколько миллионов долларов, интересно, сколько подобная информация может стоить в России?— Это, конечно, надо спрашивать у тех, кто распространяет. Бывает, что даже за разовую информацию о состоянии счетов конкуренты готовы заплатить тысячи долларов… — Но как можно сегодня защитить базу?
— Можно по-разному решать проблему доступа к базе данных — кодирование, шифрование, защита от НСД, управление доступом, регламентирование действий персонала, мониторинг. Банк, с учетом своих особенностей, выбирает для себя наиболее приемлемый вариант. Например, шифрование на индивидуальных ключах — метод интересный. Но нужно помнить о том, что, что в случае отказа системы защиты (а отказы техники, как уже говорилось, к сожалению, иногда бывают) наступает утрата базы данных, ее невозможно будет расшифровать. Тот, кто работает с большими базами данных, как правило, методы шифрования не применяет. Кроме того, в банке идет постоянная борьба за производительность СУБД — это влияет на скорость расчетов, а шифрование неминуемо вносит недопустимое замедление. Обращу ваше внимание на тот факт, что администратор базы данных все равно работает с открытыми данными, он иначе просто работать не может. Таким образом, угрозу от него методом шифрования данных в базе устранить не удается, нужно применять дополнительные защитные меры.
Можно добиться тех же результатов другими способами, а лучше всего их комбинацией, то есть комплексностью защиты. Например, решением задач управления доступом и контроля. По эффективности эти методы сопоставимы, но они менее опасны в случае возникновения чрезвычайных ситуаций и проще в практической эксплуатации.
Если рассуждать логически, то мошеннику необходимо с сервера перекачать базу данных на собственный компьютер, чтобы затем вынести информацию. Передача такого файла по почте привлечет внимание службы безопасности. Остается скопировать на носитель большой емкости. Учитывая этот факт, мы сейчас проводим линию по исключению возможности подключения к компьютеру накопителей большой емкости. То есть USB порты во избежание подобных инцидентов должны быть отключены. На рынке существуют продукты, которые помогают это контролировать. И многие банки сейчас их приобретают.С нашей точки зрения, эти меры достаточно эффективны.
— Защита платежных документов осуществляется в основном на уровне криптографии. Эта система не позволяет предотвратить все возможные риски. Какие средства необходимо применять кредитным организациям, чтобы «отбить» атаки?— Существующих сегодня технических требований, с нашей точки зрения, недостаточно. Технические требования предъявлены в основном к криптографической защите информации, и были разработаны более десяти лет назад для работы на автономных АРМах. Когда АРМы соединили в сеть и включили BBS, то требований только к криптографическим системам оказалось недостаточно, поэтому необходимо требования по безопасности расширить и добиться выполнения требований к безопасности вычислительных сетей. Мы стараемся организовать процедуры внутреннего контроля так, чтобы можно было проверять качество реализации этих требований на местах. — Насколько в России распространено, по вашим данным, хищение денежных средств? Как часто совершаются хакерские атаки? Какие банки в основном выбирают в «жертву»?
— По нашим данным, в год происходит одно-два события, связанных с хищением денежных средств. Банки, конечно, их замалчивают, так как это вопрос репутации. В большинстве случаев хищения совершают собственные сотрудники.
Хищение денежных средств путем хакерских атак — это, скорее, экзотика и довольно редкая, так как они относятся к категории исключительно высокотехнологичных преступлений. Хакерские атаки могут быть эффективными только в том случае, если в банке, который подвергся нападению, были грубые нарушения требований безопасности, Но, тем не менее, такие прецеденты еще случаются. Происходит это преимущественно в региональных банках.
К сожалению, должен сказать, что появились случаи хищения средств клиентов в системе интернет-банкинга. Различными методами, в том числе и хакерскими, преступники завладевают ключами подписи клиентов, необходимыми атрибутами аутентификации парольной защиты. И потом просто снимают деньги. Меры борьбы с этим злом известны: не оставлять ключ ЭЦП на жестком диске, настраивать межсетевой экран и своевременно обновлять антивирусные средства, использовать компьютер, на котором установлена система банк-клиент, только для связи со своим банком. Но это уже меры безопасности, которые должен выполнять клиент.
— А о каких суммах может идти речь?— Суммы могут быть самыми разными. Все зависит от аппетитов преступника. Был случай, когда оператор системы СВИФТ ЦБ одной суверенной страны, бывшей союзной республики, украл половину золотовалютного запаса. Хотя, я думаю, что там действовала целая группа.
Но хищение денег для банка болезненно в любом случае, независимо от суммы.
Что касается Центрального банка, то мы фактически отчитываемся за каждую копейку. Поэтому принцип работы службы безопасности ЦБ: не допустить. Нам совершенно все равно, о чем идет речь: об одном миллионе или об одной копейке — важен факт. Если правильно выстроены процедуры работы и контроль, и он реальный, а не формальный, то фактически риски хищения денежных средств из системы безналичных расчетов снижаются на порядки.
— Как можно предотвратить внутреннее мошенничество?— С моей точки зрения, сейчас только ищутся подходы защиты от внутреннего мошенничества. Традиционные средства защиты от несанкционированного доступа на этом уровне не работают. Они не различают мошенника и добросовестного сотрудника, так как в данном случае различны только их цели, а все права и привилегии совпадают. Эта задача не совсем техническая. Она, во-первых, системная, во-вторых, носит заметный психологический аспект. Надо сотруднику так регламентировать его обязанности, так организовать работу, чтобы даже потенциально он не смог реализовать преступные цели. На сегодня это задача номер один.
В общем, вспоминаем старый забытый принцип: важно не найти и наказать виновного, а не допустить преступление. И кстати, человек на свободе останется.
— В выступлении на семинаре «Новый уровень операционного взаимодействия с Банком России» вы отметили, что ЦБ обладает правом контроля системы безопасности кредитных организаций, но этим правом пользуется редко. С чем это связано? Собираетесь ли вы усилить контроль?— Наше право контроля распространяется только на проверку требований по эксплуатации средств криптографической защиты на АРМах, работающих с расчетной системой Банка России. Иногда наши специалисты принимают участие в подобных проверках, правда, в основном в регионах. Этот процесс не носит регулярного характера, конечно, необходимо сделать его системным. Вероятно, проверки целесообразно проводить в рамках инспектирования кредитных организаций. Но с реализацией этого проекта возникают определенные сложности. В частности, в подразделении инспектирования нет специалистов, то есть их нужно подготовить. Этот вопрос сейчас обсуждается. Если мы обратимся к опыту центральных банков развитых стран, например, Италии, США, Германии, Франции, Испании, то там подразделение инспектирования проверяет вопросы информационной безопасности в кредитных организациях. Результатом проверки становится то, что для проблемного банка разрабатываются рекомендации. То есть подразделение инспектирования осуществляет здесь некоторый патронаж. Ни в коем случае по выявленным фактам не делаются жесткие выводы в форме санкций, лишения лицензий и т.д. Это очень удачная форма работы, которая устраивает обе стороны. — Но как воспримут это банки?
— Если банки увидят, что для них эта процедура не связана ни с какими рисками, даже перспективными, то воспримут эту проверку положительно. Опять же это мероприятие не несет кредитным организациям финансовых затрат. — А как выстраивают свою работу в России иностранные банки?
— Иностранные банки занимают выжидательную позицию. Они покупают активы и смотрят, что происходит на нашем поле. Правда, некоторые уже перевели наш стандарт на английский и внимательно изучают его в центральных офисах. Но в принципе никто не отказывается работать по нашим правилам. Есть такое понятие «комплаенс» — соответствие деятельности законодательству государства. Они готовы работать в режиме комплаенса. Что касается зарубежных банков из СНГ, то там у нас налажено хорошее взаимодействие, мы хорошо находим общий язык.
Начать дискуссию