Топ-менеджеры о трендах ИБ в банках и страховых компаниях

Летом мы запустили подкаст «Интервью с банкиром». Гостями подкаста стали топ-менеджеры ИБ банков и страховщиков. Мы узнали у них, какие киберугрозы актуальны для отрасли и как от них защититься, как на ИБ влияют новые технологии и импортозамещение, сложно ли соответствовать регуляторике. Делимся главными выводами. Послушать или посмотреть все выпуски подкаста можно на нашем сайте.

Эксперты статей:

Дмитрий Андрейчев

Независимый эксперт по информационной безопасности в банковском секторе

Сергей Рычихин

Заместитель гендиректора по комплексной и кибербезопасности АО «Расчетные решения»

Артем Деркач

Руководитель департамента информационной безопасности страховой компании ВСК

Дмитрий Козлов

Руководитель отдела сертификации инфраструктуры и систем процессинга Альфа-Банка

Руслан Ибрагимов

Начальник управления сопровождения инфраструктуры процессинга Альфа-Банка

Евгений Балк

Руководитель департамента развития и архитектуры «Кросс технолоджис»

Интервьюер:

Никита Макаров

Ведущий телеканала РБК

Какие угрозы актуальны для банков и страховых компаний

— В первом квартале 2025 года зафиксирован рост количества атак на финансовый сектор более чем в два раза. Замечаете такое?

Дмитрий Андрейчев: Последние года три замечаем сильный рост. При этом атаки сменили формат: еще три года назад они происходили 24 на 7, а теперь — по будням с 9 до 6. Если года три назад я точно знал, что в 7–8 вечера пятницы начинаются проблемы, то в последний год — наоборот. Создается ощущение, что для злоумышленников атаки стали полноценной работой: с графиком, обедом. Может быть, даже оформлением по трудовой.

— Какие киберугрозы сейчас наиболее актуальны и как вы строите защиту от них?

Артем Деркач: Утечки, атаки, DDoS, вирусы, построение SOC, отбивание от регуляторов, типовой набор средств защиты, поддержка.

Сергей Рычихин: Мы смотрим на меняющееся законодательство: оборотные штрафы, КИИ, 187-ФЗ. Также изучаем требования ФСТЭК по безопасной разработке, CI/CD, выстраиванию процессов. С учетом меняющейся реальности учитываем фишинг, таргетированные атаки.

Руслан Ибрагимов: Суть даже не в конкретных атаках или трендах. Нужна эшелонированная защита, чтобы если злоумышленник проник в вашу систему, он не смог пустить корни. Мы, например, сегментируем внутри сети все сервисы. Если какой-то сервис взломают, то злоумышленник не сможет проникнуть дальше.

Артем Деркач: Сейчас на слуху крупные взломы, но большинство не столь известных инцидентов начинаются с перехода по вредоносной ссылке или скачивания вредоносного ПО, которое каким-то образом обходит наши замечательные средства защиты. Необходимо учить сотрудников и клиентов правильно реагировать на угрозы.

Одни только СЗИ не дают бизнесу защиту на 100%

Как защитить клиентов (порой от самих себя)

— Каким образом банки защищают клиентов?

Руслан Ибрагимов: Чего хочет злоумышленник? Он хочет добраться до данных клиента, либо представиться клиентом. Поэтому важно минимизировать хранение критичной информации на стороне клиента. У него средств защиты меньше, чем у нас.

Второй момент — сделать так, чтобы злоумышленник не мог представиться клиентом. Это защита на уровне биометрии и т.п.

— Кажется, какие технологические решения не создавай, их можно обойти через психологию. Можно ли создать инструменты ИБ, которые смогут это побороть?

Сергей Рычихин: Операторы связи пытаются: например, формируют слепки голосов мошенников. Зрелые компании могут отслеживать, какую информацию сотрудники передают в интернет, на каких сайтах используют свою корпоративную почту. Это помогает минимизировать утечки.

Дмитрий Андрейчев: Пока люди готовы отдавать собственные деньги, вряд ли мы избавимся от мошеннических звонков и их аналогов.

Готовность людей доверять незнакомцам безумно усложняет работу нам — службе безопасности. Вот мы заметили очень странную активность у клиента, с которой не можем разобраться. Понимаем, что надо ему звонить. И представляем, как сейчас нас далеко пошлют, когда мы представимся службой безопасности банка.

Дмитрий Козлов: Это психология, у всех есть слабости. Одного беспокоит образование детей, другого — здоровье. Важно, чтобы в сеть не утекала информация о таких жизненных ситуациях, поскольку она ложится в основу социальной инженерии — мошенничества, основанного на доверии.

Сергей Рычихин: Также нужно повышать уровень киберграмотности в стране. В СМИ неоднократно выходят истории, как школьник или студент взял у мамы карточку и вывел несколько миллионов. Скажу так: наша обязанность — начиная с детского сада рассказывать, чем хорош и плох Интернет.

Кибербезопасность начинается с каждого из нас

— Можно ли сказать, что через клиентов мошенники могут проникнуть в банки?

Дмитрий Андрейчев: Скорее всего, нет. Банки часто компрометируют через подрядчиков. Например, два года назад взломали одного поставщика программного обеспечения. Очень многие на рынке паниковали, но в такой ситуации может оказаться любая компания.

Как защититься от атак через поставщиков

— Что делать, чтобы обезопасить свой бизнес?

Дмитрий Андрейчев: Контролировать. Мы, например, не стали разрывать отношения со взломанной компанией, а объяснили им, как защитить инфраструктуру, какие нам требуются проверки на их стороне. Теперь они отдают нам не готовый продукт, а код. Мы загоняем его в наш конвейер, проверяем и только после этого делаем компиляцию и обновляем софт.

Дмитрий Козлов: Мы смотрим на процессы и разграничиваем ответственность свою и подрядчика, создаем матрицу ответственности.

Сергей Рычихин: Еще одна стандартная практика — заключение NDA, но мы пошли дальше: сформировали соглашение, в котором прописали, что в плане ИБ должен сделать контрагент в рамках нашего взаимодействия.

В соглашении простые вещи: парольная политика, хранение и обработка персональных данных. Кому-то мы выдаем рабочие ноутбуки, кому-то делаем интеграцию с нашим SOC (центром мониторинга информационной безопасности), в некоторых случаях проводим еще и аудит этих компаний.

Как технологии, санкции и импортозамещение влияют на развитие ИБ

— Развитие технологий влияет на количество случаев кибермошенничества?

Руслан Ибрагимов: Конечно. Сейчас все проще создать колл-центр или развернуть облачную инфраструктуру для мошенничества.

Кроме того, раньше, чтобы стать хакером, нужно было много лет практики, а сегодня достаточно воспользоваться нейросетью. ИИ становится доступнее, значит, количество атак будет расти.

— Какие сейчас тенденции на рынке информационной безопасности?

Дмитрий Андрейчев: Автоматизация в основном. Потому что одна из проблем ИБ — нехватка людей при огромной инфраструктуре. Необходимо мониторить, реагировать на каждый инцидент, выполнять множество требований. Сейчас многие вендоры стараются предложить инструменты, которыми можно делать больше, используя наименьшее количество силы.

Также есть явный тренд на риск-ориентированную информационную безопасность — подход, при котором мы не защищаем все, а сосредотачиваемся на критичных вещах.

И, естественно, есть тенденция на «коробочные» решения. Но пока все равно получается, что самые ценные ресурсы ИБ — это люди, а продукт — лишь инструмент.

Евгений Балк: Мы сейчас на пороге изменений, связанных с искусственным интеллектом. Для ИИ уже созданы специфические угрозы, а регулятор разрабатывает требования к применению систем машинного обучения.

Информационной безопасности тоже есть что предложить. У российских вендоров появляются решения, которые используют инструменты машинного обучения, чтобы быстрее выявлять угрозы, аномалии в трафике, потенциальные уязвимости в разрабатываемом коде, а где-то — даже помогать принимать решения.

— В будущем можно будет просто подключить к ИИ свою систему и сказать: «Проверь, все ли у меня безопасно»? А она проверит или развернет средства защиты?

Евгений Балк: Мы, люди, еще поборемся за место под солнцем.

Языковые модели применяют типовые сценарии. Они не создают новое, а очень быстро и качественно перебирают доступные варианты

— Продолжим обсуждение технологий. Насколько реально строить эффективную информационную безопасность в санкционном режиме?

Дмитрий Андрейчев: В банках одна из встроенных защит — некий хаос и огромная инфраструктура, поскольку проникнуть мало, надо понять, куда ты попал. В среднем у хороших специалистов с полным доступом уходит от 3 до 6 месяцев, чтобы понять нашу инфраструктуру. Есть еще один момент. Когда главные атакующие находятся по другую сторону, быть с нашими средствами защиты, которые никто не знает, — даже неплохо.

— Как проходит импортозамещение?

Дмитрий Андрейчев: Сначала было много негатива в отношении российских продуктов. Но давайте вспомним, как заходили западные. Я помню первую версию одного такого продукта. Мы устанавливали его две недели.

Дмитрий Козлов: Мы видим развитие: многие решения в рамках жизненного цикла улучшаются. В целом мы перед тем, как внедрить решение, берем его на пилотный проект. Поскольку даже самое хорошее средство защиты может показать себя не лучшим образом в конкретной инфраструктуре.

— Переместимся в будущее. По статистике, только 12,5% крупных российских компаний застрахованы от киберугроз. Киберстрахование — это перспективное направление?

Артем Деркач: У нас оно востребовано и активно продается. После инцидента страхование киберрисков поможет получить средства на усиление информационной безопасности. Да и в принципе помогает чувствовать себя спокойнее.

Интересно вместе с киберстрахованием предоставлять услуги по помощи в реагировании на инциденты. Такое сотрудничество заинтересовало бы и страховые, и ИБ-компании.

Как компании относятся к усилению регулирования

— Уже прозвучало, что в финансовом секторе важно следовать требованиям регулятора. Что устраивает и не устраивает в регулировании?

Артем Деркач: Проблема в интерпретации требований. Часто приходится дополнительно запрашивать разъяснения, как выполнить то или иное предписание. Плюс каждый аудитор, который приходит тебя проверять, может то или иное требование по-разному вменить. Хотелось бы больше конкретики.

Сергей Рычихин: Можно следовать требованиям «в лоб». Вот часто говорят: «Вы должны инвестировать значительные суммы, потому что это требование закона». Но после 15 лет работы в информационной безопасности ты понимаешь, что ИБ — не доходное подразделение, и свои расходы придется обосновать. Важно научиться читать законы, сопоставлять требования с классами защиты, с СЗИ.

— За повторные утечки предполагаются штрафы в десятки миллионов рублей. Не слишком ли много?

Дмитрий Козлов: Наличие штрафов и ограничений скорее положительно влияет на то, чтобы требования закона исполнялись и продукт становился безопаснее. Всегда есть точка принятия решений: если мера стоит дорого, а закрывает дешевый риск, то кажется, что проще пойти в этот риск.

Имея регуляторные «аргументы», специалистам по ИБ проще обосновать необходимость мер защиты

Как формируются бюджеты на ИБ

— Компании бюджетируют суммы на штрафы?

Руслан Ибрагимов: Это неразумно. Бюджетировать надо не штрафы, а действия, чтобы не допускать утечек.

Артем Деркач: Можно ничего не делать и вкладываться в риски. А можно усиливать защиту. Мы идем вторым путем. В регулировании говорится, что можно снизить оборотные штрафы путем покупки услуг ИБ на определенную сумму. Возможно, кто-то поступит так.

— Как убедить бизнес, что нужно увеличивать бюджеты на информационную безопасность?

Сергей Рычихин: Мы изучали лучшие практики холдинговых компаний, проводили аудиты, пентесты, показывали, где фактически присутствуют уязвимости, как их могут использовать злоумышленники. Далее показывали, как эти проблемы можно закрыть. И когда бизнес понимал, что мы можем предотвратить огромные потери, он соглашался на внедрение. Есть еще один момент:

Успешный диалог с бизнесом невозможен без хорошего контакта с гендиректором. Только такая связка работает

Взгляд в будущее и необходимые меры защиты

— Давайте попробуем нарисовать идеальную картину информационной безопасности.

Дмитрий Андрейчев: Добавлю юмора. Как говорится, самый защищенный компьютер — это выключенный компьютер. Поэтому в идеале — журналы, сейфы, мужчины с автоматами.

Но реалистичный ближайший сценарий — не просто внедрять средства защиты, а видеть, что происходит в инфраструктуре, системах, трафике, понимать, как настроены системы. Тогда мы понимаем, какая структура у банка, как он работает, и можем принимать более обдуманные решения.

Руслан Ибрагимов: Если формировать топ-5 решений информационной безопасности, то эти вещи стары, как мир: антивирусная защита, защита периметра, фаерволы, защита от DDoS-атак, WAF, IPS.

— На что бизнесу обратить внимание в вопросах ИБ?

Евгений Балк: Первое — проведение независимого аудита, чтобы разобраться в активах компании и контексте угроз. Есть разница, защищать крупную географически распределенную компанию, вынужденную соблюдать международные стандарты, или небольшой бизнес, но зависящий от цепочки поставок.

Второе, я бы предложил провести на существующей инфраструктуре тестирование на проникновение. Понять, насколько инфраструктура уязвима к действиям потенциального нарушителя.

По результатам этих действий можно будет формировать план, долгосрочную стратегию развития ИБ и ИТ.

Далее в рамках стратегии можно будет перейти к внедрению средств защиты информации и процессов.

Пятое — периодический аудит уже развернутой инфраструктуры. Без регулярных проверок достигнуть результата очень сложно.

Посмотреть выпуски подкаста с героями статьи можно на странице.