30-31 января в Москве проходил Инфофорум-2020. Во второй день форума состоялся круглый стол «Цифровая инфраструктура, технологии искусственного интеллекта и вопросы информационной безопасности в банковской сфере».
Банковские безопасники и «сочувствующие» собрались в здании Правительства Москвы на Новом Арбате, 36, чтобы обсудить новые тенденции в сфере кибербезопасности.
- Многие угрозы неизвестны даже самим разработчикам, они обнаруживаются только в ходе промышленной эксплуатации, - сказал, предваряя дискуссию, модератор круглого стола, заместитель председателя комиссии по цифровым финансовым технологиям ТПП РФ Тимур Аитов. – Как соблюсти баланс между удобством технологий и их устойчивостью?
Один из банков сделал сверхзащищённую систему дистанционного обслуживания (ДБО), а его клиенты не захотели нажимать огромное количество кнопок и перешли в другой банк, рассказал «страшную байку» модератор.
Клиенты не думают о безопасности
- Когда мы говорим о новых рисках, мы сами себя обманываем. Неизменно существуют три риска: риск потери персональных данных, финансов и репутации банка, - отметил Василий Окулесский, заместитель начальника службы ИБ банка «Возрождение». – Клиент не выбирает уровень защищённости. Он выбирает, как ему удобно работать. 90% клиентов не думают о защищённости вообще.
- Люди ждут, что кто-то подумает за них, - добавил Аркадий Затуловский, ИТ-директор Нордеа Банка (Nordea). – Поэтому нормально, когда разработчики приложений думают о безопасности пользователей и где-то навязывают им технологии.
- Я считаю, мы сами воспитываем «социальных иждивенцев», решая всё время за клиентов, - возразил независимый эксперт Карл Сумманен.
Гендиректор RuSIEM Максим Степченков согласился с мнением большинства коллег – банк должен по максимуму «думать за клиента». При этом нужно внедрять технологии, которые помогают выявить нетипичное поведение пользователя (например, когда он пьян или телефон взял другой человек).
Нестрашные утечки и отключение ДБО
Максим Степченков прокомментировал недавние громкие события с утечками данных клиентов: «У красно-белого банка утекли персональные данные. Ну утекли и утекли. У всех моих знакомых есть карта этого банка. И ничего не произошло!».
Начальник отдела ФЦНИВТ «СНПО «Элерон» Виталий Матвиенко отметил, что тонкости безопасности должны закладываться на этапе разработки при помощи математических моделей, и пользователь не должен о них думать и знать.
- Пользователям стало всё проще продавать безопасность. Однако никто пока этого не делает. Банки не говорят: «Мы самый безопасный банк», - заметил Сергей Белов, руководитель продуктовой безопасности Mail.ru.
Иногда в целях безопасности лучше отключать счета от ДБО, а вернее, от «видимости» в ДБО (например, когда банк выдаёт кредитную карту с большим лимитом, и клиент не хочет подвергать себя повышенному риску), добавил Карл Сумманен.
Николай Силин, эксперт Международного дискуссионного клуба «Валдай», заявил о наличии проблем с доверенной средой. «Мы не управляем теми платформами, которыми пользуемся», - сказал эксперт.
- Клиент не разбирается в ИБ, он не может сам решить, чем расписываться – УКЭПом или ПЭПом через смс. Банк должен предложить ему подходящий вариант, - высказал своё мнение Олег Ковпак, директор по продуктам ID R&D.
– Мы с вами думаем только про студентов, бабушек, предпринимателей, но забываем про мошенников, у которых мешками лежат карты разных банков, - добавил Александр Виноградов, консультант по ИБ Нефтепромбанка. – Также мы забываем про маленькие банки за пределами топ-200, где сидит один безопасник, он не может быть семируким. Он подходит к руководству, говорит: «Нужно это, нужно то», а руководство отвечает: «Денег нет, делай сам».
Выбор между тремя сковородками
Как регулировать разработчиков? Нужно ли их регулировать? И кто/что лучше справится с этой задачей – сертификация, саморегулирование или ЦБ? – задал новую тему для дискуссии Тимур Аитов.
Отвечая на вопрос, Василий Окулесский привёл аналогию: «Вот ты сидишь на сковородке, а тебе предлагают ещё вторую и третью сковородку, чтобы ты между ними выбрал. На каждой температура 140 градусов. Только одна с тефлоном, другая чугунная, а третья стальная». По мнению Василия Окулесского, упор нужно делать на безопасную разработку.
- Сертификация – излишняя вещь, не работающая ни разу вообще, - сказал Аркадий Затуловский. – Есть другие подходы. Первый – это требования. Они есть во всём мире, и становятся обязательными. Второе – извините, есть конкуренция на рынке. Хотя, конечно, она опосредованная.
Справедливости ради он отметил, что даже огромное количество социальной инженерии не отвратило людей, например, от Сбербанка. Однако маленькому банку такие кейсы вполне могут повредить.
Участники дискуссии не раз обращались к теме СБП (Системы быстрых платежей). Эксперты отметили, что привязка всех счетов к номеру телефона, реализованная в рамках СБП, является инфраструктурным нагромождением и создаёт дополнительную почву для социальной инженерии.
Глобальные угрозы
- Цифровая независимость государства проходит сейчас не по физическим границам территории, а там, где пролегают границы между юрисдикциями разных государств. А эти границы проходят сегодня в нашем компьютере или гаджете, - сказал Андрей Курило, президент компании «Реальная безопасность».
Многие российские компании используют в своём ПО открытые коды, которые кто-то создавал явно не из альтруизма. ПО при этом формально является российским, но оно не безопасно, - поднял ещё одну важную проблему Виталий Матвиенко.
Необходимо регулировать глобальные компании, которые фактически ведут банковскую деятельность на территории России, но не получают здесь банковские лицензии и не попадают под регулирование ЦБ, добавил профессор Высшей школы экономики Михаил Левашов. Для этого нужно подталкивать такие компании к открытию российских юридических лиц.
В соответствии с законодательством, даже если организация не зарегистрирована на территории России, но оказывает услуги гражданам РФ за рубли, имеет сайт на русском языке и т.д., то она обязана подчиняться российским законам, заверил Валерий Комаров, начальник отдела обеспечения осведомленности Управления информационной безопасности Департамента информационных технологий города Москвы. Дальнейшие действия – вопрос регулирующих и контролирующих органов.