Алексей Юдин, QIWI: Кибербезопасность должна быть разумной, без закручивания гаек

Алексей Юдин, менеджер по информационной безопасности и противодействию мошенничеству QIWI, рассказал порталу Cyber Media об особенностях обеспечения информационной безопасности платежных систем, изменениях в ландшафте кибератак на финансовый сектор и специфике обеспечения ИБ в международных компаниях.

Cyber Media: Платежные сервисы традиционно наиболее интересны «коммерческим» хакерам. Изменился ли этот тренд в связи с развитием хактивизма?

Алексей Юдин: Нет, глобально – ничего не изменилось, просто стало сложнее. В первую очередь, это связано с тем, что деньги стало сложнее выводить всем – и простым людям, и киберпреступникам.

Большинство хакеров работают по следующей схеме: после кражи денег их переводят в другую юрисдикцию и уже там «раскидывают» по конечным точкам, для вывода и обналичивания.

За прошедший год возможностей для вывода средств в другие страны серьезно поубавилось. Они все еще остаются, но совсем не в тех объемах, как раньше. Соответственно, и интерес хакеров к российским платежным сервисам снизился.

При этом, снижение количества атак с прямой финансовой мотивацией компенсируется другими атаками – в том числе и хактивистов. Соответственно риски платежных систем остаются по прежнему на высоком уровне.

Cyber Media: Можно ли говорить о том, что хакеры, которые раньше работали по платежным сервисам и финансовому сектору, переориентировались на крипторынки?

Алексей Юдин: Банковская отрасль серьезно отличается от криптобирж. Практики информационной безопасности в банках, плюс-минус, однородны и известны достаточно давно, поскольку формировались десятилетиями. В контексте крипты такого сказать нельзя – там каждый проект или компания может серьезно отличаться от своих «коллег».

Применительно к крипте, хакеры специализируются на конкретной технологии или монете. Чаще всего это «молодая» и незрелая криптовалюта, которая еще не успела устояться в части информационной безопасности.

Но ситуация меняется, поскольку, условно, «зрелый» криптовалютный рынок, активно мониторится американскими компаниями, вместе с этим – внедряется их комплаенс. Соответственно, атаковать проекты, связанные с USDT, биткойном или тем же эфиром, становится существенно сложнее, в частности – возникают сложности с обналичиванием украденных средств.

Cyber Media: Какие угрозы, в современных реалиях, наиболее актуальны для платежных и банковских сервисов?

Алексей Юдин: Для каждого сервиса, как и для каждой компании, есть свой набор угроз. Каждая организация самостоятельно разрабатывает модель рисков, проводит их приоритезацию, определяет набор наиболее актуальных угроз.

Точно могу сказать, что за прошедший год большой головной болью стали целевые атаки, в том числе атаки хактивистов. До СВО все хакерские атаки были направлены либо на прямую монетизацию, то есть на кражу денег, либо на опосредованную, то есть кражу данных с целью их последующей продажи и использования в мошеннических схемах. С прошлого года огромное количество атак нацелены на нанесение ущерба сервису или нарушение работы бизнес-процессов.

Cyber Media: Одна из систематических проблем массовых сервисов – это человеческий фактор. Какие инструменты и практики использует Ваша компания для защиты пользователей?

Алексей Юдин: У нас достаточно развитая система информационной безопасности. Начиная с безопасности внутренних систем и продуктов, соблюдения требований регулятора, и заканчивая развитой клиентской поддержкой, которая активно предотвращает неправомерный доступ к счетам пользователей, оперативно оповещает пользователей в случае подозрительной активности на счете.

Помимо этого, у нас есть достаточно гибкая система пользовательской безопасности, которую клиент может настроить сам. От требований по аутентификации до лимитов переводов и ряда других инструментов. Каждый пользователь выбирает конфигурацию настроек для своего, частного случая.

Продуктовая безопасность вариативна: так, например, один пользователь использует кошелек редко, для мелких разовых переводов или при оплате ограниченного числа сервисов, другой – для крупных и частых переводов, оплаты большого количества счетов, третий – для разовых, но крупных транзакций. Каждый из них сам волен выбрать уровень безопасности, который соответствует его запросу. Я считаю, что это правильный подход, безопасность должна быть разумной, без «закручивания гаек».

Cybr Media: Если говорить о больших проектах, которые работают сразу в нескольких странах, какие возникают сложности обеспечения информационной безопасности?

Алексей Юдин: Очевидно, что с точки зрения модели угроз, нет большой разницы, где находится компания – в России или, например, Казахстане. Угрозы будут одни и те же. Я бы выделил три большие сложности ИБ, связанные с международными проектами.

Первая – это сложность синхронизации. В разных странах работают разные команды, над разной инфраструктурой, и все это нужно увязать в единую экосистему, работающую на единых стандартах.

Вторая сложность – это обеспечить соответствие инфраструктуры требованиям регуляторов нескольких стран и вместе с тем – единый высокий уровень реальной кибербезопасности всей компании.

Третья сложность – это соблюдение баланса при создании инфраструктуры, которая должна соответствовать одновременно десятку разных комплаенсов, внутренних требований безопасности, быть гибкой и эффективной по своей стоимости и масштабируемости. Балансируя на этой грани, мы стараемся применять наиболее разумный набор мер защиты от киберрисков, без закручивания гаек для бизнеса.