Евгений Карпов, КБ Хлынов: с рынка ушло порядка 40 вендоров

Фотограф - Николай Кушниренко

О работе банковского сектора в условиях кибератак и импортозамещения рассказал CyberMedia начальник отдела ИБ КБ «Хлынов» Евгений Карпов в рамках конференции Security Summit 16 июня.

Cyber Media: Сейчас много утечек из разных секторов: Яндекс.Еда, Wildberries, ВТБ, ГИБДД. Какие инструменты вы планируете внедрить, чтобы защитить своих клиентов?

Евгений Карпов: Смотрим в сторону WAF в дополнение к имеющимся средствам DLP для более тонкой, полной и интеллектуальной защиты. Надо понимать, для чего этот инструмент служит: это не защита от DDoS-атак, это не защита от утечек по электронной почте, это другой инструмент. У нас есть штатная система DLP, она функционирует. Да, есть проблемы в связи с внешнеполитической ситуацией — это не отечественный вендор, но она пока работает, альтернативные отечественные варианты уже изучены, принимаем решение по замене. Но импортозамещение, куда от этого деться? С рынка ушло порядка 40 вендоров; в том числе есть информация о случаях, когда были просто выключенные производителем средства защиты с потерей абсолютно всего, а не только целевого функционала.

Cyber Media: Как импортозамещение повлияет на банковский сектор?

Евгений Карпов: Переход на средства защиты отечественной разработки или из дружественных стран. Как результат – пересмотр политики обеспечения информационной безопасности, политики применения средств защиты и, как следствие, всего ассортимента средств защиты и режимов их функционирования. Банки, которые имели, например, отличную оценку на начало года по обеспечению информационной безопасности, сейчас сидят в общем котле со всеми и решают задачи импортозамещения. Соответственно, весь этот пазл банки собирают сейчас заново, может быть, за исключением тех банков, которые давным-давно под санкциями — они этот тернистый путь уже прошли. Как следствие этого, сейчас идёт очень резкая перестройка рынка,

Cyber Media: Если говорить об импортозамещении: есть у вас понимание, что в ближайшее время вы будете импортозамещать?

Евгений Карпов: Да есть. Теоретически, джентльменский минимум любой кредитной организации: антивирус, защита внешнего периметра организации при осуществлении доступа пользователей во внешние сети и интернет, DLP-система. Поверх этого может быть ещё что-то, но эти позиции должны быть заменены в кратчайшие сроки, если вы использовали не отечественные или «дружественные» решения.

Мы входим в кибержизнь — жизнь в полностью информационных технологиях. Если раньше антивируса было достаточно, потом внезапно появился файервол — и этого тоже было достаточно, то сейчас круг продуктов намного шире. То, что я назвал, — это минимальный набор, который должен быть, как условие самой возможности функционировать. Есть системы обнаружения вторжения и внутренних атак (системы СОВ/СОА или IDP/IPS в англоязычной терминологии), WAF, всевозможные умные системы-детекторы аномалий — это всё то, что нужно изучать, смотреть, понимать, для чего они служат, как они работают; понимать, как с ними работать в практическом плане и, собственно, внедрять, определять их целевую зону охвата в организации, и уметь применять их.

Cyber Media: Есть внешние атаки, а есть внутренние нарушители, которые зачастую эти базы и сливают: недовольные сотрудники…

Евгений Карпов: Текучка кадров — это норма жизни любого банка. Сотрудники приходят, сотрудники уходят. Любой банк принимает меры ограничения по доступу к этим данным, по ограничению доступа к каким-то значимым объёмам этих данных, внедряет системы DLP, минимизирует работу с переносными носителями, старается контролировать обмен данными по электронной почте или через интернет.

Cyber Media: То есть у вас сотрудник, который увольняется, не может так просто получить и слить базу клиентов, с которой работает?

Евгений Карпов: Не только тот, который увольняется — мы стараемся, чтобы это вообще было невозможно, либо было затруднено. Все сотрудники в курсе, что используется DLP-система. Механизм выявления этих операций совершенствуется. Если речь идёт не про базу, а про информацию по конкретному клиенту, при наличии информации, что такой интерес был — да, проводится проверка. Мы определяем, кто информацией по этому клиенту владеет, искал, если мы видим какую-то аномалию в доступе к этим данным, то разбираем это.

«Снижать защиту никто не хочет. Да, будет переход банков на отечественные решения, да, отечественные решения будут подтягиваться по функционалу в ближайшие годы».

Cyber Media: Как вы оцениваете сейчас российский рынок разработки: есть ли ресурс, как вы видите по своей ситуации по импортозамещению?

Евгений Карпов: Отечественные решения где-то идут впереди всех, где-то они отстают. Соответственно, мы весь пазл средств защиты вынуждены собирать заново. Западный софт по многим направлениям был на хорошем международном уровне и очень хорошо продавался без стимулирования со стороны местных органов власти. Сейчас ситуация, когда либо отечественное, либо зарубежное, которое могут отключить в силу разных причин.

Cyber Media: Получается, что российским вендорам ещё придётся адаптировать какие-то решения…

Евгений Карпов: Им придётся в течение ближайших лет выходить на нормальный уровень. При этом не надо забывать, что атаки из-за рубежа на инфраструктуру банков никуда не делись. Снижать защиту никто не хочет. Да, будет переход банков на отечественные решения, да, отечественные решения будут подтягиваться по функционалу в ближайшие годы.

Cyber Media: То есть, основной вектор — доработка решений…

Евгений Карпов: Импортозамещение выпавших решений.

Cyber Media: Есть же такие направления в вашей среде, где западные ушли, а отечественных нет, что тогда делать?

Евгений Карпов: Взвешивать риски, увеличивать меры безопасности, например, по DLP-системе, пытаться делать так, чтобы технически не было возможности что-то вывести. То есть, всё можно сделать: вы можете убрать систему в сейф, а ключи унести в СБ, и, пожалуйста, ты работаешь, увести данные будет очень тяжело. Я не говорю невозможно, их возможно увести — тяжело, неудобно, сложно, не те объёмы будут, всё равно это будет поиск компромисса и выбора применяемых средств защиты.

Cyber Media: То есть если резюмировать, получается, вектор для банковского сектора — это работать с тем, что есть на рынке, и собирать некий свой набор продуктов, которые будут в системе работать.

Евгений Карпов: Пытаться понять, что в данный момент у тебя работает, а что нет. По тому, что работает — какие перспективы, что оно работать перестанет? Тебе могут не продать лицензию, а средство работает до конца текущей. Тебе надо из этой ситуации как-то выкрутиться: смотреть отечественные решения, есть и неплохие в том числе; пытаться как-то перекроить — убрать здесь средства защиты и поставить их в другом месте. Идёт перестройка мозаики средств защиты.