Михаил Горшков, Дальневосточный банк: Законодательство в ИБ все больше становится похожим на исламское право с огромным количеством толкований и толкователей

Относится ли антифрод к вопросам информационной безопасности? Каким образом законодательство и политическая ситуация повлияли на кибербез в банках? И как изменения в финансовом секторе ускорили работу мошенников? Ответы на эти и другие вопросы – в интервью Михаила Горшкова, начальника отдела управления рисками в дистанционных каналах АО «Дальневосточный банк». 

Cyber Media: Как выглядит сейчас модель рисков ИБ в банке? 

Михаил Горшков: В настоящее время риск информационной безопасности в банке – это чудовище Франкенштейна, сшитое из самых неожиданных частей. Раньше классическая служба ИБ больше занималась вопросами сетевой безопасности, криптографией и защитой рабочих станций. Сейчас же к риску ИБ относятся уже и антифрод, и некоторые вопросы внутреннего фрода. 

Причем еще пять лет назад в обсуждениях с коллегами часто приходилось слышать, что «антифрод – это не ИБ». Но после изменений в этом году в форме 0403203 такого уже почти никто не говорит. 

А после того, как мы получили 716-П, риск ИБ стал также явно определяться как часть операционного риска (ОР). И вот здесь начались «внутрибанковские войны». Подразделение ИБ и служба, отвечающая за учет и оценку ОР (в банках ее обычно называют «риски»), выясняли, кто и чем должен заниматься по риску ИБ. Я полагаю, что при обсуждении ответственности многие видят, что он относится к информационной безопасности. И лишь немногие понимают, что это в первую очередь риск.

Если все эти хорошо известные факты уложить в систему и посмотреть на иерархию, то лично мне кажется очевидным, что идентификация риска должна быть возложена на специалистов ИБ. Они лучше понимают предметную область. Но управление должно быть на уровне, где это все оценивается и где собирается общая картина по всему операционному риску. 

Для меня ясно, что это «риски». Если отдать это подразделению ИБ, то там оценят только риск информационной безопасности. И будут отвечать за свой сегмент. 

Сейчас некоторые считают, что опернадежность тоже относится к ИБ. По этому пути можно однажды прийти к тому, что информационная безопасность станет «рисками». Банк России от этого предостерегает – фактически речь идет о том, чтобы риски учитывали все подразделения, но каждый играл свою роль. При этом роль информационной безопасности действительно кратно возросла. Квинтэссенция важности ИБ отразилась в Приказе №250, где, кроме прочего, определен отдельный зампред по этому направлению.

Эти тектонические сдвиги в немалой степени связаны с геополитическими изменениями, наиболее заметные проявления которых мы замечаем в импортозамещении. Причем в самом широком смысле – от программных продуктов и оборудования до нормативной базы и методологии.

И это только изменения, обозначенные нормативно-правовыми актами («бумажная безопасность»). А у всех таких процессов также есть проекции в реальную безопасность.

Cyber Media: Как поменялся ландшафт рисков ИБ за последние два года? Какие вышли на первое место и почему?

Михаил Горшков: Прошлый год для нас оказался годом вынужденного переобучения. Сначала резко активизировались попытки списания с российских карт из-за рубежа. Как известно, преступники в области ИБ предпочитают красть активы в одной стране, а выводить – в другой. И поэтому мошенники старались максимально быстро использовать украденные реквизиты карт по еще рабочим трансграничным каналам.

Взаимодействие между некоторыми странами и в лучшие годы оставляло желать лучшего, а на фоне геополитического кризиса было сведено к минимуму. При этом фактическое отключение трансграничных карточных операций ликвидировало проблему трансграничного мошенничества с картами – нет операций, нет проблем (пожалуй, кроме карт UnionPay и относительного небольшого объема трансграничных операций по картам «Мир»).

При этом сильно обострилась проблема мошеннических звонков. Атаки стали более организованными, а также идеологически пропитанными (часто приходится слышать от пострадавших, что мошенники напоследок кидают фразы типа «это вам за Украину»).  Но суть не изменилась – это все еще кражи. 

Массово стали использоваться атаки для реализации утечек. В последнее время коллеги все чаще в своих обзорах отмечают, что даже DoS-атаки используются для прикрытия хищения данных, которые затем широко применяются для обзвона.

Также стоит отметить, что в прошлом году под атаки попадали чаще всего именно банки. Но сейчас под ударом прочие организации – все реже финансовые и все чаще мелкие. Это говорит о том, что российская ИБ довольно быстро адаптировалась в финансовом секторе. И немалое количество мошенников ушло туда, где взламывать легче. Тем самым кратно увеличилась потребность в специалистах ИБ и в соответствующих программных решениях.

Cyber Media: Как изменились риски ИБ с нормативной точки зрения? Какие изменения законодательства за последние два года вы считаете особенно значимыми? 

Михаил Горшков: Наиболее острая проблема сегодня – это так называемый «бешеный принтер». Объем нормативно-правовых документов в области ИБ в последние годы вышел колоссальный. 

Требования довольно часто сложны для восприятия, причем даже для специалистов с многолетним опытом в индустрии. Стало нормой ориентироваться уже не на сами законы, постановления, стандарты, а на пояснения к ним в виде сборников «вопросы-ответы», презентаций, писем (особенно от крупных организаций, например АРБ) в Банк России и ответов на них. Законодательство в области ИБ все больше становится похожим на исламское право с огромным количеством толкований и толкователей исходного закона.

При этом не могу не отметить, что Банк России сейчас активнее привлекает экспертов из банковской отрасли к обсуждению планируемых изменений. Практически все последние крупные документы (683-П, 161-ФЗ и др.) предварительно обсуждались. Хотя возможности диалога стоило бы использовать шире. 

Множество вопросов у служб ИБ остаются по аудиту (по ГОСТу 57580) и формам отчетности (особенно 0403203 и 0409071), отчетности в ФинЦЕРТ, требованиям к антифроду и ответственности за потери от мошенничества. Критично высока потребность в нормативной гильотине – требуется исключить часть документов, а часть – существенно пересмотреть. Также стоило бы ускорить реализацию интеграции банков и правоохранительных органов на базе ФинЦЕРТа.

Cyber Media: Вернемся к антифроду. Как получилось, что стал одним из самых обсуждаемых вопросов ИБ? И относится ли он к ним, по вашему мнению, на самом деле? 

Михаил Горшков: Полагаю, что антифрод вышел на первый план, потому что он связан с атаками на наименее защищенный сегмент – на физических лиц. У них красть проще, а социальный эффект сильнее. Государство обязано заботиться о своих гражданах. В текущей геополитической ситуации физические лица – это простые цели с сильным эффектом.

Более того, здесь зачастую наблюдается классическая обратная связь между безопасностью и удобством – чем удобнее клиенту, тем удобнее мошеннику. Первый серьезный подход к решению проблемы мошеннических операций по картам (операции ДБО не были еще актуальны) регулятор сделал еще в 2014 году. Тогда были инициированы серьезные изменения в 161-ФЗ, связанные с попыткой распределить ответственность клиентов и банков по мошенническим операциям.

Последовательно реализовали ряд эффективных мер: быстрый переход на чиповые карты в стране по прямому указанию Банка России, активное внедрение 3D-Secure для интернет-операций при содействии НСПК и т.д. В результате технически клиенты банков были очень неплохо защищены от карточного мошенничества. 

Но в настоящее время антифрод борется не только против мошенников, но против (в некотором смысле) самих клиентов, не давая их ввести в заблуждение методами социальной инженерии. 

Особенно стоит отметить ускорение мошенничества. Если несколько лет назад реквизиты украденных карт могли собирать от 2-3 недель до двух месяцев (примерно) до использования, то в настоящее время речь идет о периодах от 30 минут до двух часов. И в последнее время заметно, что злоумышленники сидят с секундомером в руках и зачастую не успевают украсть больше, потому что понимают, что надо уводить ранее украденное – современные скорости того требуют. И они обусловлены развитием антифрод-систем.

Cyber Media: Какие тенденции, на ваш взгляд, могут определить будущее ИБ в банковской сфере на ближайшие пять лет? К каким событиям нужно готовиться уже сейчас?

Михаил Горшков: Самый заметный тренд – это, конечно, автоматизация процессов, в том числе развитие систем искусственного интеллекта. Атаки становятся все более организованными, участники – все более специализированными и со специальным программным обеспечением. Атаки и защита от них производятся все более крупными структурами с нарастающими скоростями, за которыми люди уже не успевают. 

На клиентском уровне предлагают роботов-помощников, которые сами «общаются» с мошенниками. Это частично решает кадровую проблему, переложив часть рутинной работы на автоматизацию. 

Другая проблема – в регулировании. Требуется увеличить скорость изменений и обеспечить системность. Чтобы не получилось, что сырые требования приводили к ненужным расходам. Для этого надо больше слушать рынок и привлекать участников к принятию решений по нормативной базе. И начальные движения в этом направлении уже есть. 

Ну и, конечно, требуется интеграция с силовыми структурами. Чтобы мошенники ощущали неотвратимость наказания. И такая интеграция нужна уже сейчас.