Вячеслав Касимов, МКБ: Зашифрованная инфраструктура — это самый страшный сон, который может присниться

Директор департамента информационной безопасности Московского кредитного банка (МКБ) Вячеслав Касимов рассказал порталу Cyber Media как банковская отрасль справляется с возросшим количеством кибератак, а также о том, как правильно выстроить защиту в компании из финансового сектора.

О спикере:

В 2008 году закончил Московский государственный технический университет гражданской авиации (МГТУ ГА) по специальности «Информационная безопасность телекоммуникационных систем».

Начал свою карьеру на должности программиста во ФГУП НИИ «Квант». Затем работал в «ОТП-банке» ведущим специалистом по автоматизации подразделения информационной безопасности.

В 2009 году перешел в банк «ФК Открытие», где прошел путь от начальника отдела до исполнительного директора по информационной безопасности. Во время работы в «ФК Открытие» совмещал работу на аналогичных позициях в банках «Траст» и «Номос-банке» в период их присоединения к «ФК Открытие».

В 2017-2018 гг. Вячеслав работал начальником управления безопасности в АО НСПК.

С 2018 г. присоединился к команде МКБ в должности директора департамента информационной безопасности. 

Cyber Media: За минувший год резко увеличилось количество кибератак. Ощутили ли это в МКБ или в этом плане все осталось так же, как и раньше?

Вячеслав Касимов: Если говорить про DDoS-атаки, то их количество выросло на пару порядков. В нашей статистике — где-то примерно в 70 раз по сравнению с 2021 годом. 

Если говорить про атаки, связанные с тем, чтобы организовать какое-то вирусное заражение, получить доступ в инфраструктуру, то я бы сказал, что они остаются более-менее в том же самом фоне, который присутствовал всегда, начиная примерно с 2014 года. 

Нельзя сказать, что произошли какие-то резкие скачки, но при этом мы со своей стороны, наверное, чуть более осторожно стали к этому относиться по той причине, что если раньше open-source не был таким откровенным способом внесения чего-то плохого в инфраструктуру, то сейчас этот способ активно эксплуатируется.

Я бы сказал, что не все организации к этому готовы на все 100% и умеют контролировать то, что в виде открытого кода или модулей вносится в их продукты. Поэтому я считаю, что скоро доблестные активисты и участники кибервойн поймут, что DDoS — это не самое плохое, что можно сделать; и вот это будет страшно, скорее всего.

Cyber Media: Готов ли МКБ к новой реальности?

Вячеслав Касимов: Мы сделали самое главное в этом году: не потеряли ни одного класса защиты из тех решений, которые у нас используются. Мы либо сохранили работоспособность, либо просто поменяли их на отечественные аналоги. Это дает уверенность в том, что мы по-прежнему эшелонированы, мы по-прежнему живем с лучшими решениями, которые есть на рынке, и у нас есть еще одна главная сущность, которая позволяет не грустить, — это Security Operations Center.

Поэтому даже если есть какие-то недостатки с точки зрения настроек, решений или в принципе их способности детектировать или останавливать тот или иной сценарий атаки, то у нас всегда есть SOC, который для этого и создавался, и, соответственно, позволяет быстро реагировать на старт атаки, на этапе, когда происходит закрепление злоумышленника, который потенциально может оказаться в инфраструктуре. Поэтому я бы сказал, что МКБ скорее готов.

Cyber Media: Вообще это необычно, что у банка есть свой SOC. Почему вы решили создать его самостоятельно, вместо того чтобы выбрать услуги проверенных коммерческих SOC?

Вячеслав Касимов: Ответ на самом деле очень прост. Это доступность мне как CISO лучших специалистов, которые могли это сделать — с одной стороны, а с другой стороны — экономика.

У нас эти два фактора сложились. Мы исследовали рынок, мы просмотрели все те Security Operations Centers, которые свои услуги предоставляли как сервисы, мы сравнили это с тем, что мы можем сделать своими силами и пришли к очень удачной экономике.

Но эта очень удачная экономика справедлива в том случае, когда есть: первое — экспертиза и второе — достаточный объем. Если бы мы были организацией, у которой в штате 200-300 человек, то, скорее всего, это было бы невыгодно, лучше было бы в таком случае рассмотреть варианты аутсорсинга.

Cyber Media: В рамках форума SOC в конце прошлого года вы подметили, что рассмотрите вариант публикации части кода SOC на GitHub. Как Вы считаете, важно ли в 2022 году делиться своим опытом в ИБ?

Вячеслав Касимов: Могу сказать, что в банковской сфере конкуренция достаточно честная. Нет каких-либо спекуляций по поводу DDoS-атак: «Этот банк дольше лежал, этот меньше» и на основе этого конкуренты не строят рекламные кампании. И мне это очень нравится на самом деле. Это означает, что в банковской сфере действительно здоровая конкуренция без использования каких-то совершенно некрасивых методов продвижения себя. 

Специалисты готовы к тому, чтобы поделиться информацией, поэтому да, я считаю, что имеет смысл, наверное, создать какую-то единую структуру Security Operations Centers по аналогии с FIRST-ом, как это сделано за рубежом. В рамках этой структуры специалисты смогут обмениваться на совершенно взаимной основе фидами и индикаторами компрометации для того, чтобы делать работу друг друга качественнее. 

Такого рода взаимодействие не создаст невероятные конкурентные преимущества для кого бы то ни было, потому что если у SOC хорошо выстроены все процессы, он достаточно зрелый, то это автоматически означает, что у него хорошая база знаний, получив от кого-то еще лучшую, он сам лучше не станет — здесь, скорее, процессы рулят.

Единственный нюанс — это не отрегулировано на государственном уровне, например, через Банк России. Но, быть может, это не столь важно, и, наверное, сама инициатива была бы хороша, если бы она стала централизованной. Есть, безусловно, НКЦКИ, который со своей стороны подобное распространение делает, но что-то мне подсказывает, что если взять два SOC-а и организовать между ними прямое взаимодействие, то оно будет куда более эффективно.

Cyber Media: Что ждет банковский сектор в области кибербезопасности?

Вячеслав Касимов: Какое-то будущее ждет банковский сектор так или иначе. Светлое оно будет или не очень, зависит в первую очередь от внешних факторов: если все будет сохраняться в том же виде, что и сейчас — к чему это будет приводить? Это будет приводить к тому, что будут масштабные перевнедрения продуктов от российских вендоров, и это будет продолжаться достаточно длительное время, потому что если софт можно брать прямо сейчас, то в части аппаратной составляющей предстоит подождать технологические прорывы в России.

Также я думаю, что банкам необходимо очень пристально в текущее время посмотреть на open-source или свою разработку. Внутренняя разработка средств защиты в банках — это не то что мастхэв, это неизбежность.

Ну и, как я до этого уже сказал, все истории, связанные с кибервойнами и хактивизмом будут с течением времени становиться все более и более деструктивными. И я в связи с этим очень пристальное внимание всех обратил бы на свою защищенность от шифровальщиков, потому что зашифрованная инфраструктура — это, наверное, самый страшный сон, который может присниться и полный крах в случае, если он станет явью. 

Cyber Media: Какие, на ваш взгляд, лучшие способы защиты от шифровальщиков для тех, кто еще сталкивался с этим? 

Вячеслав Касимов: Сложный вопрос на самом деле. Ну, само собой, нужен антивирус. Шлюзовый антивирус, антивирус, который стоит на хостах, песочницы. Они нужны, чтобы понимать функционал: хороший или вредный. Если есть критичные среды, то можно создавать с помощью хостовых решений изолированную программную среду, но массово это, к сожалению, не сделаешь, — требует очень больших ресурсов на внедрение и поддержку. Естественно, что патчинг, — это наше все. Помимо этого, для защиты понадобится контроль настроек и конфигурации, ну и, конечно же, процессы управления доступом.

То есть, по большому счету, это все основные процессы классической ИБ — они должны быть реализованы. Единственный совет, который я мог бы дать: нужно концентрироваться на защите действительно ценной информации и активов ее обрабатывающих.