26 Декабря 2024 09:20 26 Дек 2024 09:20 |

Поделиться

Вячеслав Касимов, МКБ: Чрезмерная надежда на превентивные меры не менее вредна, чем фокусирование исключительно на реагировании

CNews: Какие угрозы сейчас являются актуальными для российского банковского сектора? Какие типы кибератак стали уже привычными, а какие только набирают популярность среди злоумышленников?

Вячеслав Касимов: Актуальные угрозы в банковском секторе России связаны с изменениями в ландшафте киберугроз и текущими вызовами, включая необходимость ускоренного импортозамещения, дефицит специалистов и возросшую интенсивность кибератак. Одной из распространенных угроз остаются целевые DDoS-атаки. Хотя они не носят массового характера, такие атаки обычно более мощные, продолжительные и целенаправленные, как это было недавно с рядом крупных банков.

Особую опасность представляют целенаправленные атаки, нацеленные на проникновение в инфраструктуру с целью получения данных или денежных средств. Это может быть шифрование данных злоумышленниками для уничтожения инфраструктуры и «заметание следов» как с помощью ransomware, так и с помощью типичных скриптов. Кража персональных данных также представляет риск, поскольку точные сведения, например, о месте жительства или банковских счетах, могут использоваться для создания иллюзии доверия, когда злоумышленники выдают себя за представителей банка или официальных служб/структур. При этом положительной тенденцией является снижение атак на банкоматы и терминалы: они постепенно уходят на второй план.

Другие киберугрозы характерны не только для банковского сектора — это, например, сложный многоступенчатый фишинг. В таких случаях сотрудники могут получать сообщения от якобы руководителя с поручениями на срочные переводы средств по указанным «руководителем» реквизитам или получают сообщение о скором звонке «сотрудника ФСБ», которому нужно будет содействовать. В результате сотрудник может либо лишиться собственных накоплений, либо поставить под удар компанию — перевести деньги организации атакующим, передать конфиденциальную информацию, запустить вредоносное ПО.

Злоумышленники готовятся к атакам достаточно тщательно — создают аккаунт, похожий на используемый настоящим руководителем, используя данные из утечек и доступных источников. Тем не менее более сложные инструменты, такие как дипфейки, на мой взгляд, пока не стали массовым явлением, видимо, мошенникам хватает и менее продвинутых способов для достижения своих противоправных целей.

CNews: Законодательство традиционно было одним из драйверов ИБ, так ли это сейчас? Насколько нормативные требования соответствуют современному ландшафту киберугроз?

Вячеслав Касимов: Законодательные требования остаются важным драйвером кибербезопасности в банковском секторе. Основная регуляция в России исходит от Банка России, который разрабатывает для финансовых организаций рекомендации и нормативные требования. Это дает банкам ориентир для построения эффективной системы кибербезопасности. Детализированный подход особенно помогает небольшим и средним организациям следовать проверенным инструкциям, минимизируя риски. Для крупных игроков такой формат может создавать дополнительные задачи, однако зрелые финансовые организации рассматривают кибербезопасность как ключевой элемент устойчивости и стабильности, поэтому вкладывают значительные ресурсы в развитие своих ИБ-систем.

Кроме того, нормы отечественных стандартов и регуляторные требования Банка России способствуют поддержке автоматизации процессов кибербезопасности. Например, у нас в МКБ используется платформа Security Vision, которая помогает существенно упростить анализ применимых нормативных требований и контроль их выполнения, обеспечивая непрерывный мониторинг и быстрое реагирование на изменения.

CNews: Сейчас много говорят про управление киберинцидентами, и порой кажется, что про превентивные меры забывают. Как соблюсти баланс между предотвращением и своевременным реагированием?

Вячеслав Касимов: Важно не впадать ни в одну из двух крайностей: чрезмерная надежда на превентивные меры не менее вредна, чем фокусирование всех ресурсов исключительно на реагировании. Необходимость реализации мер по предотвращению инцидентов обусловлена тем простым соображением, что негативное событие проще не допустить, чем «потушить» его последствия, а уделение большего внимания превентивным мерам позволит обеспечить более высокий уровень киберзащищенности.

Однако, меры предотвращения реализуются на базе ИТ-решений, которые зависят от программного и аппаратного обеспечения, а оно может давать сбои. Кроме того, полностью охватить защитой всю инфраструктуру достаточно сложно, особенно с учетом непрерывного изменения информационной инфраструктуры в крупных высокотехнологичных компаниях. Поэтому важно исходить из того, что успешная кибератака — это не вопрос вероятности, а вопрос времени. Соответственно, должен быть четко выстроен процесс управления инцидентами ИБ.

Реагирование сегодня воспринимается некоторыми как панацея, что является ошибочным подходом. В условиях невозможности или нежелания реализации всего объема превентивных мер все надежды возлагаются на команду управления киберинцидентами, на внутренний или внешний SOC. Подобные предположения подпитываются отчасти маркетинговыми слоганами провайдеров ИБ-услуг и стремлением переложить ответственность за киберустойчивость инфраструктуры на MSSP.

Такая иллюзия может быстро и болезненно разрушится — серьезная кибератака пройдет незамеченной для SOC ввиду низкого уровня зрелости корпоративных процессов ИБ. Например, не все источники завели на мониторинг, не все политики аудита были применены, не на всех хостах стояли СЗИ, обновления вовремя не устанавливались и т.д. Таким образом, защита компании исключительно за счет мер реагирования будет либо симуляцией и нерациональным расходованием бюджета, либо потребует неоправданно больших ресурсов для качественного охвата мониторингом всей инфраструктуры.

На мой взгляд, важно соблюсти принципы целесообразности и экономической эффективности при нахождении баланса между предотвращением и реагированием: в каких-то случаях превентивные меры будут более подходящими и выгодными, а где-то экономически оправданными будут меры мониторинга и реактивного устранения угроз.

Например, если событие маловероятно, но представляет значительный риск, то лучше подготовить меры для быстрого реагирования, чем тратить большие ресурсы на его полное предотвращение. Задача руководителя по информационной безопасности — найти и поддерживать этот баланс: оценить затраты и пользу различных мер защиты, принять взвешенное решение, выделить ресурсы и обеспечить функционирование выбранных защитных мер.

CNews: Какие вызовы стоят перед руководителем подразделения по кибербезопасности в современном финансовом учреждении? Как с ними справиться?

Вячеслав Касимов: С 2022 года перед кибербезопасностью в банковской сфере встали новые вызовы. Увеличение кибератак, необходимость срочного импортозамещения и поддержка зарубежных решений в отсутствие вендоров потребовали значительных ресурсов, особенно кадровых и финансовых. Дефицит квалифицированных специалистов в кибербезопасности по разным причинам усиливается, что делает обоснование бюджета на защиту инфраструктуры критически важным. Сегодня финансовые руководители все больше осознают важность устойчивости кибератак для бизнеса, что делает приоритетным для руководителя по ИБ умение обоснованно представлять потребности и эффективно распределять ресурсы.

Также широкое освещение кибератак в СМИ и внимание государственных органов к ИБ привело, с одной стороны, к осознанию бизнесом реальности киберугроз и к появлению заинтересованности в недопущении критичных киберинцидентов, но, с другой стороны, повысило и ожидания топ-менеджмента от результатов работы ИБ-подразделения. Современный CISO — это полноценный член управленческой команды, от которого ожидают не только профессиональной экспертизы, но и бизнес-мышления, а также умения обосновать свои инициативы и добиваться выделения ресурсов на их осуществление.

Краткая биография

Вячеслав Касимов

• 2008 г. — закончил МГТУ ГА, специальность «Информационная безопасность телекоммуникационных систем».
• Работал программистом в ФГУП НИИ «Квант», ведущим специалистом в «ОТП-банке».
• 2009 г. — начал работать в банке «ФК Открытие», прошел путь от начальника отдела до исполнительного директора по ИБ.
• 2017 г. — 2018 г. — начальник управления безопасности НСПК.
• С мая 2019 г. — CISO в Московском Кредитном Банке (МКБ). Имеет большой опыт построения практической информационной безопасности с нуля, проектирования комплексных систем информационной безопасности и антифрода. Является адептом риск-ориентированного подхода к построению информационной безопасности и использования в работе лучших мировых практик.

подробнее

В условиях ограниченных ресурсов одним из приоритетов финансовых учреждений стало импортозамещение зарубежных решений, которое должно быть завершено до конца 2024 года, несмотря на необходимость проверки совместимости новых систем и обеспечения их стабильной работы в загруженных банковских инфраструктурах. Кроме того, в этих условиях от банков требуется обеспечивать операционную надежность и высокий уровень доступности модифицируемых и импортозамещаемых информационных систем для клиентов.

Основной вызов — кадровый дефицит, поэтому построение сильной команды — одна из важнейших задач CISO. Привлечение специалистов требует комплексного подхода: активное участие в профессиональном сообществе, хакатоны, профильные конференции и стажировки для студентов и школьников помогают не только развивать внутренние компетенции, но и создавать положительный имидж организации как привлекательного работодателя.

CNews: Насколько реально полностью автоматизировать процессы реагирования в SOC-центре, хотя бы на L1? Какие еще процессы ИБ можно автоматизировать?

Вячеслав Касимов: Считаю, что на текущем уровне развития и практического применения систем автоматизации, машинного обучения и искусственного интеллекта роботизировать можно только алгоритмизируемые задачи, а аналитические — пока что нет. То есть задачи, которые выполняются в соответствии с детально конкретизированными регламентами, инструкциями и плейбуками, вполне поддаются автоматизации. Если человек способен выполнить в информационной системе набор действий в соответствии с алгоритмом, то и машина сможет.

Поэтому, действительно, работу операторов SOC-центра уровня L1 вполне можно роботизировать, предоставляя сотрудникам возможность выполнять более креативные и менее нудные задачи. Системы автоматизации класса IRP/SOAR будут справляться с рутинными задачами уровня L1-аналитика быстрее и дешевле, давая прогнозируемый и воспроизводимый результат, который не зависит от субъективных оценок свойств того или иного киберинцидента. Например, используемая у нас в банке SOAR-платформа от Security Vision позволяет не только частично компенсировать дефицит кадров за счет автоматизации типовых действий при реагировании на инциденты ИБ, но и упрощает их анализ за счет обогащения и контекстуализации данных посредством интеграции с различными ИТ-системами и средствами защиты банка. Так, модуль Security Vision для взаимодействия с АСОИ ФинЦЕРТ автоматизирует процесс отправки отчетов и обработки запросов от регулятора.

Также автоматизировать можно процессы управления активами, уязвимостями, конфигурациями и изменениями, хотя в этих областях требуется предварительная аналитическая работа для выработки безопасных конфигураций и процедур, которые затем можно перенести в систему автоматизации.

Поэтому предварительная проработка «живыми» специалистами крайне важна — им нужно разработать и задокументировать алгоритм выполнения действий в рамках реализации определенного процесса ИБ, а затем настроить этот алгоритм в выбранной системе автоматизации.

В используемой нами системе Security Vision это достигается с помощью графического интерфейса и технологий low-code/no-code, что делает работу специалистов проще и доступнее.

CNews: Социальная инженерия — по-прежнему самый популярный метод атак на граждан. Какие современные технологии используются в антифрод-решениях?

Вячеслав Касимов: Методы социальной инженерии остаются одним из главных инструментов мошеннических атак, направленных на банковских клиентов. Задача злоумышленников — убедить жертву, что все ее действия направлены не на утрату, а на «сохранение» средств. Применяя внушение, нейролингвистическое программирование, а также манипулируя страхами, стереотипами и когнитивными искажениями, мошенники нередко убеждают жертв в необходимости срочных действий, сохранении их в тайне от близких и даже в том, что работники банка могут быть «шпионами», которым не стоит доверять. Попав под такое воздействие, человек зачастую игнорирует любые предупреждения и рекомендации: ни антифрод-системы, ни период охлаждения, ни предупреждения от банков и социальная реклама на улицах не помогут.

Тем не менее антифрод-решения действительно помогают в борьбе с мошенничеством. Например, в МКБ еще в 2021 году мы внедрили специальную систему защиты пенсионеров от мошенников. Она анализирует поведение клиента, его риск-профиль и выявляет подозрительные действия, указывающие на возможное психологическое давление. Системы, использующие методы математической статистики, машинное обучение и поведенческую аналитику, позволяют обнаруживать аномалии и отклонения от привычного финансового поведения клиентов, что помогает выявить потенциальное мошенничество.

Кроме того, Банк России также активно содействует защите от мошенничества. Например, в системе «Фид-Антифрод» агрегируются десятки тысяч признаков операций, совершаемых без согласия клиентов, и благодаря интеграции через REST API с АСОИ ФинЦЕРТ и системой «Фид-Антифрод» российские банки могут более эффективно выявлять и пресекать мошеннические действия.

CNews: Искусственный интеллект уже активно применяется и киберпреступниками, и ИБ-вендорами. Каковы перспективы использования и регулирования этой технологии?

Вячеслав Касимов: На текущий момент практические перспективы использования ИИ видятся в следующих направлениях: автоматизация деятельности работников первых линий (L1-аналитиков SOC, технической поддержки, службы поддержка клиентов), разработка типовых нормативных документов, анализ применимых законодательных норм, аудит прав доступа и политик безопасности, выявление киберинцидентов на потоке сетевого трафика в составе систем IDS/IPS.

Однако не стоит ожидать, что в самом ближайшем будущем системы ИИ заменят подавляющее большинство работников, учитывая текущий уровень и траекторию развития технологии. Пока что мы наблюдаем типичный пик чрезмерных ожиданий в цикле хайпа систем ИИ, а всем странам предстоит еще законодательно урегулировать вопросы их применения.

Так, недавно Консультативный орган высокого уровня по искусственному интеллекту ООН разработал глобальный план действий по устранению рисков применения ИИ-систем и предложил учредить независимую международную научную группу по исследованию проблематики применения ИИ, создать глобальный фонд ИИ и сеть для развития потенциала ИИ, а также организовать обмен стандартами по ИИ. Эти инициативы призваны ответить на вызовы, связанные с текущим бесконтрольным экстенсивным развитием систем ИИ — монополизация несколькими транснациональными корпорациями, цифровое неравенство, кардинальные изменения на рынке труда. При этом злоумышленники, не ограниченные законодательными и этическими нормами, уже сейчас активно применяют системы ИИ для эффективного поиска уязвимостей и небезопасных конфигураций, разработки ВПО и создания правдоподобных фишинговых сообщений. Эти нарастающие тренды также нужно учитывать при моделировании угроз.

CNews: Как вы считаете, всплеск каких типов атак следует ожидать в ближайшем будущем? Можно ли к ним подготовиться заранее?

Вячеслав Касимов: Сейчас активно обсуждается растущая опасность атак на цепочки поставок, через подрядчиков и партнеров, а также возрастающая зависимость от безопасности сторонних компонентов в Open Source продуктах. Такие атаки уже происходят: злоумышленники получают доступ к учетным записям разработчиков на GitHub, проникают в Open Source сообщества и получают возможность вносить изменения в исходный код, взламывают разработчиков ПО, встраивая программные закладки в обновления легитимных продуктов.

Говоря о будущих типах атак, нельзя недооценивать риск киберопераций, нацеленных на шифрование и уничтожение данных и инфраструктуры. Например, в рамках моделирования угроз мы в МКБ разработали около 30 сценариев таких разрушительных атак, направленных на вывод банковских систем из строя. Поэтому стоит сосредоточиться на выявлении потенциально критических типов атак, детально проработав меры по их обнаружению, предотвращению и восстановлению систем после таких инцидентов.

CNews: Можете дать несколько пожеланий и рекомендаций коллегам по ИБ-отрасли?

Вячеслав Касимов: Могу порекомендовать постоянно расширять круг общения — взаимодействовать не только с коллегами по ИТ/ИБ, но и с представителями бизнес-подразделений, с руководителями и ключевыми сотрудниками. Также важно налаживать связи с ИБ-сообществом — участвовать в конференциях, форумах, дискутировать и обмениваться знаниями и опытом. Активное социальное взаимодействие — это ключ к расширению представлений о самых разных областях технологий, экономики и психологии, и в кибербезопасности важна такая осведомленность и разносторонняя развитость.

Хотелось бы также пожелать коллегам не терять энтузиазма, находить в себе силы для непрерывного развития собственных компетенций и навыков, уделять больше времени ментальному и физическому здоровью — в частности, больше спать, это действительно важно.

Поделиться

Подписаться на новости Короткая ссылка