От “бумажной” безопасности — к реальной

Финансовая сфера сталкивается с теми же проблемами в области ИТ-безопасности, как и любая другая, — защита бизнес-приложений от DDoS-атак, безопасное обслуживание клиентов, несанкционированный доступ, защита от инсайда и др. Различие в одном: в силу повышенной привлекательности финансов как результата атаки выше и степень интенсивности действий ИТ-мошенников. Равно как и степень ущерба от удавшегося враждебного проникновения. Вместе с тем в последние два года помимо традиционного круга задач стало особенно актуальным обеспечение защиты персональных данных. И связано это в первую очередь с изменениями в действующем законодательстве.

Коллизии защиты персональных данных

Федеральный закон 152-ФЗ “О защите персональных данных”, как известно, вступит в силу 1 января 2011 г. Новых отсрочек (первоначально он должен был быть введён в действие еще год назад) вряд ли можно ожидать, поэтому организации финансового сектора более ответственно относятся к приведению своих информационных систем по обработке персональных данных (ИСПДн) в соответствие с требованиями закона и ряда подзаконных актов. Вот только подходы к решению данной проблемы практикуются разные. В Приказе ФСТЭК № 55, ФСБ № 86 и Мининформсвязи России № 20 от 13 февраля 2008 г. был определен порядок классификации информационных систем (ИС), хранящих и обрабатывающих персональные данные, от 1-го, самого высокого класса, до 4-го. И чем выше класс ИСПДн, тем большие расходы несёт организация — оператор персональных данных на приведение системы к новым требованиям законодательства. Многие предприятия финансового сектора (особенно крупные страховые компании) категорировали свои ИСПДн и осуществляют по защите персональных данных возможно более полный комплекс работ и мероприятий. Однако, как оказалось, данный путь — не единственный. Дело в том, что в означенном совместном приказе трех регуляторов была оставлена некая лазейка, если позволительно так выразиться: помимо типовых ИСПДн от 1-го до 4-го класса предусмотрены так называемые “специальные” ИС, в отношении которых не нужен столь широкий набор дополнительных мероприятий. И целый ряд банков пошёл именно по этому пути, фактически решив, что банковские ИС и так очень хорошо защищены и не требуют никаких дополнительных мер (и к тому же защищены отраслевым стандартом информационной безопасности (ИБ) Банка России). Оба этих подхода были рассмотрены на II конференции “IT-безопасность в финансовом секторе”, проведенной AHConferences.

О первом подходе к защите персональных данных, который можно назвать прямолинейным, рассказал участникам конференции Дмитрий Баранов, директор по информационной безопасности страховой компании РОСНО. Еще до появления Закона 152-ФЗ в компании была реализована модель управления ИБ, сертифицированная на соответствие стандарту ISO 27001. Основные изменения, которые потребовались после принятия нового закона, таковы: необходимость получать согласие субъекта персональных данных; введение новых организационных процедур реагирования на запросы таких субъектов (например, отзыв субъектом своих персональных данных, их временное блокирование и др.); использование сертифицированных средств защиты информации. Докладчик отметил, что после изучения проблемы по совокупности обстоятельств (требования закона, противоречие отдельных его положений другим законодательным актам в сфере защиты информации, существование множества подзаконных актов) стала очевидна невозможность 100%-ного выполнения требований законодательства без замены всех средств контроля ИБ на продукты, сертифицированные Федеральной службой по техническому и экспортному контролю (ФСТЭК). И, что не менее важно, — без существенных простоев бизнес-процессов компании РОСНО. Работа была начата с того, что все ИС компании были подразделены по степени критичности, которая оценивалась как с точки зрения важности обрабатываемой персональной информации, так и с позиции вероятности проверки регуляторами в ближайший период. Затем были сформированы документы ИБ по каждой ИСПДн, выбраны единые для всех ИС наложенные средства защиты, после чего стала осуществляться их плановая интеграция с ИСПДн (в настоящее время она находится в стадии реализации). Выбор внешних, а не встроенных средств защиты, пояснил г-н Баранов, обусловлен спецификой ИС, которые в большинстве своем являются собственной разработкой РОСНО и постоянно обновляются в соответствии с потребностями бизнеса; а это значит, что согласно букве нового законодательства встроенные средства защиты пришлось бы постоянно сертифицировать заново. О проблеме сертификации защитных средств, кстати говоря, упоминал на конференции и Борис Шаров, генеральный директор компании “Доктор Веб”, — только в плане антивирусов. Как можно сертифицировать то, что меняется ежечасно, чуть ли не ежеминутно — а именно таковы базы данных антивирусов? Но вернемся к защите персональных данных и практикуемым участниками финансового рынка подходам.

О втором подходе к реализации требований 152-ФЗ поведал собравшимся начальник отдела департамента безопасности Россельхозбанка Александр Беликов, начавший свой доклад символической фразой по-латыни: “Dura lex, sed lex” — т. е. “суров закон, но это закон”. Основной посыл выступления, однако, был в том, что банкам давно уже предписано использовать сертифицированные средства защиты, начиная со старинного Указа Президента № 334 от 3 апреля 1995 г., в котором ЦБ РФ было предложено принимать меры против коммерческих банков, уклоняющихся от обязательного использования защищенных технических средств, и заканчивая отраслевыми стандартами безопасности Банка России; просто теперь такая защита стала законодательной нормой, обязательной для всех. Вместе с тем определенные шаги Россельхозбанком были предприняты. В первую очередь проведена ревизия всех существующих документов исходя из вновь утвержденной политики ИБ и принято специальное положение о защите персональных данных. Затем был составлен перечень подлежащих защите персональных данных и скорректированы все договора с их субъектами. После составления полного перечня информационных систем банка (их оказалось более семидесяти) все ИС, работающие с персональными данными, были отнесены к разряду специальных. Затем, в соответствии с Приказом ФСТЭК № 58 от 5 февраля 2010 г., были составлены типовая модель угроз и портрет нарушителя, разработаны типовые требования к подсистемам информационной безопасности (ПИБ), разработана и введена типовая ПИБ и, наконец, осуществлено плановое обучение сотрудников, работающих с ИСПДн. После проведения этих мероприятий банк перешел к следующему этапу, задача которого, по выражению докладчика, состояла в том, чтобы удовлетворить всех регуляторов. В Роскомнадзор было послано соответствующее уведомление, в банк приходили проверяющие из ФСБ, оставив акт о проведении проверки с положительным заключением, а ФСТЭК одобрила принятую модель угроз. Фактически Россельхозбанк (и не он один — об аналогичном подходе, например, в свое время говорили на одном из специализированных круглых столов представители Банка Москвы) продемонстрировал элегантный способ обойти Закон 152-ФЗ, заменив его отраслевыми стандартами ИБ Банка России. По поводу легитимности такого подхода определенные сомнения могут возникнуть и возникают (особенно у тех участников рынка, которые пошли по “прямолинейному” пути), а вот в том, что он экономически целесообразен, сомневаться не приходится.

Защищаться не только от внешних вторжений, но и от инсайда

Комплексный подход к защите как от внешних вторжений, так и от инсайд-атак — одна из первоочередных задач ИТ-службы любой финансовой компании. В Абсолют-Банке данная задача решается с помощью единого центра управления ИБ, построенного на базе двух решений — ArcSight и MaxPatrol (на платформе СУБД Oracle). Александр Юрьев, начальник отдела контроля доступа службы информационной безопасности банка, отметил, что важным плюсом реализации данного проекта стал уход от “бумажной безопасности”. Ведь на бумаге в каждой крупной организации или в банке, как правило, все в порядке. Есть утвержденная политика ИБ, стандарты и разнообразные регламенты, но фактически никто не знает, как они реализуются на практике и реализуются ли вообще, поскольку отсутствует технический инструментарий для мониторинга и контроля. Решение MaxPatrol, по словам докладчика, позволяет ежедневно отслеживать уязвимости ИС, а ArcSight — видеть цельную картину информационной безопасности на базе разрозненных событий, вести постоянный контроль сетевых устройств, режима сохранения копий баз данных (так называемых back up’ов). Например, если копия сохраняется не в положенное по регламенту время — значит не исключено, что сотрудник делает это в личных целях. Кроме того, можно контролировать все попытки доступа к внутренним сетевым ресурсам как со стороны пользователей, так и со стороны администраторов, анализировать запуск несанкционированных программ на сервере, подмену файлов, вести мониторинг доступа к базам данных (кто подключался, что просматривал).

Безопасное ДБО

Все более злободневной проблемой для банков становится безопасность предоставления дистанционных услуг. По свидетельствам, которые представители банковского сообщества регулярно высказывают на специализированных мероприятиях, предлагаемые разработчиками системы класса ДБО (дистанционное банковское обслуживание) в стандартной комплектации фактически не обеспечивают безопасного обслуживания клиентов. Когда же речь заходит о доработке систем в плане ИБ, начинает действовать циничное правило сферы обслуживания: “Любой каприз — за счет клиента”. В результате банки вынуждены отказываться от своих “капризов” в сфере безопасности в силу того, что кастомизация решения делает дистанционное обслуживание нерентабельным. Разрешить проблему хотя бы отчасти могла бы сертификация систем ДБО на предмет информационной безопасности, но на сегодня такой процедуры не предусмотрено, нет и сертифицирующего органа. Некоторые банки хотели бы видеть таким органом Банк России, но сам ЦБ не проявляет особой заинтересованности в данном вопросе, что вполне объяснимо: сертификация программно-технических средств — явно не его функция.

Об одной из наиболее актуальных проблем в сфере ДБО — DDoS-атаках — рассказал Михаил Савельев (“Лаборатория Касперского”). По его сведениям, предприятия финансовой сферы как целевой объект подобных атак стоят на втором месте после интернет-магазинов, а количество DDoS-атак в 2010 г. выросло в 1,5 раза. Основная качественная проблема — ускоренная монетизация преступных умений, т. е. переход хакеров от преступной романтики к извлечению коммерческой выгоды. Типовой сценарий проведения DDoS-атаки на систему ДБО таков: сначала — кража пароля доступа к клиент-банку у корпоративного клиента и перевод денежных средств на счета злоумышленника, а затем — собственно DDoS-атака на сайт клиент-банка, которая фактически дает время на распыление уведенных денежных средств по счетам и их снятие в банкоматах (часто — в регионах России). По мнению представителя “Лаборатории Касперского”, с помощью локальных решений (межсетевых экранов, маршрутизаторов и т. п.) эффективно противостоять таким атакам невозможно, помогут только специализированные продукты, аналогичные Kaspersky DDoS Prevention, ядром которого является центр очистки DDoS-трафика, применяющий построенные на основании статистики профили легитимного пользователя и злоумышленника.

Андрей Бажин (компания “Брокер-Кредит-Сервис”, руководитель департамента ИБ) тоже привел статистику мошенничества в сфере ДБО: в МВД каждые два месяца регистрируется порядка шести случаев, произошедших в московских банках. Он подчеркнул, что блокирование внешних атак — это сложная техническая задача, но помимо технической стороны вопроса существуют и проблемы чисто юридического характера: например, чтобы уведенные деньги вернулись на счет клиента, обналичивший их дроппер фактически должен написать заявление в банк о переводе денежных средств тому, у кого он их украл. В целом, отметил докладчик, противодействие мошенничеству как в сфере ДБО, так и в любой другой сфере — задача, требующая не только технологического, но и системного подхода, с чем трудно не согласиться.

В сущности общая задача всех участников финансового рынка — компаний, банков, законодателей, поставщиков решений (кроме, разумеется, самих злоумышленников) — состоит в переходе от “бумажной” безопасности к реальной. Но на этом пути помимо собственно технических задач есть еще и финансовая проблема, актуальная в том числе и для финансового сектора, — цена вопроса. Самое эффективное решение, если оно будет слишком дорогостоящим, способно сделать бизнес нерентабельным. В этом случае бизнес может даже смириться с определенными потерями из-за мошенничества. Какие именно технические решения использовать для обеспечения своей информационной безопасности, как вписывать их в систему управления рисками компании, какие потери от мошенничества являются допустимыми с точки зрения бизнеса — все эти вопросы касаются политики каждой компании.