Основная цель ИБ-департамента – соблюдение баланса между бизнесом и безопасностью

– Михаил, с 2005 года вы работаете на управляющих позициях по различным направлениям безопасности. Расскажите, как развивалась ваша карьера?
– Моя карьера развивалась стремительно, но сначала не в информационной безопасности или безопасности в целом, а в информационных технологиях. Со 2 курса я уже три дня в неделю работал (а я учился на дневном отделении) на заводе специалистом по настройке автоматизированных систем управления технологическим процессом (АСУ ТП). Вскоре, устав от графика 07:00–15:00, я ушел в свободное плавание и стал писать оболочки для баз данных и уже потом на 5 курсе работал системным администратором в Москомспорте. Сразу после получения диплома я устроился в динамично развивающуюся инвестиционно-банковскую сферу, и мне повезло, что это была "Тройка Диалог", где я проработал более 8 лет и прошел экстенсивное погружение в процессы безопасности, а впоследствии стал руководителем управления безопасности банка "Тройка Диалог". После этого уже был Sberbank CIB (Corporate Investment Banking), где я также отвечал за информационную безопасность международных дочерних организаций в США, Великобритании и на Кипре.

В Росбанк я пришел летом этого года. В настоящее время я курирую вопросы развития технологий информационной безопасности, а также мониторинга и контроля соблюдения политик и управление рисками по данному направлению.

– Что или кто повлиял на вас профессионально в наибольшей степени? Кого вы считаете своим учителем и почему?
– Более всего с профессиональной точки зрения мне помогло определиться со сферой интересов дистанционное обучение, международная сертификация (CISSP). А если говорить про личности, то многие коллеги по сообществу ИБ до сих пор оказывают неоценимую услугу – иметь возможность консультироваться по различным вопросам.

– Финансовая сфера год от года лидирует в рейтингах по количеству утечек информации. Также на отрасль производится большое количество кибератак. Какой стратегии, на ваш взгляд, необходимо придерживаться при анализе рынка и выборе решений для борьбы с целенаправленными атаками?
– При анализе и выборе любого решения есть золотое правило – всегда изучать российскую и международную аналитику по интересующей теме. Это десятки, сотни страниц текста, в который надо полностью погрузиться.

Далее обязательно сделать референс-визиты, желательно, чтобы их было не меньше двух. Это даст вам возможность получить не менее двух независимых мнений, и это поможет собрать как можно больше информации и принять взвешенное решение.

Следующий шаг – составление сравнительной таблицы, где будет указан функционал решения, вендор, стоимость, плюсы и минусы и дорожная карта.

После этого надо делать пилотное внедрение, POC (Proof of Concept), RFI (Request for Information) и только после этого на основе всех этих собранных данных можно принимать решение о выборе продукта.

– Можно ли утверждать, что требования регуляторов фактически создали моду на высокий уровень ИБ для банковского сектора?
– Да, можно и так сказать, но лишь частично. С моей точки зрения, существует четыре основных драйвера для развития ИБ на высоком уровне: требования регуляторов и законодательства, эволюция ИТ, развитие бизнеса, рост угроз. Это и есть предпосылки для серьезного развития информационной безопасности.

– Какая основная задача в сфере ИБ стоит сегодня перед банковской отраслью и Росбанком в частности наиболее остро?
– В сфере ИБ одной основной задачи нет, их одновременно несколько. Борьба с мошенничеством, соответствие регуляторным требованиям и т.д. – все зависит от риск-анализа и в дальнейшем от поставленных руководством целей. Лично я вижу основной целью соблюдение баланса бизнеса и безопасности. Стратегические и тактические цели, планы и инициативы ИБ должны покрывать стратегические цели и задачи бизнеса и ИТ. Должна быть синергия.

Что хочет бизнес – зарабатывать деньги и спать спокойно. ИБ как сервис должен способствовать достижению этих целей.

– Возможен ли аутсорсинг информационной безопасности?
– Конечно, как я говорил, ИБ – это один из сервисов в банке, и его можно аутсорсить. С каждым годом все больше и больше организаций финансовой сферы переходят на эту модель оказания услуг. И это нормально. Например, аутсорсинг услуг ситуационного центра (SOC) или защиты бренда. Надо для себя определить какой процесс, а лучше – какой подпроцесс ИБ (2, 3, 4 уровень) вы готовы отдать на аутсорсинг и почему, в чем эффективность. Надо лишь рассчитать экономический эффект и оценить риски.

– В чем состоят главные риски аутсорсинга ИБ?
– В некорректно составленном SLA, по которому могут быть разночтения со стороны клиента и заказчика.

– Как вы видите развитие технологий ИБ в финансовой (банковской) сфере в перспективе ближайших трех лет?
– Я могу отметить два тренда по векторам угроз, основываясь на российских и международных исследовательских данных. Первый – это вредоносное ПО, позволяющее хакерам заниматься последующим вымогательством. Эти технологии дешевы и просты в использовании, а главное, они очень просто монетизируются. В основном эти атаки, конечно, направлены на небольшие компании, так как крупные зачастую лучше защищены да и могут просто не пойти на какие-то сделки с хакерами. Второй – это POS-терминалы. Тут и производители, которые выпускают оборудование с уже включенной функцией сбора и отправки данных (особенно этим славится Китай), и заражение POS-терминалов для последующего сбора и монетизации полученных данных: номера карты и PIN-кодов.

Если говорить о дальнейшем развитии технологии Anti-APT (Advanced Persistent Threat), я думаю, что решения будут дешеветь, так как рынок становится все более конкурентным. У всех крупных вендоров в ближайшем будущем будут появляться модули, докупая которые, можно будет закрывать разные векторы угроз.