IT специалист: До сих пор ни один из банков не был привлечен к ответу

Центральный банк должен обязать местные банки установить качественные, эффективные программные обеспечения для предотвращения утечки персональных данных клиентов и постоянно контролировать качество защиты информации. В отношении финансовых структур, не выполняющих требования, необходимо применить санкции в виде крупных штрафов, вплоть до рассмотрения вопроса о лишении лицензии. Об этом в интервью Minval заявил директор IT-компании Advanced Technologies Solutions Александр Тварадзе, прокомментировав текущую ситуацию с кибербезопасностью в банках Азербайджана.

Он отметил, что до сих пор ни один из азербайджанских банков не был привлечен к ответу за неисправности или уязвимости в мобильных приложениях, утечку данных граждан. В банковской среде отсутствует четкий регламент того, какие программы банки должны использовать и как поддерживать их реальную работу. Подобные требования к банкам уже давно выдвинуты в Европе и ряде стран СНГ.  В Европе, кстати, штраф за утечку данных достигает 2 млн долларов.

— У нас достаточно много денег вкладывается как банковскими структурами, так и госструктурами в системы кибербезопасности. Однако проблема заключается в том, что никто не контролирует: а) эффективность, б) правильность исполнения.

Например, у нас когда-то была Палата по надзору за финансовыми рынками. Она разработала требование, чтобы в банке была DLP-система. К сожалению, палата была упразднена. На этом весь контроль закончился. Если сравнивать с другими странами СНГ, к примеру, мы работаем в Узбекистане, Казахстане, в этих странах очень жесткие требования регуляторов: у каждого банка и госорганизации, работающей с персональными или финансовыми данными, должен быть определенный набор систем защиты и систем кибербезопасности. Это должны быть не просто купленные ради галочки дешевые системы. Аудит проверяет эффективность работы этих систем. Кроме того, действуют строгие карательные меры, которые применятся в случае, если эти системы не работают.

В Узбекистане мы реализуем один проект, в котором заказчик решил сэкономить и купил недорогую систему безопасности по анализу кода приложения. В результате местный Центр кибербезопасности проверил приложение заказчика, обнаружил уязвимость и применил штраф в размере 15 тыс. евро за то, что предназначенная для обслуживания граждан программа имела критические уязвимости, которые не были вовремя закрыты.

То есть у них есть регулятивные требования и контроль. То же самое происходит и в Казахстане. Регулятор выдвигает требования: если банковское приложение не работает более двух часов, банк обязан написать в Центральный банк объяснительную с детальным разъяснением того, почему не работало приложение, был ли это сбой или атака. Если имела место атака, необходимо предоставить информацию о том, какие меры были приняты для отражения кибератаки, почему не было резервных мощностей для перезапуска приложения и так далее. Если произошел первый случай сбоя, банк пишет объяснительную. В случае повтора применяется санкция.

— В последнее время в Азербайджане часто наблюдаются сбои в работе банковских мобильных приложений. Связано ли это каким-либо образом с кибератаками?

— Это может быть как результатом кибератак, так и результатом программного сбоя. На самом деле, если смотреть с точки зрения клиента, то это одно и то же. Пользователь не смог посмотреть баланс, провести вовремя оплату и так далее. Вопрос заключается в том, что Центробанк в обязательном порядке должен сделать: а) ввести достаточно жесткие регуляторные требования, б) иметь схему контроля и наказания для банка.

Второй момент заключается в том, что у нас очень небольшой рынок кибербезопасности. Маленький он в плане того, что количество специалистов в этой области небольшое. И Центробанк на самом деле мог бы очень сильно простимулировать рост данной сферы.

Во-первых, государство получило бы прибыль в виде штрафов с того, что банки и госструктуры не соблюдают требования по безопасности и простимулировало бы улучшение ситуации. Полученные деньги можно было бы направить на развитие и усовершенствование систем безопасности государственных компаний, создание эффективных курсов подготовки специалистов.

Во-вторых мы бы получили еще одну статью ненефтянного экспорта, поставляя умения наших специалистов на экспорт. Потребность в высококвалифицированных специалистах информационной безопасности растет даже быстрее спроса на программистов. Человеческих ресурсов Центрального банка не хватит для того, чтобы постоянно проверять банки на предмет обнаружения уязвимости. Соответственно, Центробанк должен создать эффективную структуру, например, 4-5 сертифицированных коммерческих аудиторских компаний по информационной безопасности, которые будут проверять банки и финансовые организации. Соответственно, это приведет к росту числа специалистов по безопасности.

— Какие решения, какие программы используют наши банки, насколько они соответствуют современным требованиям?

— С одной стороны, мы используем очень много хорошего программного обеспечения, но, с другой стороны, нам не хватает IT-специалистов, которые бы поддерживали, сопровождали, понимали, что это ПО показывает, обнаруживает, интерпретировали бы результаты…

Кроме того, в банковских приложениях есть понятие «анализ безопасности приложения», так вот необходимо проверить, правильно ли оно написано, нет ли каких уязвимостей, бэкдоров, через которые могут взломать приложение и т.д. Соответственно, в обязательном порядке должен быть анализ исходного кода приложения, для чего есть определенные инструменты. Но проблема заключается в том, что те инструменты, которые зачастую используют банки, либо бесплатные, либо какие-нибудь облачные приложения, что в большинстве стран СНГ запрещено использовать.

Почему? Когда используется cloud-решение для анализа исходного кода, получается, что кому-то за рубеж отправляются все исходные коды программы, коды доступа к ней, зачастую персональные данные и т.д. Все страны СНГ, и не только, категорически запрещают делать это. Если нужно проанализировать приложение, то это должно быть не облачное приложение, а решение, которое работает только внутри компании. В этом случае риск утечки информации минимален.

— Неужели не учитывают таких элементарных вещей?

— Приходишь в организацию, объясняешь: вы используете сейчас это облачное решение. Это неправильно, с точки зрения безопасности информации. Есть полностью закрытое, которое используется, в том числе и госорганами разных стран. Ответ: «Ваше решение дороже». Отвечаешь: «Да, потому что оно обеспечивает полную приватность информации и качество анализа». На что он отвечает, что его все устраивает. Но мы понимаем, что вся эта информация уходит за рубеж и непонятно кому.

— У нас ежедневно десятки, сотни людей теряют средства на банковских счетах. Это все результат того, что используются дешевые программные обеспечения?

На самом деле тут есть несколько составляющих. Помимо всего прочего, в этом виноваты и сами люди. Условно говоря, вы же не будете идти по улице с открытой сумкой и открытым кошельком. А у нас очень много случаев: продиктовал код из смс, ввел данные карты на непонятном сайте и т. д. Это общая проблема  — социальная инженерия. Людей взламывают за счет их доверчивости, неумения хранить личную информацию и так далее. Это первая проблема.

Вторая проблема связана с тем, что у нас недостаточно кадров в области информационной безопасности. Количество кадров не меняется, как и качество. Из-за большого спроса специалисты знают, что они всегда востребованы, поэтому они особо не работают над собственным развитием, потому как без работы не останутся. А руководство организации не имеет «кнута» или стимула для закупки и поддержания эффективных систем безопасности и развития сотрудников в виде требований регуляторов и штрафов.

Третья проблема — зачастую используются непрофессиональные решения либо профессиональные решения, которые настроены неправильно. У нас была ситуация, когда в одном из банков система, предназначенная для анализа сообщений об атаках, была настроена неправильно. Ее нужно постоянно перенастраивать, то есть адаптировать под новые угрозы. А чтобы это делать, должны быть специалисты, нужно в это вкладываться и так далее.

— Насколько часто у нас происходит утечка банковских данных?

— Открытой статистики нет, потому что банки либо скрывают эту информацию, либо даже узнают об этом, когда эта информация утекла.

Я приведу пример. На меня несколько раз выходили мошенники, которые называли мне данные карты, которая на самом деле никогда не использовалась ни в одной транзакции. То есть карточка просто была выключена, она лежала без дела. Соответственно, они звонят мне, говорят, что идет операция. Я же понимаю, что никаких операций нет и продолжаю диалог, чтобы понять, откуда они взяли информацию об этой карте. На карточке было всего 10 долларов, но мошенники не знали об этом. В процессе я понимаю, что они получили доступ к информации, в которой не хранятся реальные данные о балансах. Это значит, что, скорее всего, злоумышленники получили доступ к резервным копиям банка. То есть информация обо мне есть, но нет информации о балансе.

Банк должен внимательно следить за своими резервными данными, контролировать, кто к ним имеет доступ, и какая информация хранится. Отдел безопасности в каждом банке настолько небольшой, что даже если банк покупает современное программное обеспечение, сотрудник не успевает отслеживать все проблемы, которые возникают в структуре. Это первая проблема. Вторая проблема — программное обеспечение нужно постоянно корректировать, подстраивать под новые угрозы и нужды.

И банки, и коммерческие структуры у нас экономят на безопасности. То есть они готовы купить дорогую машину для руководства, но не готовы инвестировать в дорогое программное обеспечение. В итоге это приводит к утечке информации.

Мы проверяли ряд банковских приложений, буду честен, мы проверили приложения практически всех банков. За редким исключением, у всех существуют очень большие проблемы, связанные с качеством разработки, с огромным количеством уязвимостей. Винить специалистов на местах не стоит. Специалист один или их там двое-трое. У них огромная структура, огромное количество сообщений от систем безопасности. Сейчас банкам нужно понимать, что 20 охранников на входе в здание — это ерунда, которая не защитит банк. Один человек за монитором, отслеживающий работу систем безопасности банка — это очень плохо. Он просто физически не справляется с такой задачей.