Как Сбербанк борется с киберпреступностью
Заместитель председателя правления банка рассказал, насколько велик ущерб от кибератак и насколько разными могут быть его оценки
Отслеживание сомнительных операций, корпоративная академия, где готовы обучать конкурентов, продвижение идеи международного обмена информацией — вот далеко не полный перечень действий, которые предпринимает Сбербанк в противостоянии с киберпреступностью.
Как рассказал в интервью ТАСС заместитель председателя правления банка Станислав Кузнецов, одним из важнейших шагов в этом направлении должен стать крупный международный конгресс по кибербезопасности, который Сбербанк проведет в Москве в июле этого года.
Ущерб исчисляется триллионами долларов
— Какой ущерб наносит киберпреступность мировой экономике?
— Точно вряд ли кто-то может сегодня это сказать. Во-первых, потому что есть много неизвестных зон, в которых пока никто не делает никакой аналитики, и в этих зонах у нас нет ни официальной, ни неофициальной информации о действиях кибермошенников. Во-вторых, сегодня киберпреступники в своей деятельности не имеют национальных границ. Через разветвленную сеть серверов, делающих определение точного местонахождения хакера невозможным, атакуются объекты на территории других стран. И это стало нормой, в этом смысле киберпреступность, к сожалению, опережает уровень безопасности, которым сегодня располагают разные страны.
В ноябре в Давосе во время обсуждения идеи создания Глобального центра кибербезопасности (Сбербанк стал единственным представителем российского бизнеса в этой инициативе — прим. ТАСС) президент Давосского форума сказал, что, по мнению аналитиков ВЭФа, по итогам 2017 года эта цифра ущерба может превысить 1 трлн долларов США для мировой экономики. И эта цифра, по нашей оценке, примерно соответствует действительности.
Один пример. На этом же совещании выступал глава крупнейшей трансконтинентальной логистической компании Maersk Джим Снабе, который в свою очередь отметил, что только на одной атаке WannaCry его компания потеряла около 300 млн долларов.
Мы — те, кто имеет отношение к обеспечению кибербезопасности, в том числе финансовой отрасли, — еще вчера были в роли догоняющих. Но сегодня мы видим, как ситуация начала меняться, потому что прилагаем большие усилия для того, чтобы быть на полшага впереди преступников.
— Это возможно — быть на полшага впереди?
— Это очень сложно, и для этого мы сегодня используем самые современные форматы управления киберрисками. У нас несколько уровней тестирования, в том числе с привлечением профессиональных команд из числа специалистов редких специальностей в области кибербезопасности — так называемых охотников, белых хакеров и красных хакеров. Это позволяет сегодня уровню нашей защиты соответствовать уровню угроз.
Поскольку киберпреступники не имеют границ, мы глубоко убеждены, что в современном мире невозможно победить киберпреступность без другого уровня коллаборации и сотрудничества. Это не просто какое-то политическое сотрудничество, скорее техническое, которое может работать на опережение и позволит, к примеру, делиться друг с другом экспертизой, патчами и утилитами, чтобы предотвращать кибератаки и останавливать вирусные эпидемии.
В разных странах мира существуют специальные системы, например, разветвленная сеть центров обработки данных с мощным серверным оборудованием, доступ мирового профессионального сообщества к которым мог бы позволить на территории разных стран мгновенно вычислить местонахождение и адрес киберпреступника.
Пока сегодняшний уровень нашей коллаборации не позволяет обсуждать подобные действия, но я уверен, что в ближайшем будущем у нас будет такая возможность.
В России нет аналитики и обмена информацией
— Какая проблема обеспечения кибербезопасности в России является ключевой?
— Мы задали этот вопрос членам Ассоциации банков России, и коллеги в числе главных проблем определили отсутствие необходимого обмена информацией, отсутствие платформы, которая могла бы помочь обмениваться чувствительной, значимой информацией, помогая в разы предотвращать мошенничество.
Это означает, что каждый из участников рынка точно имеет какую-то "свою" значимую, чувствительную информацию, например о номерах кредиток, номерах телефонов, которые используют мошенники, об образцах голосов, которые принадлежат этим мошенникам. И наличие платформы для обмена такой чувствительной информацией, которой могли бы в автоматизированном режиме пользоваться все участники финансового рынка, помогло бы значительно сократить кибератаки на наши кредитные организации. И что немаловажно — и на клиентов этих кредитных организаций. Такой подход получил одобрение со стороны представителей правоохранительных органов, которые также заинтересованы участвовать в подобном обмене информацией уже для привлечения к ответственности кибермошенников за неправомерные действия.
— Какие убытки несет Россия от действий киберпреступников?
— Опять же скажу, что точной статистики на сей счет не существует. Мы говорим, что сегодняшние убытки могут составлять, по официальным данным, 120–130 млрд рублей. Но наша оценка значительно выше — не менее 600–650 млрд рублей.
— Почему такая большая разница в оценках?
— Например, три атаки, которые у нас проходили, пока никто не посчитал, и нет официальных данных о том, какие предприятия либо организации, ведомства могли понести потери в деньгах. Хотя мы все прекрасно знаем, что многие компании были заражены либо вирусом WannaCry, либо вирусом Petya, либо вирусом Bad Rabbit. И этих цифр не существует. В России пока не существует аналитики по этому направлению.
Мы исходим из некоторых аналитических изысканий и из примеров того, что могло происходить в различных отраслях экономики.
Новые технологии и внутренний ландшафт
— Как Сбербанк работает над своей системой безопасности?
— Мы развиваемся по нескольким направлениям. Одно из них — защита наших CORE-систем, ключевых, корневых систем, где хранятся все сведения о счетах, о наших клиентах. Для этого мы внедряем самые современные технологии и процессы управления безопасностью, у нас есть несколько периметров, и любые попытки проникнуть в нашу инфраструктуру отражаются на разных уровнях защиты.
Следующее направление — мы в последние два года пересмотрели свои подходы к разработке продуктов и участию безопасности в этих процессах. То есть если раньше разрабатывались продукты, а потом только производился анализ их безопасности, то сегодня мы еще на дальних подступах, при обсуждении концепции создания продукта уже устанавливаем для программистов некие безусловные принципы безопасности, которые с самого начала реализуются в программном коде.
Третье направление — мы держим в фокусе защиту наших клиентов, даже если эти клиенты не совершают какие-то нестандартные действия либо совершают ошибки при пользовании нашими системами, нашими продуктами. У нас успешно работает центр фрод-мониторинга, который заботится о клиентах и при проведении любых нестандартных операций связывается с клиентом, и мы во многом не допускаем мошеннических действий со стороны киберпреступников.
К сожалению, есть тренд на увеличение попыток атаковать наших клиентов с использованием методов социальной инженерии, когда мошенники пытаются обманным путем завладеть чувствительной информацией в виде паролей, ключевых слов либо персональными данными, чтобы воровать деньги со счетов. Эффективность нашего центра фрод-мониторинга сегодня достигла одного из лучших показателей в мире, и около 97% операций, которые являются мошенническими, мы умеем хеджировать и не допускать совершения преступления.
Четвертое направление — мы по каждому из случаев атак на Сбербанк либо клиента Сбербанка проводим расследование, добиваемся конкретных результатов по выявлению этих мошенников.
И мы очень много делаем для того, чтобы изменить внутренний ландшафт управления рисками кибербезопасности. Я имею в виду среди нашей команды. Потому что мы понимаем: наша команда — это в том числе объект внимания кибермошенников для получения какой-то чувствительной информации или попыток преодолеть барьеры для доступа в наши системы. Поэтому мы внедряем принципы киберкультуры, регулярно проводим учения среди сотрудников, ведем разъяснительную работу — как управлять личными киберрисками, своими паролями.
Нами был использован весь передовой международный опыт. Был создан Операционный центр кибербезопасности, так называемый Security Operation Center, который в круглосуточном режиме мониторит все киберугрозы вокруг систем Сбербанка. Сбербанк к концу прошлого года стал первым российским банком, получившим сертификат соответствия международному стандарту по информационной безопасности от Британского института стандартов — BSI, он же и аудировал работу наших систем. Для нас это очень важно, потому что очень важно жить по стандартам, которые существуют в мире.
Помощь другим компаниям и Интерполу
— Одна из главнейших проблем — проблема кадров. Как среди команды службы кибербезопасности Сбербанка, так и у наших коллег из других кредитных организаций. В этой связи мы в декабре запустили работу Академии кибербезопасности, она уже приняла несколько десятков специалистов — не только сотрудников Сбербанка, но и других кредитных организаций и даже правоохранительных органов, которые прошли обучающий курс.
У нас есть семь рамочных соглашений с ведущими вузами страны, мы оказываем помощь в подготовке студентов различным кафедрам, руководству этих вузов. А в университете МВД на [улице] Волгина мы создали специальный класс, проводим специальный курс лекций, практических занятий. Стараемся, чтобы у нас появился институт следователей, которые смогут разбираться в этих специфических вопросах. Ну и оперативных работников, которые могли бы участвовать в розыске кибермошенников.
— Какую роль в "Группе Сбербанк" играет компания Bi.Zone?
— Bi.Zone — стопроцентная дочерняя компания Сбербанка, она была образована специально для того, чтобы создавать продукты в области кибербезопасности, проводить экспертизы и расследования, тестировать наши системы на предмет выявления уязвимостей, разрабатывать рекомендации, как хеджировать эти уязвимости.
Мы заключили двустороннее соглашение с Интерполом в части взаимодействия по укреплению кибербезопасности. И несколько сотрудников Bi.Zone выезжали в Сингапур. Эти сотрудники принимали участие в расследовании и поиске организованной преступной группы, которая была в итоге обнаружена на территории Китая. Насколько нам известно, все они задержаны.
— Отдельно взятая компания или банк не в состоянии справиться с угрозой кибербезопасности без сотрудничества с другими структурами?
— Мы, безусловно, можем защитить себя и своих клиентов, но мы не являемся субъектом оперативно-разыскной деятельности, мы не можем выезжать и ловить преступников, задерживать их, мы можем в данном случае лишь помогать правоохранительным органам. Поэтому те массивы информации, которые у нас есть о действиях преступников, представляют огромный интерес для правоохранительных органов, они с удовольствием используют наши сведения для оперативно-разыскной деятельности.
Небольшие компании не имеют возможности уделять такое внимание вопросам кибербезопасности. В этой связи мы должны, с одной стороны, оказывать им помощь и поддержку, с другой стороны, подумать о том, чтобы создать такие продукты, такие платформы, такие системы, присоединение к которым даже небольшим компаниям помогло бы управлять своими рисками кибербезопасности и хеджировать их. И вовремя обнаруживать любые попытки проникновения в свои системы.
Над таким продуктом мы тоже сегодня работаем и считаем, что у нас есть все основания в скором времени показать платформу, которая могла бы помочь небольшим компаниям защищать себя от любых попыток кибермошенничества.
В Москве пройдет конгресс по кибербезопасности
— Что еще предпринимает Сбербанк на международном уровне для решения вопросов кибербезопасности?
— Понимая важность коллаборации, поиска нового уровня взаимодействия между бизнесом, правоохранительными структурами, государственными институтами, мы приняли решение выступить организатором проведения Международного конгресса по кибербезопасности в Москве при поддержке Ассоциации банков России и АНО "Цифровая экономика". Мы считаем, что уровень дискуссии, которая могла бы быть организована на данном конгрессе с участием руководителей западных и российских компаний, руководителей правоохранительных органов иностранных государств и российских правоохранительных органов, с участием представителей и руководителей государственных институтов зарубежных стран и России, мог бы создать новую основу для уникального сотрудничества в области обеспечения кибербезопасности.
Сегодня не так много точек соприкосновения для обсуждения актуальных проблем кибербезопасности. Это несколько конференций, это работа нескольких международных альянсов, но в эти дискуссии вовлечены далеко не все лица, заинтересованные в решении этих проблем. Поэтому мы приняли решение впервые, возможно, создать такую площадку для подобного рода дискуссий.
— Кто приедет на конгресс?
— Сегодня нам известно, что наше приглашение рассматривают руководители нескольких компаний и в США, и в Европе, мы надеемся, что они примут наше приглашение. У нас есть подтверждение, что наши партнеры на Всемирном экономическом форуме в рамках созданного Глобального центра кибербезопасности уже подтвердили свое желание приехать в Москву для участия в этом форуме, провести специальную сессию. Нам известно, что наше приглашение принял президент Интерпола. И мы благодарны команде Интерпола, которая тоже готова организовать сессию для обсуждения актуальных вопросов борьбы с киберпреступностью в правоохранительной сфере.
Мы считаем, что и у наших партнеров есть уникальный опыт, и в России, безусловно, есть уникальный опыт, и нам кажется, что объединение этих усилий помогло бы добиться уникальных результатов в киберзащите. Создать основу для нового уровня открытости, для нового уровня диалога. Такой открытости, как мы чувствуем сегодня, явно не хватает.
Нам очень важно, чтобы у нас появились какие-то легитимные основы для коллаборации. Потому что сегодня в мире есть только лишь одна конвенция — Европейская конвенция 2001 года по кибербезопасности, к которой многие страны не присоединились. А какого-то глобального документа, например на уровне ООН, на сегодняшний день не существует. Возможно, эта тема тоже будет в фокусе дискуссии на нашем конгрессе.
Конгресс пройдет в Центре международной торговли 5–6 июля. Мы, конечно же, рассчитываем, что компании IT-сектора, крупные компании России, руководители этих компаний, те компании, которые сегодня представляют сектор обеспечения информационной безопасности, представители и руководители этих компаний примут активное участие в нашем конгрессе.
Пока еще архитектура программы форума обсуждается, но предварительные подходы согласованы. Мы с большой вероятностью могли бы говорить о том, что первый день форума мог бы привлечь больше технических специалистов для обмена опытом — не только из России, но и из-за рубежа. И программа могла бы быть сфокусирована на специальных вопросах, связанных с разработкой новых продуктов, с обменом опытом по построению центров кибербезопасности, с какими-то специфическими вопросами, связанными с разработкой современных средств защиты. Большой интерес к подобным техническим дискуссиям сегодня проявляют, например, партнеры из Китая.
И мы в этот день с большой вероятностью будем готовы продемонстрировать возможности нашего Security Operation Center, чтобы показать на практике, каким образом Сбербанк защищает сегодня свои системы. Но, безусловно, для узкого круга специалистов, не для широкой общественности. Потому что эта тема должна быть закрытой, в какой-то мере секретной.
Второй день мог бы стать больше дискуссионным, мог бы быть посвящен в большей степени вопросам расширения сотрудничества, улучшения коллаборации, поиска, сближения политических взглядов в области обеспечения кибербезопасности. Нам представляется, что здесь у нас нет никаких политических или профессиональных разногласий, которые не позволили бы улучшить коллаборацию между ведомствами разных стран мира, компаниями разных стран мира для того, чтобы противостоять мировому злу.
Сегодня киберпреступность почти вплотную приблизилась к невидимой грани, которая разделяет ее с терроризмом. Мы не должны допустить, чтобы зло киберпреступлений могло пересечь эту черту. И для этого мы в том числе и проводим подобного рода конгресс, чтобы обеспечить уменьшение киберрисков общими усилиями.
Мы, конечно же, советовались с нашими коллегами из Министерства иностранных дел, с коллегами из правоохранительных органов, и на всех уровнях мы получили поддержку идеи проведения данного конгресса.
Беседовал Руслан Салахбеков