«Фактически нашу эффективность проверяют атакующие»

Насколько российские банки импортозаместились на сегодняшний день?

За этот год понятие «импортозамещение» кардинально изменилось. В 2014-м, когда про переход на отечественные решения только начали говорить, на совещании в Министерстве цифрового развития, связи и массовых коммуникаций РФ было озвучено, что банковская сфера импортозамещена на 95%. В основном обсуждалась ситуация именно с прикладным программным обеспечением, а тот факт, что отечественные разработки собраны из импортных библиотек, функционируют на импортном общесистемном ПО и далеко не на отечественной технике, был вынесен на рассмотрение профильных рабочих групп.

Сегодня отраслевой комитет «Финансы» (профильный для кредитных организаций) рассматривает импортозамещение на всех уровнях — от железа до прикладного ПО. И здесь начинаются определенные проблемы. Катастрофически не хватает железа, особенно высокопроизводительного сетевого оборудования. Вызывает сомнение возможность оперативной организации полного цикла производства компьютеров, включая элементную базу. Определенные сложности возникают с использованием свободно распространяемого ПО, а ведь с его помощью создаются практически все коммерческие продукты. Есть большие проблемы с импортозамещением инфраструктурных систем и ряда высоконагруженных ИБ-решений. Резюмирую: у профильного ПО высокий уровень импортозамещения, в области ИБ дела обстоят чуть хуже, а ИТ-инфраструктура, как сейчас принято говорить, является зоной роста.

Каких российских ИБ-инструментов вам не хватает прямо сейчас? Вы принимаете участие в разработке или тестировании отечественных продуктов?

Крайне не хватает производительных решений в области сетевой безопасности. Возможно, нам не везло, но найти межсетевые экраны производительностью больше 4 Гбит нам не удалось. На нашей инфраструктуре и с нашими правилами экранирования мы не смогли достичь даже паспортной производительности ни с одним из протестированных решений. Кроме того, при переходе на отечественные продукты мы лишаемся возможности микросегментации ЛВС. В совокупности с нехваткой сетевого железа проблема перерастает в необходимость комплексного перепроектирования защищенной ИТ-инфраструктуры и, возможно, пересмотра концепции использования корпоративного облака.

Отдельно отмечу отсутствие эффективных инструментов для реализации практик SecDevOps, а также отечественных баз по уязвимостям и рейтингам компонентов свободно распространяемого ПО. Похвастаться богатством решений в области безопасности контейнерных приложений тоже пока нельзя.

Конечно, наш банк принимает участие в тестировании российских продуктов. У нас большая программа пилотирования импортозамещенных ИТ- и ИБ-решений. Как члены отраслевого комитета «Финансы» и его подкомитетов мы анализируем поступающие по этой линии продукты. С разработкой несколько сложнее. Я разделяю мнение о нецелесообразности концепции «каждая организация разрабатывает свою импортозамещенную операционную систему или базу данных». Во-первых, крупные игроки вряд ли смогут договориться о базовых требованиях к продуктам. Во-вторых, таким образом мы впустую тратим ресурс компаний, которые должны, а главное, могут создавать реально работающие решения и постепенно повышать их эксплуатационные характеристики. Схожую позицию занимает Минцифры РФ: нужно определить ключевые продукты в разных областях и выделить гранты на их реализацию. Тем не менее в нашем банке есть ряд оптимизированных решений, которые сильно отличаются от коробочных версий. Мы активно взаимодействуем с их производителями в разных форматах.

Сколько отечественных ИТ- и ИБ-решений было в банке до весны прошлого года?

Около 95% прикладного ПО, 70–80% ИБ-продуктов и порядка 5–10% инфраструктурных решений.

Переход на российские решения был болезненным?

Только в части инфраструктурных решений, и он до сих пор не завершен. Коллеги из ИТ-блока проводят массу пилотов — они разделены на 22 направления, и по некоторым из них мы нашли достойные продукты. Поэтапный перевод ИТ-инфраструктуры банка на отечественные компоненты начнется в 3-м квартале 2023 г. Отмечу, что большой объем систем мы разрабатываем самостоятельно, при этом слово «Oracle» в течение следующих 4–5 лет будет считаться ругательным. Глобальных проблем нет, но вопрос перехода на российские ОС остается открытым. В части импортозамещения ИБ проблем меньше, например если мы говорим о высоконагруженных системах для ситуационного центра. Мы уже подобрали подходящее решение и проводим миграцию.

Если говорить о нашей экосистеме в целом, то Газпромбанк Мобайл решает вопросы импортозамещения самостоятельно. Gazprom Pay — наша собственная разработка, здесь сложностей возникнуть не должно. Скорее всего, мы столкнемся с трудностями при переводе на отечественный стек продуктов «ЦФТ» и «Диасофт». Они будут связаны с тем, что у производителей банально не хватит времени, чтобы обслужить весь российский банковский сектор к 2025 г.

Как изменилась ИБ-стратегия банка по сравнению с 2022 г.? От каких инициатив и проектов вам пришлось отказаться, а какие, наоборот, запустить?

Наша ИБ-стратегия не изменилась. Это обусловлено тем, что система обеспечения информационной безопасности фактически доказала возможность противодействия внешним угрозам. При этом акценты практической работы, безусловно, сместились с обеспечения выживания еще не замещенных продуктов к их плановой замене. В целом работа ведется в соответствии с намеченным roadmap, без пересмотра проектного портфеля.

Отдельно выделю вопрос о необходимости безопасного использования текущих решений — как программных, так и инфраструктурных. Конечно, мы как представители ИБ ожидаем от коллег формирования обновленной ИТ-стратегии, но при этом нам нужно продумать, как безопасно использовать неимпортозамещенные компьютеры и ПО. Фактически перед нами стоит задача построения доверенной среды из недоверенных компонентов. Она особенно актуальна в части сетевой инфраструктуры.

Как вы обосновывали ИБ-бюджет на этот год? Какие цели и задачи сейчас в приоритете?

Обычно бюджет банка на ИБ состоит из двух больших блоков: поддержки и развития уже имеющихся инструментов и внедрения новых систем. В этом году добавилась третья категория — затраты на импортозамещение. Поскольку отчеты о состоянии киберграниц банка в 2022 г. были как никогда востребованы на всех уровнях руководства, проблем с обоснованием не возникло.

В приоритете, конечно же, импортозамещение, обеспечение непрерывности ИТ-производства (SecDevOps) и защита деятельности нашей группы во внешних облаках. Также банк уделяет большое внимание защищенности компаний группы. Помимо этого, нужно будет сделать упор на безопасности цепочек поставок. Сейчас много говорится о создании отечественных репозиториев для замены привычного GitHub. Однако определить, что именно привнесет эта замена с точки зрения повышения уровня ИБ, пока сложно. Кроме абстрактных заявлений о выполнении проверок по обеспечению ИБ, никакой конкретики нет. Нет и понимания роли государства в регулировании этого вопроса. Мы можем сколько угодно внедрять лучшие практики по проверке кода, но покупка отечественного ПО, разработанного без использования этих подходов, перечеркнет все наши усилия. А повлиять, например, на «ЦФТ», кроме государства или регулятора, не сможет никто.

Как много атак вы фиксируете по сравнению с прошлым годом?

Мы достаточно крупный банк, поэтому злоумышленники постоянно нас «проверяют» — не отключилась ли случайно одна из защитных функций. Мы фиксируем регулярные, но не сильные DDoS-атаки, эффект от которых практически незаметен. Кроме того, хакеры проводят целевые атаки, которые проверяют нашу стойкость на прикладном уровне, пытаются взломать наши протоколы и т.д.

Само собой, в 2022-м активность злоумышленников была выше — весной и осенью тех же DDoS было заметно больше. Мы успешно отразили все атаки, но нужно заметить, что нам противостояли организованные преступные группировки, а не регулярные кибервойска. Остается вопрос: ждет ли нас усиление злоумышленников, вовлеченных в атаки на банк? Пока ситуация стабильна — все перешло в фоновый режим, но мы продолжаем повышать уровень защищенности. Например, анализируем возможности для более раннего предотвращения атак.

Какие инновационные ИБ- и ИТ-решения и подходы вы внедряете сегодня?

Импортозамещение сложно назвать инновацией, хотя кейс по обеспечению деятельности процессингового центра на «Эльбрусах» можно отнести к этой категории. Также хочу отметить проекты по повышению защищенности каналов ДБО и обеспечению безопасности во внешних облаках. В рамках первого направления мы занимаемся темой API security. Это стало возможным благодаря переводу значительного количества систем на собственную разработку и созданию DevOps-конвейера (совместно с ИТ-блоком). Фактически мы разрабатываем инструмент, который позволяет выявлять уязвимости в выставленных наружу сервисах банка, автоматизировать проверки, которые выполняют наши специалисты, и преобразовывать выявленные недостатки в задания для разработчиков.

Второе направление стало актуальным в связи с появлением новой законотворческой инициативы ЦБ — о возможности обработки данных, содержащих банковскую тайну, во внешних облаках. Кроме того, из-за потенциальных проблем с железом нам, вполне возможно, придется перенести часть процессов на сторонние ресурсы. Пока мы концентрируемся на нормализации управления доступом работников банка к внешним сервисам. В дальнейшем планируем внедрение полноценного CASB-решения.

ИБ-специалисты все чаще говорят о недопустимых событиях. Какие события являются недопустимыми для Газпромбанка?

Да, действительно, такой термин звучит все чаще, но я в каком-то смысле считаю это подменой понятий. Обычно ИБ сравнивают с гигиеной: выполнение простых правил позволяет избежать необходимости бороться с серьезными проблемами. Продолжая аналогию, недопустимое событие — это болезнь, которая случается с теми, кто не выполнял на регулярной основе гигиенические процедуры. Я считаю, что недопустимые события во всех кредитных организациях одинаковы: это серьезные денежные и репутационные потери. Существует масса путей, которые могут к ним привести, но все они сводятся к возможности эксплуатации тех или иных уязвимостей в ИТ-ландшафте организации.

Наш бизнес постоянно развивается, поэтому мы регулярно проводим переоценку рисков ИБ с учетом появления новых и изменения уже знакомых угроз. Те угрозы, которые признаны существенными, минимизируются внедрением новых ИБ-решений или изменением процессов. Я за процессный подход к обеспечению ИБ, а не за создание некоторого количества табу. Возможно, нашему банку повезло, потому что нам не приходится на пальцах объяснять руководству значимость ИБ.

Как вы оцениваете эффективность ИБ-направления в банке — какие KPI перед вами стоят?

Было бы очень удобно ответить, что эффективность ИБ оценивается по отсутствию недопустимых событий, но мы за процессы. Я считаю, что важными показателями являются качество оценки актуальных для организации угроз, полнота охвата/покрытия угроз ИБ-процессами и регулярность выполнения этих процессов. По большому счету, нашу эффективность оценивают атакующие. По итогам прошлого года можно сказать, что созданная в банке система ИБ работает хорошо.

По поводу KPI у нас с одним из коллег была шутка: на выставках предлагать самым активным менеджерам по продажам разработку системы показателей эффективности инфобеза. Как правило, это была последняя фраза в разговоре, после которой нам предлагали кофе навынос. Поэтому позволю себе не конкретизировать, что непосредственно у нас является KPI.

Газпромбанк принимал участие в предварительных испытаниях цифрового рубля. Как будет реализована защита цифровых кошельков ваших клиентов?

О защите цифровых кошельков уже подумал сам владелец платформы цифрового рубля — ЦБ РФ. Фактически банкам предоставляется программный модуль, на борту которого будет полный набор специфических для цифрового рубля средств защиты. Наша главная задача в данном случае — правильно донести электронные документы до платформы цифрового рубля.