Станислав Павлунин, «Тинькофф Банк»: Контролировать то, что происходит

Наш разговор с вице-президентом по безопасности «Тинькофф Банка» Станиславом Павлуниным был посвящен комплексу проблем, связанных с защитой данных, в том числе клиентских.

Intelligent Enterprise: Автоматизированы ли у вас процессы, связанные с обработкой и хранением клиентских данных?

Станислав Павлунин: Мы позиционируем себя как высокотехнологичный банк, где большую часть операций клиент может проводить в онлайне. И поэтому делаем ставку на максимальную автоматизацию процессов, чтобы разгрузить сотрудников от выполнения рутинных операций. Конечно же у нас есть системы, которые используются для привлечения и удержания клиентов, а также те, в которых аккумулируются собранные данные. И все эти системы мы защищаем.

Тем не менее твердые копии документов мы тоже используем. Но опять же строго следим за регламентом их утилизации. И, как мне кажется, ситуация, когда документы просто выбрасываются на свалку, как несколько раз отмечалось в нынешнем году, вызвав широкий общественный резонанс, у нас исключена.

Насколько важны для вашего банка клиентские данные и соответственно их сохранность? Какова цена возможной утечки?

Клиентские данные — это не просто критичный, а высококритичный ресурс для любого банка. И наш не является тут исключением. Ведь любые данные, которыми оперируют банки, очень легко конвертируются в реальные деньги, а клиентские — в первую очередь. Плюс ко всему клиентские данные подпадают под государственное регулирование (здесь в первую очередь нужно сказать о законодательстве, регламентирующем сбор, обработку и хранение персональных данных, но только этой категорией дело не ограничивается), и происходящие инциденты автоматически ведут к серьезным проблемам с регуляторами. Ну и возможные имиджевые потери. Наконец, банки в законодательном порядке обязаны возмещать ущерб клиентам в том случае, если их денежные средства были украдены и доказано, что в этом нет прямой вины клиента. А не секрет, что добычей мошенников часто являются реквизиты банковских карт, идентификационная информация для мобильного или интернет-банка. Отдельные категории клиентских данных — это и вовсе ценный актив, как, например, данные о VIP-клиентах или сведения о добросовестных заемщиках, которые представляют потенциальный интерес для любого банка. Так что любые утечки данных недопустимы и ведут к вполне осязаемому материальному ущербу.

Поэтому наш банк уделяет повышенное внимание вопросам сохранности данных, клиентских в том числе. На это направлены как технические решения, так и организационные меры на тех участках, где по тем или иным причинам невозможно применять средства автоматизации.

В результате сотрудники нашего банка имеют доступ исключительно к тем данным, которые им необходимы для выполнения своих обязанностей. И работа с информацией при этом контролируется.

Какой злоумышленник опаснее — внутренний или внешний? Случались ли у вас инциденты, связанные с деятельностью внешних и внутренних нарушителей?

Тут сложно дать однозначный ответ. Одно дело, если внутренним злоумышленником является оператор центра обработки вызовов, который записывает номера телефонов клиентов или фиксирует их каким-то другим способом, скажем, фотографирует экран на мобильный телефон. При этом далеко не факт, что потом он ими воспользуется. А вот если это будет администратор баз данных, который знает системы изнутри, знает, какая информация в них хранится, то тут потенциальный ущерб будет несоизмеримо больше.

С разными категориями внешних злоумышленников тоже ситуации кардинально различаются. Студент, загрузивший из Интернета бесплатный инструментарий для сканирования сетей и пытающийся взломать сайт, используя уязвимости, которых к тому же там давно уже и нет, относительно безобиден. А вот профессиональный хакер, вознамерившийся эксплуатировать уязвимости нулевого дня, о которых пока никто, кроме него, еще не знает, может быть чрезвычайно опасен.

Мы внедрили большое количество систем контроля персонала. Они ориентированы как на рядовых сотрудников, так и на привилегированных пользователей. Все эти системы интегрированы между собой и со средствами мониторинга и корреляции событий, анализирующими журналы разных приложений и программно-аппаратных комплексов. Имеются и технические средства защиты, направленные против деятельности внешних злоумышленников.

Что касается реальных инцидентов, то случаев, связанных с деятельностью внутренних нарушителей, у нас пока отмечено не было. А вот попытки атаковать нас извне случались. Но мы нашли этих злоумышленников и передали их в правоохранительные органы, которые завели по данным фактам уголовные дела.

Как вы выбирали решение для контроля привилегированных пользователей? Как проходили работы по внедрению данной системы?

Мы не были оригинальны: ознакомились с аналитикой компании Gartner и выбрали те решения, которые лидируют на рынке. А затем тестировали их в своих условиях.

По результатам этого пилота мы остановились на системе мониторинга активности привилегированных пользователей Shell Control Box (SCB) компании BalaBit. Именно она наилучшим образом показала себя в нашей среде, и мы из режима тестовой эксплуатации перешли к реальной. Да, все решения, лидирующие на рынке, имеют практически идентичную функциональность, да и по эффективности работы они не слишком различаются. Вопрос лишь в том, насколько легко будет вписать такую систему в имеющуюся ИТ-инфраструктуру.

И эти условия оказались для данного класса решений очень непростыми в силу большого количества применяемых разнородных систем и соответственно значительного контингента привилегированных пользователей, которые их обслуживают. При этом мы активно используем такие решения, как виртуализация или частное облако. А в этой среде далеко не все решения работают так, как надо.

Но и это еще не всё. Многие сервисы у нас предоставляются внешними компаниями, а значит, их персонал имеет доступ к нашим системам. И этим людям также надо предоставлять доступ в соответствии с нашими стандартами для внутренних сотрудников.

Продукт от компании BalaBit подошел для всех этих участков, что стало для нас приятным сюрпризом. Обычно при внедрении систем безопасности бывает так, что приходится использовать разные решения для разных фрагментов инфраструктуры, а это серьезно усложняет и увеличивает стоимость проекта.

В целом процесс внедрения занял около девяти месяцев, а на пилотную фазу пришлась треть данного срока. Остальное время ушло на настройку и адаптацию системы под нашу специфику, что сводилось к разработке и отладке профилей и правил, а также к сопряжению решения BalaBit с другими используемыми у нас системами.

В настоящий момент Shell Control Box ведет запись всех сессий удаленной работы системных администраторов, получающих доступ к конфиденциальной информации. Кроме того, контролируются и записываются действия администраторов, работающих по договору подряда и имеющих удаленный доступ. Таким образом, банк может сравнить эти данные с информацией, которую предоставляют подрядчики в соответствии с соглашениями об уровне обслуживания. При этом удаленный доступ к системам банка можно предоставить только по безопасному каналу. SCB работает в режиме продуктивной эксплуатации в банке: обеспечивает защиту разнородной ИТ-среды, в которой работают серверы Windows, Red Hat Linux и FreeBSD. В настоящий момент система контролирует и отслеживает рабочие сеансы около двухсот системных администраторов и других привилегированных пользователей.

Какие еще средства защиты у вас есть?

Мы применяем целый комплекс систем безопасности. Всего их эксплуатируется у нас более полусотни. Среди них — не только стандартные средства защиты конечных точек и межсетевые экраны, но и средства защиты от утечек информации (DLP), системы мониторинга и корреляции событий (SIEM), инструментарий для борьбы с таргетированными атаками (APT).

Основу нашей DLP-системы составляет платформа от одного из лидеров мирового рынка. Она охватывает все серверы и рабочие станции банка. С ее помощью контролируются основные каналы потенциальной утечки данных, включая Web и электронную почту. С моей точки зрения отечественные DLP-решения излишне сложны во внедрении и эксплуатации и к тому же перегружены второстепенными функциями, которые пытаются закрывать в том числе и некоторые смежные участки, например, связанные с борьбой с мошенничеством (фродом), что не самым лучшим образом сказывается на основной функции. При этом комплекс функций по защите от утечек в любом DLP-решении в первую очередь зависит от тонкой настройки систем. Мы используем две системы защиты от таргетированных атак. Одна из них — хорошо себя зарекомендовавшая и довольно давно существующая на рынке зарубежная, другая — от российских разработчиков. И они великолепно работают в тандеме. С их помощью мы отразили уже много потенциальных атак. По электронной почте, а это основной канал коммуникации сотрудников банка как между собой, так и с внешними контрагентами, регулярно приходят зараженные письма, которые пропускает антивирусная система. Просто страшно подумать, что происходило бы, если бы такой системы у нас не было. Но при ее наличии мы полностью контролируем всё, что у нас происходит.

Что касается SIEM-систем, то до них, как говорится, нужно ещё дорасти — достичь определенного уровня зрелости. Но, с другой стороны, в любой финансовой структуре приходится иметь дело с большими потоками информации. А значит, системы, где эти данные обрабатываются, а также оборудование, например сетевое или программно-аппаратные комплексы периметровой защиты, порождают большое количество лог-файлов. И если их содержимое не анализировать, то получить полную картину того, что у вас происходит, невозможно. А делать это вручную — задача из разряда абсолютно невыполнимых. SIEM-система позволяет автоматизировать эти процессы и выявлять всяческого рода проблемы и инциденты на самой ранней стадии. Без них в более-менее серьезной компании обойтись уже невозможно.

Экономика ИБ… Как подсчитать эффективность внедрения тех или иных систем защиты?

Это сделать можно. Для таких целей существуют специализированные методики расчетов. Но нагляднее оперировать примерами, желательно других компаний. Скажем, не так давно стали известны последствия таргетированной атаки на одну из российских платежных систем. Этот инцидент вызвал большой резонанс в прессе. В ходе данной атаки мошенники украли более 270 миллионов рублей. Между тем стоимость проекта по внедрению системы защиты от данного класса атак на два порядка меньше. Сотрудники этой компании сразу увидели бы программный зловред и атака закончилась бы, так и не начавшись. Многие коллеги не без оснований утверждают, что их проекты окупились за счет того, что было предупреждено буквально один или два инцидента. Так что лучше идти на опережение, предотвращая риски, чем принимать их и тем самым соглашаться на возможные убытки, часто весьма существенные, как показывает реальная практика.

Со Станиславом Павлуниным беседовал обозреватель Intelligent Enterprise Яков Шпунт