Марат Закиров, начальник службы информационной безопасности ОАО АКБ «РБР»: «Затраты на информационную безопасность обычно составляют не менее 10% затрат на информационные технологии»

С одной стороны современный ритм жизни и развитие информационных технологий, в частности системы дистанционного банковского обслуживания, избавляют клиентов от непосредственного посещения офиса той или иной кредитной организации. С другой – далеко не всегда такое общение безопасно, а в Сети появляется все больше сообщений, когда мошенники обманывают ничего не подозревающих потребителей услуг. Какие технологии защиты используют банки в своей работе? Отдают ли они эти работы на аутсорсинг? Как определить затраты на информационную безопасность? На эти и другие вопросы отвечает начальник службы информационной безопасности ОАО АКБ «Региональный банк развития» Марат Закиров.

– Марат Раисович, как часто случаются такие мошенничества в Уфе? Случались ли мошенничества в вашем банке?

– Вопрос довольно провокационный. Большинство кредитных организации предпочитают не раскрывать данную информацию, так как такие сведения в открытом доступе могут отрицательно повлиять на репутацию банка.

Есть различного рода статистические сведения, результаты опросов, но и они не показывают в полной мере картину происходящего. Поэтому остается только предполагать, как часто происходят данные инциденты.

Одно могу сказать точно, в связи с ростом популярности услуги дистанционного банковского обслуживания, количество способов и средств проведения такого рода мошенничеств растет. Большинство из них основано на невнимательности или пренебрежении вопросами информационной безопасности самими клиентами. К примеру, некоторые клиенты хранят ключи на компьютере, а не на отдельном носителе, часто оставляют без присмотра компьютер, с которого отправляются платежные поручения, не проводят своевременное обновление антивирусных баз. В связи с этим хотел бы порекомендовать клиентам быть как можно более внимательными при работе в системе, а в случае возникновения внештатных ситуаций, не медлить, а сразу обращаться к специалистам банка.

– Какие наиболее распространенные технологии защиты используют банки в процессе обеспечения безопасности дистанционного взаимодействия? Чем они отличаются?

– На данный момент используются два вида дистанционного взаимодействия. Первый из них это так называемый «толстый клиент» – отдельная программа, которую необходимо устанавливать на компьютер клиента. И второй – «тонкий клиент» – представляет из себя web-интерфейс, для использования которого достаточно наличие на компьютере браузера и доступа в Интернет.

Для обеспечения конфиденциальности передаваемой между клиентом и банком информации используется шифрование. Для «толстых клиентов» используются различные криптопровайдеры, но в последнее время все больше отдается предпочтение «тонким клиентам» с применением протокола https на основе SSL/TSL. Для контроля целостности и юридического подтверждения подлинности документа используется электронная подпись. В целях обеспечения сохранности ключей шифрования и подписи используются специальные устройства с защищенной памятью (eToken, Смарт-карты). Их отличительной особенностью является то, что ключ не покидает пределы данного устройства, что исключает возможность его хищения. Также применяются одноразовые пароли, которые имеют срок действия и применимы только для одного сеанса работы в системе.

Очень удобны СМС-уведомления, которые позволяет контролировать все операции со счетом и оперативно реагировать на инцидент. Совместно с перечисленными выше средствами, банки используют аналитические программные комплексы, предназначенные для предотвращения мошеннических операций, так называемые Fraud-мониторы, которые анализируют поступающие в банк платежные документы по заданным критериям. В случае классификации полученных документов как сомнительных, банк созванивается с клиентом и уточняет информацию.

– Что вы используете в своем банке и почему выбрали именно этот вариант?

– В банке используется многоуровневая система защиты информации, включающая различные программные, программно-аппаратные комплексы. Более детальное описание защиты является банковской тайной. Стоит заметить, что очень важным является не только наличие в банке тех или иных технических средств защиты, но и то каким образом они сконфигурированы и какова квалификация сотрудников занимающихся вопросами защиты информации. Очень важна грамотная настройка оборудования и программ. То же касается и любых других средств защиты информации. Поскольку возможные потери банка от мошенничеств весьма существенны, банки, как правило, не экономят на безопасности, в конечном итоге эти расходы окупаются.

– Вы привлекаете сторонних исполнителей (аутсорсинг) или у вас такими вопросами занимается собственный отдел? Почему?

– Как правило, вопросы безопасности банки не передают на аутсорсинг. Наши специалисты регулярно проходят обучения, участвуют в конференциях, вебинарах, взаимодействуют с коллегами из других организаций, делятся опытом, консультируются. Это позволяет применять эффективные и проверенные методы обеспечения информационной безопасности.

Также стоит заметить, что деятельность по обеспечению информационной безопасности очень тесно связана с IT-службами, и отдельно аутсорсингом вопросов информационной безопасности мало кто занимается. В основном пользуются аутсорсингом IT, также включающим в себя частично обеспечение информационной безопасности.

– Как определить правильные затраты на обеспечение безопасности, чтобы с одной стороны не переплатить, а с другой – не раскрыться перед мошенниками?

– Существует множество различных методик по определению затрат на обеспечение безопасности, но какого-то определенного эталона «правильных затрат» нет, каждая кредитная организация сама решает для себя, какие риски она может принять и какую сумму готова потратить на обеспечение информационной безопасности.

Эксперты обычно предлагают планировать затраты на информационную безопасность в размере не менее 10 процентов от затрат на информационные технологии.