CNews: Сфера ИБ весьма зарегулирована. На ваш взгляд, оправдано ли это, или бизнесу можно дать больше свободы?

Василий Окулесский: Если рассматривать этот вопрос с точки зрения того, что свобода - это осознанная необходимость, то законы, которые регулируют область ИБ, это и есть та самая необходимость. Не законы увеличивают или ограничивают область свободы, а их знание и умение их применять.

Если мы правильно работаем с этими законами, то у нас появляется больше свободы в выборе решения. Иначе говоря, если нормативное требование - это сертификация криптографических средств защиты информации, а я умею правильно их применять, имею опыт работы с ними, понимаю принципиальную разницу между ними, то это дает больше свободы в принятии решения. А если у меня нет достаточных знаний в этой области, то, естественно, я попадаю в область ограничений, и эти законы начинают связывать руки.

CNews: То есть вы считаете, что ситуация вполне нормальная и менять ничего не нужно?

Василий Окулесский: Здесь у нас выбора нет, поэтому говорить о том, хорошо это или плохо, смысла нет. Есть смысл говорить о том, насколько правильно или неправильно, в полном объеме или нет, мы можем применять эти законы. У нас нет возможности не выполнять их.

CNews: Какие наиболее актуальные проблемы приходится решать службам информационной безопасности в финансовых институтах?

Василий Окулесский: К актуальным проблемам можно отнести выполнение нашего триединого требования: целостность, доступность, конфиденциальность. В рамках этих требований все задачи актуальны. Доступность – это антивирусная безопасность, и резервное копирование, и резервирование каналов связи, и обеспечение построения бизнес-процессов.

Это целый комплекс проблем, все они актуальны. Пренебрежение любой из них приводит к тому, что сервисы бизнеса становятся недоступны. В обеспечении целостности – всё те же проблемы. Главное понять, что пренебрежение любой из них, приводит к тому, что бизнес останавливается. Конфиденциальность это обязательное требование, особенно в финансовых структурах и 26 статья Закона «О банках и банковской деятельности» напрямую предписывает обеспечивать сохранность банковской тайны.

CNews: В чем отличия информационной безопасности банков от ИБ обычных пользователей?

Василий Окулесский: Все то же самое, что и для всех, только умноженное на сто. Даже не на сто – вот есть средний доход человека, и есть средний доход банка. Вот такая же разница и в важности этих проблем. Проблемы одинаковые у всех, просто у кого-то они маленькие, у кого-то большие, а у кого-то совсем большие. А по сути все одно и то же. Просто значение каждой мелочи возрастает пропорционально тем суммам, с которыми мы работаем.

CNews: Что вы можете сказать про внутренние угрозы?

Василий Окулесский: Нельзя делить угрозы на внешние и внутренние. Проблема в том, что потери есть потери, и не важно, от чего они – из-за хакерской атаки или из-за инсайдера. Если сервисы заблокированы хакерской атакой, то банк теряет деньги. Если из-за недостаточного резервирования упала сеть, то это тоже потери. И они такие же, они достаточно велики.

Несколько  лет назад все компании больше внимания уделяли защите внешнего периметра: устанавливали файрволы, веб-сенсоры, антивирусы. А  сейчас все это классика, тот бэкграунд, который не обсуждается - он должен быть просто потому, что он должен быть. Без этого сегодня никуда.

А о внутренних угрозах сейчас заговорили потому, что появился минимально достаточный выбор средств для борьбы с ними, а не потому, что раньше не было инсайдеров. Они существовали всегда и везде. Классический пример – экономический шпионаж.

Раньше технических средств для борьбы с внутренними угрозами было совсем мало, поэтому об этом никто и не говорил, так как говорить было не о чем. Сейчас ситуация существенно поменялась, инструменты появились и на это стали выделяться средства.

CNews: По вашему мнению, сегодня этих средств уже достаточно?

Василий Окулесский: Достаточно не бывает никогда, ведь новые угрозы появляются каждый день, а рынок предлагает ответы только на существующие угрозы. Поэтому достаточного количества продуктов не может быть в принципе. Чем больше продуктов, тем больше выбор. Чем больше предложений одного класса, похожих по своим техническим возможностям, тем меньше будет цена внедрения.

Это закон рынка! И с моей точки зрения, чем больше конкуренция, тем лучше для потребителя. Но в этом случае сразу возникает проблема выбора. А сегодня в магазинах множество брендов.

То же самое, например, сейчас с антивирусными продуктами. Приходишь в магазин, а там и «Касперский», и Dr.Web и много чего еще. И каждый говорит, что он лучше всех, что это подтверждает независимыми исследованиями. Попробуй тут выбери!

Проблема выбора становится критичной и здесь важно не ошибиться. В таких случаях нам помогают наши друзья, консультанты. Они знают наши проблемы, проникаются ими, помогают решать их. И не только в плане того, какой продукт «круче», а в плане того, какой продукт лучше встраивается в нашу систему и лучше работает именно у нас.

Потому что у нас есть особенности системы, особенности архитектуры, особенности построения, географического распределения и так далее, это все очень важно. Поэтому всегда требуется опыт консультантов-профессионалов, с которыми мы всегда стараемся считаться.

CNews: Ваш банк совсем недавно принял решение о смене ряда систем защиты. С чем это связано?

Василий Окулесский: Это в корне неправильный вопрос. Системы защиты в  нашем банке были всегда, есть и будут. Но поскольку мы живем в динамичное время, то система защиты очень быстро устаревает. Поэтому мы постоянно, ежедневно, находимся в состоянии смены чего-то на более новое.

В итоге говорить, что мы приняли решение о смене ряда систем защиты неверно. Это наше постоянное состояние, мы все время что-то меняем, улучшаем, расширяем, совершенствуем, актуализируем. С чем это связано? Все меняется, враг не дремлет, мы должны за ним успевать. Это перманентный процесс, который не может быть остановлен ни на минуту.

Если мы его останавливаем, а потом начинаем что-то новое, то у нас на период внедрения будет брешь в защите. Поэтому наша задача - ни на минуту не останавливаясь, постоянно искать какие-то новые решения, все время что-то менять, настраивать, перестраивать, достраивать и снова строить. Этот процесс постоянно актуален.

CNews: Расскажите, как вы выбирали новое решение для защиты банковской инфраструктуры?

Василий Окулесский: Поскольку у нас в банке процесс внедрения новых систем защиты идет непрерывно, то и нет такого понятия, как “выбор нового решения”. У нас не бывает так, что мы выбрали одно решение и заменили все на него. Для каждой конкретной задачи выбирается конкретное решение.

Например, недавно была заменена система защиты от вирусов и спама. Выбирая ее, мы руководствуемся многими критериями: наибольшая функциональность, централизованное управление, возможность удаленного администрирования, возможность построенная централизованной системы в гетерогенной среде, простота и эффективность поддержки, естественно.

Мы решили, что продукт «Kaspersky Total Space Security» всем этим требованиям отвечает. И, что немаловажно, реализовано отечественным производителем: разработчик должен быть рядом для того, чтобы оперативно реагировать и быстро решать наши проблемы. Вот такие критерии.

CNews: Вы проводили анализ имеющихся на рынке предложений?

Василий Окулесский: Мы всегда сравниваем то, что предлагает рынок, проводим предварительные тестирования, создаем опытные районы. Решения  принимаются естественно не спонтанно, а взвешенно. И здесь руководство банка полагается в большей мере не на внешних экспертов, а на заключение своих собственных ИТэшников.
Ведь именно они будут работать с этим продуктом. Поэтому нам более интересно и более важно именно их мнение. Они ставят, они проверяют, мы помогаем и участвуем.

CNews: С чем сравнивался в итоге выбранный вами Kaspesky Total Space Security?

Василий Окулесский: Мы сравнивали со всеми решениями, которые доступны на рынке. Есть Топ-5 Virus Bulletin, так вот мы его весь ставили и проверяли.

CNews: Как шло внедрение, какие этапы оказались самыми трудными?

Василий Окулесский: Положительные моменты - это полученный результат - решение работает. Процесс идет. Надо сказать, что мы не стремимся закрыть все свои потребности только одним решением. У нас много чего есть, поэтому  имеется возможность сравнивать. Если у нас коэффициент однородности составляет 80 процентов, то это уже очень хорошо.

CNews: Ощущаете ли вы изменения в характере угроз и в их количестве?

Василий Окулесский: Начну с конца. Много ИБ не бывает. Поэтому преувеличить роль и значение безопасности принципиально невозможно. Если кто-то пытается принизить значение ИБ, то он просто не понимает, что делает.

В первую очередь это касается бизнеса, потому что у людей из бизнеса очень серьезное недопонимание проблем информационной безопасности и недооценка связанных с ней угроз. Поскольку  «жареных петухов» никто не отменял,  нужно их использовать по «полной» – и своих и чужих.

Преувеличить роль и значение ИБ невозможно, но нужно приводить людей к пониманию того, что ИБ - это конкурентное преимущество любого банковского продукта. Если у банковского продукта в его свойствах указано, что он информационно защищенный, то он более конкурентный, чем другие продукты.

Нужно воспитывать бизнес и руководителей, даже самых высоких. Сейчас общее понимание того, что ИБ нужно заниматься, уже есть. Осталось добиться того, чтобы бизнес-руководство понимало, в каком объеме нужно этим заниматься. Ведь это непрерывный, постоянный и очень сложный процесс.

К сожалению, проблемы информационной безопасности разрастаются гораздо быстрее, чем возникает понимание руководства, что их нужно решать. Любая безопасность затрудняет бизнес. И любые попытки увеличения безопасности приводят к тому, что бизнесу нужно либо ущемляться, либо искать какой-то компромисс для выполнения требований ИБ.

Естественно, что это встречает сильное сопротивление. И чем больше банковский бизнес стремится стать более доступным и удобным для клиента, тем более небезопасным он становится. А как только мы пытаемся сделать бизнес более безопасным, он становится менее удобным. И здесь, естественно, очень важен правильный анализ рисков, серьезный и взвешенный, что можно, а что нельзя делать, пытаясь соблюсти баланс между удобством бизнеса и соблюдением требований ИБ.

CNews: Как вы думаете, сколько должно пройти времени, чтобы бизнес в полной мере осознал важность ИБ? Ведь никого уже не удивляет, что нужно платить охране, что для инкассаторов нужно покупать специальный броневик и так далее.

Василий Окулесский: Боюсь оказаться пессимистом – на нашем веку этого уже не произойдет, к сожалению. Мы с бизнесом находимся в постоянных «контрах». Бизнес никогда не согласится с тем, что нужно направлять серьезные деньги на обеспечение информационной безопасности, если, на его взгляд, без этого можно обойтись.

Сколько автомобилистов возят с собой огнетушитель? Я думаю, что меньше половины. А если и возят, то у него уже давным-давно вышли все сроки годности. При этом все понимают, что его нужно иметь не только потому, что это требование правил, но и потому, что он может спасти жизнь водителю и пассажирам. Но имеют исправный огнетушитель в машине все равно  далеко не все.

CNews: На ваш взгляд, в чем тут дело? В недооценке рисков или в инертности человеческого мышления?

Василий Окулесский: На самом деле проблема гораздо глубже и серьезнее. Постоянно говорится, что нужно оценивать риски ИБ. Но, несмотря на то, что мы знаем угрозы ИБ, мы абсолютно не умеем преобразовать их в деньги.

Мы не можем объяснить, какими потерями могут обернуться эти угрозы. Потому что у нас нет механизма перевода угроз в реальные потери. А если какой-то математический механизм и есть, то совершенно непонятно, откуда брать исходные данные для того, чтобы подставлять их в эти формулы.

То есть, мы говорим о том, что должны анализировать риски, но, по сути, у нас нет для этого никаких механизмов, нет принципов оценки рисков ИБ. На мой взгляд, это глобальная проблема, которая связана с тем, что на сегодняшний день принципиально отсутствует механизм оценки рисков ИБ. Вообще!

Это проблема для всех, такой методики нет нигде, не только в России. Есть куча методик, научных подходов, масса формул. Но, опять же, мы приходим к тому, что если есть формула, то для нее нет исходных данных, а если есть исходные данные, то нет формулы, в которую их можно подставить.

Соответственно, я не могу соотнести реальные уязвимости с реальными потерями, которые могу понести. Поэтому мне нужно придумать какую-то модель, обманывая при этом и себя и других, говоря, что вот если мы не будем делать это и это, то мы можем понести вот такие потери. Поэтому давайте хотя бы десятую часть от этих потенциальных потерь затратим на информационную безопасность.

А реально это соотнести практически невозможно. Т.е либо эта десятая часть покроет возможные убытки, либо не покроет. Истратим энное количество денег. И они в рамках определенного временного интервала дадут нам некую внутреннюю уверенность, что мы эту угрозу с вполне приемлемой долей вероятности закроем.
Но остается хвостик вероятности реализации инцидента, а он всегда остается, который вдруг реализуется, то наши потери будут в десятки раз больше чем те средства, которые мы сейчас затратили на профилактику.

Подход с точки зрения управления рисками, он, наверное, правильный. Он принят во всем мире, его все рекомендуют. Но в целом, с моей точки зрения, это глобальная проблема, которая не позволяет совершенно однозначно планировать деньги на ИБ.

CNews: А как-то эта проблема решается, по вашему опыту?

Василий Окулесский: Нет. Каждый сам решает эту проблему, каждый сам придумывает доводы для руководства, ищет специальные подходы к своему руководителю. А никаких общих правил не существует, хотя мы все и говорим, что нужно оценивать риски ИБ, что есть теория, есть методика. На самом деле нет ни методики, ни теории, ни практики. Каждый все решает для себя и не всегда успешно. В основном неуспешно, хотя есть и отдельные исключения, которые подтверждают правила.

CNews: Считаете ли вы, что в такой деликатной сфере, как банковская безопасность, необходимо использовать в первую очередь отечественные разработки?

Василий Окулесский: Я сторонник отечественных продуктов. Во-первых, когда мы говорим о безопасности, мы говорим об использовании криптографических средств. А здесь подходят только российские средства, так как они должны быть сертифицированы нашими же регуляторами. Однозначно российские!

Во-вторых, если брать средства контроля безопасности сети, то здесь опять же лучше российские разработки. Они в большей степени адаптированы под то оборудование, которое мы применяем, под ту техническую оснащенность, которая у нас есть.

Не секрет, что по технической оснащенности мы серьезно отстаем от западных компаний. Не потому, что в России нет самых современных средств, а потому, что у нас парк очень разнообразный, сложившийся за нашу непростую историю. В нем есть программные и аппаратные средства, которые на Западе уже можно найти только в музеях, а у нас они еще успешно работают.

И такое разнообразие компьютерного парка западные продукты обычно не учитывают. Хотя бывает и наши иногда этого не учитывают. Но в случае с отечественными решениями всегда можно найти разработчика, чтобы он «пришел и настроил». То, что разработчик здесь и говорит с нами на одном языке,  дает существенные преимущества. Поэтому мы ориентируемся на отечественные разработки.

По качеству же наши решения никогда не были хуже западных. А поскольку они ориентируются именно на нас, то они даже лучше «иностранцев». Если с авто все понятно: вот иномарка, и она по определению лучше, чем «Жигули». То в софтверных разработках, особенно если учесть, что большинство выдающихся программистов - это наши бывшие соотечественники, наши программные продуты вовсе не хуже западных.
В итоге - в банковской сфере в части ИБ лучше использовать отечественные разработки. Хотя есть отдельные направления, подчеркиваю, отдельные, где наши разработки недостаточно хорошо представлены. Это всякого рода снифферы и IDS\IPS-системы, например.

CNews: Продукты ИБ считаются одними из самых высокотехнологичных. Как у вас в банке поставлен процесс обучения соответствующего персонала?

Василий Окулесский: Да, обязательно. Обучение, переобучение, постоянное дообучение - это у нас непрерывный процесс. Мы пользуемся и услугами специализированных учебных центров, и производители принимают участие в обучении наших специалистов. Это очень серьезный момент в нашей работе.

CNews: А кому, на ваш взгляд, при обучении требуется больше внимания: ИТэшникам или конечным пользователям?

Василий Окулесский: Пользователей мы, в основном, информируем. У них всегда есть памятки, инструкции, они с ними ознакомлены. А как настраивать, как действовать – этому обучаются ИТэшники и офицеры безопасности. Причем не только центрального офиса, но и со всей филиальной сети. Работа идет. Конечно, в этом отношении можно и больше людей обучать. Но все зависит от времени и финансов.

CNews: Служба ИТ и подразделение ИБ – как они у вас связаны?

Василий Окулесский: Это два разных подразделения. Мы стараемся дружить там, где это получается. А вообще у нас разные задачи, разные руководители. Не скажу, что у нас сильный антагонизм, но в определенном смысле мы являемся противоборствующими сторонами.

CNews: Очень интересно! Это особенность только банков?

Василий Окулесский: Ну почему же, это вполне естественное явление. Как ИБ всегда в конфликте с бизнесом, то и любые ужесточения ИБ в части контроля всегда не нравятся ИТ.

CNews:  Почему? Разве ИТ не заинтересовано в безопасности бизнеса?

Василий Окулесский: Предположим, есть некие ограничения по работе в интернете. Под это все и настраивается – файрвол, прокси-сервер, учетные записи. Но ИТ-шник всегда считает себя самым умным, он «круче», чем настройки сервера. И он начинает обходить эти запреты.

А ИБ бьет ему по рукам – нельзя. А он снова. ИБ опять. И начинается.  Это игровой пример, но ситуация актуальная. И до тех пор, пока права и обязанности ИБ и ИТ не будут четко  разграничены, это будет повторяться. И даже когда это будет сделано, ситуация останется напряженной.

Она нормальная, в том смысле, что она есть, но, по сути, она ненормальная. Конфликт есть по определению. Я не знаю ни одну службу ИБ, которая была бы полна любви к ИТ, и наоборот. Это системный конфликт, конфликт интересов.

Именно поэтому стандарт ЦБ предписывает, чтобы у ИБ и ИТ были разные начальники и даже разные кураторы. Потому что ИБ  - это всегда контроль над ИТ. И еще один момент. В ИБ существенно, в десятки раз меньше специалистов, чем в ИТ. Уровень контроля очень высок, широта охвата проблем велика.

В ИТ все по-другому, там как правило узкоспециализированные специалисты. В своей области, в своей узкой части, каждый по своей профессиональной подготовке превосходит ИБ-шника, который нацелен на более широкий круг задач.

В каждой узкой области в ИБ нет такой подготовки, как у ИТ-шника. И это позволяет в ИТ говорить, «я тут крутой спец, а вы тут нули, что вы лезете?!» Психологически это тонкий момент – что это меня контролируют те, кто в этой области ничего не понимает.  Тем более что у ИТ-шников, особенно уровня системных администраторов, происходит  профессиональная деформация.

И это нормально, потому что постоянное общение с вычислительной техникой  накладывает определенный отпечаток. И если этого нет, то человек профессиональным админом не станет. А если становится, то происходит этот сдвиг, и админ начинает считать неправильным любой контроль над собой. Эта проблема есть, к сожалению. Она не лежит в основе конфликта, но дает определенный дополнительный нюанс.

CNews: Какие отношения между пользователями и службой ИБ вы считаете правильными?

Василий Окулесский: О том, что банковский продукт информационно защищен должны знать, как пользователи внутри банка, так и его клиенты. ИБ - это требование, обязательное для всех банковских продуктов дистанционного обслуживания.

Если продукт не будет защищен, то клиент об этом узнает, и спроса на такой продукт больше не будет. То, что продукт защищен, должны  знать все, а что именно и как там защищено – это закрытая информация. Внутри банка пользователи должны знать, что ИБ есть, что система на контроле. Что можно делать, а чего нельзя  - обязательно должны знать все.

Пользователей нужно регулярно подпитывать информацией о том, что бывает с теми, кто требования ИБ нарушает. Тонус должен быть. Должно быть и ежедневное общение с пользователями – не всегда с пряником, но и не всегда с кнутом. Разъяснительная работа должна вестись неукоснительно.

Обычно пользователи положительно воспринимают, когда им разъясняют, а не просто наказывают. Но бывают и исключения. И это нормально! Это часть нашей работы. Люди всегда должны знать: как нужно действовать, и что бывает с теми, кто игнорирует правила.

Реакция руководства на нарушения также должна быть доведена до всех. Человек так устроен, что без нарушений он не может, и нарушителей нужно наказывать. Это естественный процесс. Наказывать не ради наказания, а для воспитательного эффекта, который будет гораздо сильнее, если сведения о наказании нарушителей доводить до всех!

CNews: Спасибо.