Уроки Летней сессии
Ежегодно в феврале на ключевом мероприятии отрасли ИБ Уральском форуме «Информационная безопасность финансовой сферы» при участии всех регуляторов и представителей отрасли обсуждаются самые важные темы и проблемы противодействия киберпреступности и защиты российских банков от компьютерных угроз. Но из-за высокой загруженности деловой программы за её рамками остается часть вопросов, требующих своевременного обсуждения и решения. Именно эти, наиболее острые и насущные, вопросы традиционно выносятся на Летнюю сессию Уральского форума. В этом году конференция «Информационная безопасность финансовой сферы. PCI DSS Russia 2017» состоялось 31 мая в Москве, в конференц-зале гостиницы «Золотое кольцо». В ней приняли участие более 150 представителей регуляторов, руководителей и ведущих сотрудников российских банков, телеком-компаний, разработчиков и поставщиков решений в области ИБ, аудиторов безопасности информационных систем и других специалистов отрасли.Среди основных тем, обсуждавшихся на Летней сессии,— применение актуальных версий стандартов ИБ международных платёжных систем, взаимодействие организаций финансовой сферы в деле противодействия DDoS-атакам, а также вопросы идентификации и аутентификации клиентов кредитно-финансовых организаций в контексте использования ЕСИА.
«МИР», ТЕСТ, СТАНДАРТ!
В сессии «Информационная безопасность платежных систем», посвященной в основном стандарту PSI DSS, Максим Фомичев, начальник отдела сопровождения ИБ НСПК, рассказал, что в соответствии с Правилами платежной системы «Мир» основными нормативными документами, регламентирующими выполнение требований по обеспечению информационной безопасности, для всех субъектов платежной системы «Мир» являются Положение Банка России от 9 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» и международный стандарт безопасности данных индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standard).
Проведение тестирования автоматизированных систем на проникновение является обязательным, в том числе и в соответствии с требованиями PSI DSS, поэтому в рамках этой же сессии рассматривались основные принципы и методики такого тестирования. Эта тема привлекла всеобщее внимание, поскольку на Уральском форуме в Магнитогорске ее обсуждение хоть и было бурным, но затронуло только частные аспекты. Обобщающий доклад в исполнении Алексея Плешкова, позиционировавшего себя как независимый эксперт, прозвучал именно на Летней сессии.
Обсуждалась и мотивация для выполнения требований стандартов информационной безопасности. Итоги дискуссии вкратце таковы. Целью должно быть обеспечение защищенности ресурсов организации, а не формальное исполнение требований под угрозой санкций. Если организация уделяет адекватное внимание информационной безопасности, то основная часть требований стандартов будет ею выполнена автоматически. Стандарт – это памятка, по которой специалисты проверяют, все ли моменты, связанные с обеспечением безопасности, учтены в процессе работы.
ИДЕИ ВТБ ОБСУДИЛИ С ЭНТУЗИАЗМОМ
В следующей сессии, посвященной противодействию DDOS-атакам, были рассмотрены основные тенденции в данной области. Докладчики приводили статистику и делились опытом. Например, самая мощная атака в мире достигала 1.1 Тбит/с, в России (по данным Ростелеком) – 214 Гбит/с. Рассматривались также плюсы и минусы двух подходов противодействия DDOS: аутсорсинга и построения своей защиты.
Кульминацией всей конференции – с активным противостоянием сторон и бурной дискуссией, охватившей весь зал, – стала сессия, посвященная использованию новых решений в целях идентификации и аутентификации пользователей финансовых услуг. Рассматривалось несколько смежных вопросов.
Иван Янсон, бизнес-партнер по информационной безопасности ПАО «Сбербанк России», рассказал о целях и ходе эксперимента по удаленной регистрации бизнеса. В свою очередь Алексей Александров, технический директор 1С-СП, сообщил о новой отечественной разработке, поддерживаемой Банком ВТБ, по реализации усиленной электронной подписи на сим-картах телефонов. Тут возникло много вопросов о перспективах сертификации и зависимости от безопасности операционных систем, но в целом оба доклада были восприняты аудиторией положительно.
Дмитрий Федоров, представитель Банка ВТБ, рассказал о новых идеях использования Единой системы идентификации и аутентификации и Национальной Биометрической платформы для предоставления финансовых услуг населению. Указанный подход должен решить одну из важнейших банковских проблем – сделать доступными банковские услуги для всех граждан России независимо от наличия поблизости банковских офисов. Сам подход был принят с большим энтузиазмом, что повлекло за собой трудноостановимое обсуждение множества частных специальных вопросов.
БИОМЕТРИЮ ПОСТАВИЛИ НА МЕСТО
Завершилась Летняя сессия Уральского форума большой дискуссией, которую вел руководитель подразделения информационной безопасности Банка ВТБ Сергей Пазизин. В ходе дискуссии, местами переходившей в яростные дебаты, обсуждались пути решения проблем ИБ в части борьбы с DDOS-атаками, в том числе и вопросы надежности современных методов идентификации и аутентификации.
Споры оказались весьма плодотворными. Например, обсуждени обязательности услуги по очистке трафика для мобильных операторов привело к выводу, что все должен решить рынок – спрос своим давлением заставит операторов обеспечивать клиентов такими услугами. С другой стороны, нет необходимости принудительно удалять с рынка операторов, которые не обеспечивают защиту клиентов от DDOS-атак, так как эта угроза не для всех актуальна. По крайней мере, не более актуальна, чем для самих операторов, поскольку такие атаки на их клиентов не позволят нормально функционировать каналам связи самих операторов.
В части нормативной базы обсудили и констатировали необходимость доработки Уголовного кодекса. Потребность в строгом, юридически обоснованном наказании за организацию DDOS-атак давно уже видится в фельетонной плоскости: кого все-таки защищает Закон: мирных граждан или злоумышленников?
По поводу применения биометрических методов участники дискуссии отметили их полезность как дополнительного фактора при аутентификации пользователя, что может снизить количество случаев мошенничества в системах дистанционного банковского обслуживания. Также биометрия будет эффективна, если ее использовать при открытии пользовательских счетов, но при условии разработки достаточно сложной и трудоемкой процедуры первичного подтверждения личности при приеме клиента на обслуживание. Вместе с тем, основным способом аутентификации пользователей при проведении платежей – и на этом участники дискуссии решили остановиться – в ближайшее время останутся такие проверенные методы как электронная подпись и разовые пароли.
.png)