16 февраля

Удивительный день. Сухой тихий воздух, солнце, горы и белый-белый скрипучий снег, какого в Москве никогда не бывает. Форум успокоился и приступил к обсуждению насущных для каждой кредитной организации вопросов.

Сессию «Квалификационные требования и подготовка специалистов ИБ. Повышение осведомленности сотрудников финансовых организаций» открыл Андрей Выборнов (Банк России). В своей лапидарной манере он рассказал о планах по переработке РС «Квалификационные требования к специалистам по ИБ организаций КФС». В ближайших планах — в апреле — обсуждение и, возможно, утверждение «Примерной программы профессиональной переподготовки». Пора, давно пора, господа безопасники, подучиться, чтобы было легче работать в соответствии с требованиями регулятора.

Дальше разговор пошел об осведомленности сотрудников. Ведущий Лев Шумский (ГК «Связной») представил неутешительную статистику по антифишинговым проверкам. Так вот, открыли фишинговые письма, а затем и перешли по зловредным ссылкам 55% бухгалтеров, 50% сотрудников бэкофисов, 50% сотрудников ИТ. «С этим надо что-то делать», — покачал головой Шумский.

Оказалось, неплохой опыт есть в «Почта Банке» (докладчик Максим Лукин) и «ВымпелКоме» (Александр Голубев). Аудит осведомленности, точечное и массовое интерактивное обучение... Но оба сошлись во мнении, что разовые мероприятия не работают, повышение осведомленности — это постоянный процесс, комплексная программа. Александр Голубев привел интересный пример. В ВымпелКоме на каждом этаже на больших мониторах в режиме нон-стоп демонстрируют рекламные ролики, а между ними приятные девушки периодически произносят фразу из спецнабора, типа: «А ты поменял пароль?»

Ощущение, что повышение осведомленности персонала — дело почти безнадежное, сродни войне с ветряными мельницами, но делать его надо, терпенье и труд все перетрут, кое-что все-таки получается и т.д. разрушил Алексей Горелкин («Лаборатория Касперского»). Он заявил: «Надо превратить слабое звено в вашу сильную сторону!» А как? — молча спросил зал. Горелкин предъявил картину «Проповедь на селе», на которой тупые прихожане уныло слушают бодрого проповедника и сообщил: «Сотрудники точно так же не воспринимают то, что им вдалбливают безопасники». И рассказал о подходах к обучению кибербезопасности, разработанных в его компании на самой что ни на есть современной основе: психология, педагогика, смена убеждений, метод непрерывного обучения...

— Проблема в том, — констатировал он, — что большинство программ повышения осведомленности работает только со знаниями. Но люди устроены иначе. Поведение — вот с чем надо работать в ходе тренингов!

— Да, есть все-таки свет в окошке, — подумал Шумский.

И завершило сессию еще более эмоциональное выступление Евгении Колодиной (кадровое агентство ЦИБИТ). Она подтвердила мысль Выборнова, что целесообразно учиться и повышать квалификацию по программе, согласованной с регулятором. Потом надела белоснежную шапочку с красным крестом и сказала: «Люди приходят к нам как к доктору. И мы им всегда помогаем». И довольно подробно рассказала, как они это делают.

​

После кофе-паузы состоялось ключевое выступление дня. Владимир Викторович Чистюхин, заместитель председателя Банка России, рассказал об основных направлениях развития финансовых рынков и новых вызовах для безопасности. Главная мысль: в свете глобальной дигитализации все, что делает Банк России, он делает теперь сквозь призму информационной безопасности. Сразу после доклада неумолимые журналисты увели его на растерзание в пресс-рум. Вместе с Артемом Сычевым. Как обычно.

Следующая сессия называлась «Высокотехнологичное мошенничество. Что противопоставить?» Илья Кочетков (Банк России) рассказал о проблемах безопасности информационной среды в сфере микрофинансирования. Там осведомленность клиентов и пользователей на порядок ниже, чем среди сотрудников банков. В то же время, эта среда — просто райский сад, в котором вольно произрастают фишинговые сайты, а мошенники всегда счастливы. Одно их название чего стоит: псевдопосредники, агрегаторы, двойники, нелегальные кредиторы...

Дальше пошел разговор о технологиях ИБ. Александр Хегай («Кросс технолоджис») предъявил целый арсенал защиты от высокотехнологичного мошенничества, Алексей Сизов («Инфосистемы Джет») доказал теорему самообучаемости антифрода, Алексей Коняев («SAS») пропел осанну машинному обучению. Правда, в заключение на сцену поднялась гордая женщина Анна Гольдштейн («Информзащита») и безапеляционно развенчала это самое машинное обучение.

В перерыве Артем Зубков (Медиа группа «Авангард») и Максим Григорьев (Банк России), соблюдая традицию, торжественно наградили лучших докладчиков предыдущего дня Форума. Лучшим признан доклад «О повышении киберустойчивости информационных систем» Андрея Курило (компания РНТ). Лучшим докладчиком — за яркость выступления стал Илья Медведовский (Диджитал Секьюрити) с докладом «Блеск и нищета пентеста в режиме Red Team, или «Не нужна тебе, Вовка, такая картина».

Самой насыщенной — от обеда до ужина (и все равно времени не хватило) — стала сессия «Проблема доверия к идентификации и аутентификации в финансовой среде». Тема ключевая, сложная, необходимая и... пока так и не разрешенная. Максим Григорьев (Банк России) представил ее на уровне создания государственной программы, Иван Янсон (Сбербанк) также поддержал планку на уровне государственной. Сбербанк пытается решить эту проблему в рамках эксперимента по удаленной регистрации бизнесов и открытия счетов. Докладчики выходили нескончаемой вереницей. Надеемся, некоторые из этих докладов мы опубликуем в ближайшем номере BIS Journal.

А тем временем в пресс-руме беспощадные журналисты пытали Артема Сычева. Как обычно.

После ужина состоялась закрытая — исключительно для представителей финансовых организаций — секция «Вопросы взаимодействия кредитно-финансовых организаций с регуляторами». Кто там был, и о чем говорили — неведомо. Но Артем Сычев там был точно. А журналисты отправились на семинар «Методы и системы вербальной и невербальной оценки поведения персонала», на котором доктора из компании ЦИБИТ с радостной улыбкой сажали всех желающих за полиграф. Провериться, так сказать.

Или проверить?

15 февраля

Второй рабочий день Форума открылся дискуссией «Повышение культуры кибербезопасности». «Жидкая тема», — охарактеризовал ее, не подумав, один из журналистов. И ошибся. Разделенная надвое — «Культура профессионалов ИБ» и «Культура пользователей» — «жидкая тема» в устах неглупых людей спиралью поднялась до философского обобщения и вернулась в зал конкретными примерами и практическими рекомендациями.

Интересно, как представляют себе «профессионализм как часть цеховой культуры» известные в сфере ИБ люди:

• Андрей Акинин: «Профессионал ИБ — это прежде всего шериф, полицейский. Он охраняет хороших людей и не позволяет им стать плохими».
• Сергей Лебедь: «Профессионал ИБ — прежде всего эксперт в IT».
• Рустэм Хайретдинов: «ИБ — это не профессия, а состояние, и мы в нашей компании поддерживаем его у сотрудников. ИБ у нас „размазана“ по всем ровным слоем».
• Артем Сычев: «Профессионализм — это постоянный культурный рост, самостоятельность и умение работать в команде».

Неожиданный поворот дискуссия получила при обсуждении места белых хакеров в сфере ИБ. И еще большего накала она достигла, когда добралась до животрепещущей «культуры пользователей». Примеры из практики Сбербанка, ВТБ, Банка России звучали одновременно и убедительно, и противоречиво. Артем Сычев раскрыл страшную тайну этого противоречия — банальная проблема с деньгами. Культура, как известно, всегда финансировалась по остаточному принципу.

Следующая дискуссия — «Финтех и кибертех: вместе или врозь?» — по определению не могла быть «жидкой». Искусственный интеллект, интернет вещей, облака, блокчейн и т.д. — все это уже реальность, заполняющая нашу жизнь — работу и быт. Модератор Ольга Скоробогатова, заместитель председателя Банка России, сообщила, что время новых систем наступило, и рассказала о первом отечественном когнитивном продукте в сфере ИБ, который вот-вот поступит на рынок. Анастасия Масленникова, вице-президент Почта Банка, поделилась проблемой: без технологии удаленной идентификации ее банк уже терпит убытки, поэтому приходится самим заниматься ее разработкой. Сергей Солонин, генеральный директор QIWI plc, «пропел оду» блокчейну, что вызвало еще более бурное обсуждение... C развитием финтеха растут риски информационной безопасности. Вместе или врозь? — вопрос, оказалось, поставлен не правильно. Конечно, вместе! С этого места собственно дискуссия только и началась.

После обеда открылась сессия «Возможности для атаки и практика защиты финансовых организаций». Началась она с серьезных, фундаментальных докладов со стороны регулятора: «Развитие платежных технологий: возможности и риски бизнеса, задачи регулятора» Олега Перестенко, Департамент платежной системы Банка России, и «Новые вызовы и защита прав потребителей финансовых услуг» Юрия Божора, Служба по защите прав потребителей и обеспечению доступности финансовых услуг Банка России. Профессионалам было безусловно интересно. Ведущий сессии Илья Медведовский прокомментировал так: «Банк России советуется с рынком и все делает адекватно».

Дмитрий Кузнецов, Positive Technologies, выступил с презентацией «Защита от кибератак на уровне платежного процесса», в которой рассказал, что до 2014 года банки больше защищали себя от клиентов, пока злоумышленники грабили не их, а счета клиентов. В 2015 году ситуация изменилась — убытки стали терпеть непосредственно банки. И оказалось, что далеко не все они имеют возможность вкладываться в свою информационную безопасность. Дмитрий сказал: «Надо бороться!», и очень просто, почти на пальцах, показал как защитить банк практически без затрат.

Не отстал от него и Сергей Добрушский, компания МФИ Софт. Его презентация — «Практика защиты баз данных финансовых организаций» — также оказалась очень полезной.

Всех встряхнуло эмоциональное выступление Кирилла Ермакова, QIWI. «Прекратите платить деньги за то, что бесплатно!» — заявил он. Стоит вспомнить, что в прошлом году его устный репортаж с места событий — захватывающее повествование о том, как в QIWI проводили жесткий тест на проникновение — стал хитом: журнал BIS Journal позже опубликовал его почти дословно. В этом году Кирилл представил другой проект — информационный сервис трендов в сфере ИБ. Трендов подлинных (в смысле, не ложных, на которые клюют, засоряя свое сознание, тысячи безопасников), очищенных с помощью матанализа и других когнитивных методов. Зачем? — спросили его, — ведь это бесплатно! «Такая вот у нас инициатива, — ответил он, — сделать хоть что-то для всех».

Еще больше ошарашил участников Форума Илья Медведовский, Диджитал Скьюрити. Как оказалось, это именно он по договоренности с Кириллом Ермаковым взломал в прошлом году QIWI. Но хвастать (в смысле, сильно хвастать) этим не стал. В своем выступлении «Блеск и нищета пентеста в режиме Read Team, или «Не нужна тебе, Вовка, такая машина» он в пух и прах разнес любителей поиграть в пейнтбол в стиле ИБ. Зачем? — задал он сакраментальный вопрос и подробно на него ответил. Если вкратце, то это просто опасно.

Тем временем, в кулуарах журналисты терзали Артема Сычева, заместителя начальника ГУБиЗи Банка России, и Артема Сударенко, начальника отдела ФинЦЕРТ. Повод — выход в свет официального документа «Обзор несанкционированных переводов денежных средств за 2016 год». Для журналистов — это настоящее «жаркОе»: сколько, у кого и каким образом украли. Причем, изложенное очень удобно, с «подливкой»: графики, таблицы, анализ и комментарии — все в лучшем виде. А для ФинЦЕРТа — очень даже достойный итог первого года работы. Стоит с гордостью заметить, что идея ФинЦЕРТа зародилась несколько лет назад именно на Уральском форуме, а сегодня, еще до пресс-конференции, на одной из дискуссий участники Форума пришли к общему выводу, что создание ФинЦЕРТа — одно из важнейших позитивных событий в сфере ИБ. Еще недооцененное.

Не менее интересной оказалась и сессия-дискуссия на тему «Аутсорсинг в ИБ». Достаточно сказать, что позиции ее соведущих Василия Окулесского, АО НСПК, и Игоря Ляпунова, Solar Security, оказались диаметрально противоположными. Что и стало пружиной долгого непростого разговора.

Вечерние дебаты на тему «Agile и безопасность. Практика безопасной разработки программного обеспечения в финансовом секторе» прервались далеко за полночь. Из необходимости немного поспать перед следующим рабочим днем Форума. О чем там говорили, читайте в ближайшем номере BIS Journal.

14 февраля

Открывая Форум, Георгий Иванович Лунтовский, первый заместитель председателя Банка России, поздравил участников с... Днем Святого Валентина, отметил беспрецедентный рост масштабности главного события отрасли информационной безопасности и сообщил, что благодаря FinCERT объем несанкционированных операций со счетов сократился вдвое — с 3,8 млрд руб. в 2015 г. до 1,9 млрд руб. в 2016 г.

Кроме того, он сообщил, что Банк России в 2016 г. выявил девять попыток хищения средств с корсчетов банков на общую сумму 2,18 млрд руб., из которых 1,5 млрд руб. были похищены. «Тем не менее прогноз, который делался на декабрь о массированных атаках на нашу финансовую кредитную сферу с целью дискредитации не оправдался, и те атаки, которые были, мы успешно отразили. Но в целом проблема остается», — подчеркнул он.

Также Георгий Иванович подробно рассказал о направлениях и специфике работы Банка России в 2017 г. Подробный отчет об этом выступлении читайте в следующем номере BIS Journal. А пока отметим, что первый деловой день Форума оказался богатым на инициативы и предложения. Большинство из них участники приняли с большим интересом и согласились обсудить.

Первую инициативу выдвинул Гарегин Ашотович Тосунян, президент Ассоциации российских банков.

Он рассказал, что Комитет АРБ по банковской безопасности проанализировал все действующие «законы», «указы», «стратегии», «постановления» и другие «нормативно-правовые» документы, в которых прописана «правовая ответственность» подразделений информационной безопасности банков. Выяснилось, что таких документов около 130. Из них:

• федеральных законов — порядка 50;
• указов Президента и постановлений Правительства — более 20;
• актов федеральных органов исполнительной власти — около 15;
• нормативных документов Банка России — порядка 25;
• стандартов и нормативных документов по международным и российским платежным системам, а также по системе СВИФТ — более 20.

Президент АРБ уверен, что назрела необходимость в упорядочении этих документов и в создании единого отраслевого документа. В связи с этим он предложил создать Стратегию развития информационной безопасности организаций кредитно-финансовой сферы, которая объединит все вышеназванные документы.

Другая инициатива, выдвинутая банковским сообществом, касается отсутствия механизма срочной блокировки мошеннических сайтов с иностранными доменами.

Российские регистраторы, по-прежнему, не несут никакой ответственности за регистрируемые ими сайты, что позволяет мошенникам оставаться безнаказанными.

Мошеннические сайты используются в основном для сбора персональных данных и кражи денег с банковских карт. Участники форума согласились с актуальностью проблемы и тем, что необходимо в срочном порядке создать Межведомственную рабочую группу, в состав которой, кроме специалистов банковского сообщества и сферы информационной безопасности, должны войти представители силовых ведомств, Минкомсвязи, Роскомнадзор, а также все заинтересованные организации.

Целый ряд инициатив выдвинул Роман Валериевич Шередин, заместитель руководителя Россвязи. Он подчеркнул, что участие Россвязи в IX Уральском форуме обусловлено в первую очередь тем, что задача обеспечения информационной безопасности — это комплексная задача, решение которой неразрывно связано с обеспечением целостности, устойчивости и безопасности Единой сети электросвязи Российской Федерации. И озвучил предложения по противодействию угрозам для финансовой сферы. Наряду с оригинальными методами противодействия фроду и идентификации клиентов, участники Форума оценили инициатиу в сфере высшего образования — предложение использовать 4 вуза Россвязи (в состав которых входят 8 филиалов и 4 колледжа) как площадку для реализации образовательных программ на стыке сфер связи, безопасности и финансов.

Начальник управления Роскомнадзора Юрий Евгеньевич Контемиров в свою очередь представил своеобразный результат деятельности Уральского форума — Стратегию информационно-публичной деятельности до 2020 года. Дело в том, что на предыдущих форумах тема информационно-просветительской деятельности среди населения поднималась постоянно. Теперь, применительно к персональным данным, она оформлена в четкую программу действий, которая уже воплощается на практике. По крайней мере, по словам выступающего, уже сегодня можно окунуться в увлекательный мир портала «Персональные данные. Дети».

Всеобщий интерес вызвал доклад начальника управления ФСТЭК Дмитрия Николаевича Шевцова, рассказавшего о новых требованиях к средствам защиты информации, которые будут приняты в 2017 году. В частности о ТБИ к системам управления базами данных, к средствам управления потоками информации, к средствам виртуализации, к межсетевым экранам и других

Сотрудник ФСБ Алексей Олегович Новиков рассказал о перспективах развития Национального координационного центра по компьютерным инцидентам, подчеркнув, что скоро аббревиатуру НКЦКИ будет знать весть мир. Задачи НКЦКИ простые, но принципиально важные: помощь в реагировании, пресечение вредоносной активности, уведомление об угрозах, методическая помощь в создании центров ГосСОПКА. В общем, то, что доктор прописал.

Артем Михайлович Сычев, заместитель начальника ГУБиЗи Банка России, рассказал, что все DDoS-атаки, которые были проведены в конце прошлого года и в начале этого, не принесли никаких существенных осложнений ни одной из кредитных организаций.

«Да, действительно, они были, да, действительно, доставляют какие-то неприятности, но они не носили критический характер и не нарушили ни одного сервиса», — сказал он. «Вместе с тем, хочу обратить внимание, что на рынок таких проблем вышла новая совершенно история, когда для атак стали активно использовать интернет вещей», — добавил Сычев. По его словам, Банк России проводит по этому вопросу консультации с Минкомсвязью и Россвязью. (Доклад в полном объеме будет опубликован в следующем номере BIS Journal)