Новые технологии и информационная безопасность в компаниях финансового сектора. Для кого? Зачем? Как?

Мирослава Бондаренко
Заместитель начальника департамента ИТ
ООО КБ “Альба Альянс”, CIO-14
Сергей Тихонов
Начальник департамента ИТ
ООО КБ “Альба Альянс”, CIO-14

Аннотация
Кому нужна информационная безопасность в коммерческих организациях? Клиентам, собственникам, государству? Известно, что главная цель финансовых организаций – зарабатывать деньги.  Информационная безопасность – это статья расходов, причем немаленькая. Так зачем тратить на это ресурсы, которых, как правило, не хватает? Или информационная безопасность нужна компаниям финансового сектора? А если нужна – тогда что конкретно нужно на практике, для кого нужно, и как осуществлять реализацию этого? Всем этим вопросам посвящена данная статья.

Введение.
Финансовый сектор у многих ассоциируется исключительно с кредитными организациями, банками. На самом деле понятие финансового сектора гораздо шире. В Российской федерации состав финансового сектора – это

• Банковская система (Центральный банк, коммерческие банки)
• Специализированные небанковские кредитно-финансовые институты (страховые компании, инвестиционные компании – профучастники рынка ценных бумаг, инвестиционные фонды)

Компаниям финансового сектора свойственен высокий уровень технологической оснащенности и потребность в использовании преимуществ, которые могут дать новые технологии. В частности, все активней используются следующие высокотехнологические направления:

• E-money (электронные деньги, обращение без открытия банковского счета, 161-ФЗ)
• Е-commerce (электронная коммерция, взаимодействие субъектов бизнеса осуществляется с помощью Internet или  какой-нибудь другой информационной сети)
• Е-business (электронный бизнес, использует возможности глобальных информационных сетей для преобразования внутренних и внешних связей компании с целью создания прибыли.)

Потребностям в обеспечении информационной безопасности и особенностям реализации соответствующих мер и посвящена данная статья.


Первый этап, стартап. Вопрос - “Зачем информационная безопасность?”

Рассмотрим первый этап – рождение бизнеса. При создании технологического стартапа главная задача – построить новую модель бизнеса, осуществить мозговой штурм,   запустить бизнес. Тут не до информационной безопасности – новой компании, воплощению новых идей нужно взлететь (Рис.1, [1]). На стадии стартапа часто считают, что безопасность – это потом, если бизнес пойдет. Зачем заморачиваться тем, что неизвестно еще, будет ли востребовано?

Рис.1. Infosecurity в стартапах

Вот краткий перечень новых моделей бизнеса. Часть этих моделей используются, в том числе, в финансовом секторе ([1]):

• Социальные сети, например  Facebook, которые используются  для снижения себестоимости сервиса и расширения целевой аудитории
• Технология App Stores для Apple, аналогичные технологии Android
• Продукты с открытым кодом, оплачивается сопровождение
• Freemium – бизнес- модель, предлагающая бесплатное пользование услугой или основным продуктом, в то время как дополнительные, связанные продукты, улучшающие функционал основного, предлагаются за дополнительную плату и пользуются спросом на основе популярности основного продукта
• SaaS (software as a service – бизнес-модель продажи и использования программного обеспечения)
• Virtual Goods (суммы, которые люди тратят на виртуальные вещи и услуги, растут)
• CrowdSourcing – бизнес-модель, в которой некоторые непроизводственные функции передаются неопределенному кругу лиц, кругу добровольцев, координирующих при этом свою деятельность с помощью информационных технологий. Детали применения в банках доступны например здесь [2]
• Flash sales (модель мгновенных распродаж, на которых интерес покупателей к товарам поднимается за счет существенного снижения стоимости товара на очень короткий период времени.  Покупатели информируются с помощью сайтов мгновенных распродаж)
• Group buying (предложение товаров и сервисов по существенно сниженной цене, при условии, что покупку делают минимум столько-то покупателей)
• Lead generation (модель привлечения новых клиентов, используется не только через холодные звонки, но и через сайты – например  LendingTree.com, Quinn Street)

Разве думали их создатели при разработке моделей об информационной безопасности?
Скорей нет, чем да.

Но когда бизнес начинает работать, когда безопасность начинает реально требоваться в операционной деятельности, тогда и возникают вопросы – почему мы об этом не подумали раньше? И дополнительные затраты на встраивание необходимых процедур в уже запущенные процессы. Затраты на это могут погубить даже перспективный, взлетевший бизнес.

Рис.2 Произведение безопасности на удобство – величина постоянная

Но, допустим, удалось запустить процесс  встраивания процедур информационной безопасности в уже работающие процессы. На этой стадии проявляется известная поговорка – произведение безопасности на удобство величина постоянная (Рис.2). И опять хочется не заморачиваться на лишние расходы, лишние усилия. Зачем? Для кого?

Второй этап. Развитие. Технологические инновации и информационная безопасность.
Рассмотрим стадию развивающегося бизнеса, использующего новые продукты, новые сервисы, новые технологии. В финансовом секторе это:

• Идентификация (e-ID);
• Смарткарты и цифровые сервисы (digital services), включая бесконтактные платежи (NFC);
• BYOD (bring your own device, работа на не доверенном устройстве), которая, хоть это сначала и неочевидно, плавно переходит в BYON (bring your own network, внедрение в корпоративную инфраструктур не доверенной сети);
• cloud services (облачные технологии и сервисы)
• альтернативные платежные системы,
• мобильный банкинг, мобильные платежи

И опять для зарабатывания денег  хочется первый приоритет присвоить процессам и технологиям, отложив вопросы информационной безопасности на потом.

Взгляд CIO на информационную безопасность.
“Потом”, если о нем не вспоминать, приходит тогда, когда реализуются риски. Не так важно, какие именно – проверка регулятора, пропали деньги, остановилась работа ключевой информационной системы. Поэтому первый, кому приходится, хочет он этого или нет, думать об информационной безопасности – это обычно главный айтишник, или, как модно его называть, CIO. CIO исходит из того, что

• На информационную безопасность бизнесу придется тратить деньги (на рис.3 приведена статистика FICO)

Рис.3. Данные по приоритетам финансовых организаций в 2013 году.

• Информационная безопасность нужна для правильной работы всех информационных систем
• Невозможно отделить информационную безопасность от контекста
• Информационная безопасность - это не проект, а процесс.

А потому нужна профилактика, сопровождение и контроль. Как везде в ИТ. Обыденная операционная работа, правила, инструкции. Пусть эта скука находится в ведении CSO.

Взгляд CSO на ИТ-инфраструктуру
На рис. 4 приведена краткая обобщенная схема использования информационных технологий в современном офисе.

Рис.4. Устройства и технологии в современном офисе.

С одной стороны в целом все знакомо. А с другой стороны – сегодня так, а завтра принесут что-то новое, свое (BYOD), или будут внедрять новую систему. Технологии постоянно меняются. Процессы тоже. Где периметр, что защищать, откуда угроза?
В результате и CIO, и CSO оказываются вовлеченными в решение одних и тех же задач, но подходят к решению этих задач с разных сторон.

Мобильные технологии в организациях финансового сектора, BYOD -> BYON.
Рассмотрим аспекты информационной безопасности при использовании в корпоративной информационной системе не доверенных устройств, которые принадлежат пользователям. Хотя авторитеты в информационной безопасности и советуют держаться банкам подальше от BYOD ([3]), это удобно, угрозы представляются не такими большими, многие это используют. По собственным наблюдениям у нас главными двигателями BYOD являются топ-менеджеры и акционеры. По данным Forrester ([4], [6]) сотрудники предпочитают выбирать мобильные устройства самостоятельно.

Таким образом, преимущества использования BYOD следующие:

• Востребованность мобильности сотрудниками, клиентами, бизнес-партнерами
• Управление сетью, консолидация ИТ-инфраструктуры
• Использование облачных моделей инфраструктуры
• Использование SaaS (software as a service, программное обеспечение как сервис) и M2M (machine to machine, повышение степени автоматизации компании)

Но у технологии BYOD, плавно перетекающей в BYON, много недостатков. Как любят говорить юристы, включая, но не ограничиваясь ([5]):

• Троянцы, Malware, атаки zero-day (атаки, с использованием ранее неизвестных уязвимостей в приложении, обычно для Windows и MacOS.
• Кейлоггеры (клавиатурные шпионы). Цель – корпоративные сети, VPN, online ДБО.
• Не доверенные точки доступа Wi-Fi Цель – man-in-the-middling.
• Poisoned DNS (“отравленный” DNS).
• Утечка через приложения (malicious and privacy leaking apps). Цель – утечка информации.
• Пропатченная операционная система (jail broken iOS, rooted android)
• Не обновленная операционная система.
• Таргетированное мошенничество(Spear phishing)
• Видоизмененные перманентные угрозы (APT, advanced persistent threats) Меры: layered solution virtualization + tracking + network & DNS security

Недостатки можно пытаться компенсировать мерами, например:

• Меры для нейтрализации троянцев, malware, атак zero-day –перевод в песочницу, virtualized security environment
• Меры против кейлоггеров - специальные драйверы вне операционных систем, криптозащита паролей
• Меры для нейтрализации не доверенных точек доступа Wi-Fi – контроль, криптозащита всего трафика через не доверенные wi-fi hotspots
• Меры против poisoned DNS –отдельный безопасный DNS-сервис через VPN, blacklisting web-сайтов, посещаемых с мобильных устройств
• Меры против утечки через приложения (malicious and privacy leaking apps) – рейтинг сайтов, политики privacy leaking app
• Меры для нейтрализации угрозы пропатченных операционных систем – политики, запрет доступа в сеть с jail broken и rooted устройств
• Меры для нейтрализации не обновленных операционных систем – virtualized security environment. Например, виртуальная машина с NSA-hardened Linux environment и изоляцией от сети unpatched OS через VPN
• Меры для нейтрализации таргетированного мошенничества (Spear phishing) аналогично мерам против Poisoned DNS
• Меры против видоизмененных перманентных угроз (APT, advanced persistent threats) layered solution virtualization + tracking + network & DNS security

Понятно, что банкам лучше держаться подальше от BYOD. Но ведь на практике это используется. Как найти вариант использования новой технологии, нейтрализовать угрозы и сохранить преимущества?
Таким образом, мы от рисков приходим к управлению архитектурой безопасности и к многоуровневой архитектуре.

Многоуровневая архитектура безопасности (Layered Security Architecture).
Согласно принципам управления архитектурой информационной безопасности ([7]) по сути лучше создавать эшелонированную оборону, многоуровневую архитектуру. Это относится не только к организациям финансового сектора. Это относится ко всем организациям, которым нужна информационная безопасность.

Схематически, в применении к используемой  во многих организациях сетевой архитектуре информационных систем, это выглядит примерно так:

Детали реализации выходят за рамки данной статьи. Есть стандарты, используемые в разных странах, которым стараются следовать организации. Единого стандарта нет. Из стандартов можно упомянуть:

• ISO/IEC 27001 & 27002 (входит в ITIL и COBIT)
• NIST Special Publication 800-53
• SABSA
• СТО БР  ИББС

Заключение.
Итак, кто влияет на информационную безопасность? Те, кому она нужна. Потребности бизнеса, законодательство, регуляторы и партнеры влияют на требования. Требования, в свою очередь, задают архитектуру безопасности. Эти требования должны учитываться при планировании архитектуры информационных систем предприятия.

Общепринятой практикой является создание многоуровневой структуры безопасности и следование стандартам.
При этом ни один из стандартов не использует одинаковые уровни (“layers”), но все имеют ключевые концепции “Layered Security Architecture” как “best practice”. Архитектура безопасности основана на анализе рисков и должна удовлетворять потребностям бизнеса, выраженных в политиках безопасности

Литература

• Blog of David Skok. Startup Help, expertise, wisdom, and resources for startups and entrepreneurs. http://www.forentrepreneurs.com/startup-ideation/
• Краудсорсинг — это главный управленческий прорыв ХХI века. Г. Греф. http://sberbank21.ru/crowdsourcing.html
• BYOD: Banks Need to Stay Ahead of Risk. BITS Reviews Top Mobile Risks to Financial Services. Jeffrey Roman, June 4, 2013.  http://www.bankinfosecurity.com/byod-banks-need-to-stay-ahead-risk-a-5807
• Prepare For Anywhere, Anytime, Any-Device Engagement With A StatelessMobile Architecture. Chenxi Wang, Ph.d., June 29, 2012. http://www.forrester.com/Prepare+For+Anywhere+Anytime+AnyDevice+Engagement+With+A+Stateless+Mobile+Architecture/fulltext/-/E-RES61569
• Nine Critical Threats Against Mobile Workers. http://resources.idgenterprise.com/original/AST-0085401_Nine_Critical_Threats_Against_Mobile_Workers_White_Paper.pdf
• Industry Contexts And Constraints Diversify Approaches To Bring-Your-Own-Technology by Connie Moore and Jamie Warner, December 13, 2012 http://docs.govinfosecurity.com/files/whitepapers/pdf/673_ForresterBYOT_MarbleSecurity.pdf   
• Guide for Security-Focused Configuration Management of Information Systems. NIST Special Publication 800-128. http://csrc.nist.gov/publications/nistpubs/800-128/sp800-128.pdf