Ярослав Напалков, Газпромбанк: Как автоматизировать управление рисками ИБ в банке
Безопасность ИТ в банках
Рост числа киберугроз под влиянием внешних факторов вынуждает российские компании уделять все большее внимание методикам обеспечения ИБ и поиску наиболее передовых подходов в обеспечении кибербезопасности. На первые роли выходят риск-ориентированное управление, вдумчивая автоматизация ИБ-процессов и сервисные модели, которые перераспределяют нагрузки на департаменты ИБ. О том, как это работает на практике, в интервью CNews рассказал Ярослав Напалков, Газпромбанк.
«Из-за шквала атак сложно выделить приоритетное направление кибербезопасности»
CNews: Как изменились актуальные киберугрозы в финансовом секторе за последнее время?
Ярослав Напалков: Киберугрозы сегодняшнего дня можно условно разделить на прямые и косвенные. Прямые — это участившиеся DDoS-атаки на целые группы информационных веб-ресурсов (банки, новостные порталы, ритейл, сайты органов государственной власти и т.д.), кражи конфиденциальной информации, в том числе персональные данные клиентов и сотрудников, целенаправленное уничтожение информационной инфраструктуры (с удалением бекапов и конфигураций), а также встраивание и активация деструктивных возможностей в Open Source-продуктах. Косвенные киберугрозы появляются из-за ухода западных вендоров и провайдеров киберуслуг, отзыва лицензий и отключения обновлений: эффективность средств защиты снижается с устареванием сигнатур и отключением онлайн-доступа к источникам данных киберразведки, получить патчи и свежие версии продуктов становится невозможно, а сами вендоры прекращают оказывать техническую поддержку.
Кроме того, следует учитывать и требования законодательства, и социальную ответственность кредитных организаций, и изменение экономических условий. Среди новых законодательных норм следует отметить указы Президента РФ №166 и №250, которые вводят запрет соответственно на использование иностранного ПО и на использование иностранных СЗИ, в том числе на значимых объектах КИИ для субъектов КИИ, выступающих заказчиками закупок в соответствии с 223-ФЗ (то есть, по сути, для всех госбанков). Кроме того, Положение Банка России №787-П от 12.01.2022 «Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг», вступающее в силу с 1 октября 2022 года, предписывает моделировать информационные угрозы в отношении критичной архитектуры, учитывать риски ИБ при планировании выполнения требований к операционной надежности, обеспечивать операционную надежность на всех стадиях жизненного цикла объектов ИТ-инфраструктуры. Социальная ответственность финансового сектора также увеличивается в связи с пост-пандемийным эффектом и ввиду усложняющихся экономических реалий, и это накладывает на банки дополнительные социальные обязательства по предоставлению населению непрерывных качественных финансовых услуг, по борьбе с мошенничеством и финансовыми киберпреступлениями.
CNews: Какие решения и услуги по кибербезопасности становятся более востребованными?
Ярослав Напалков: В сложившейся ситуации шквала разнородных кибератак сложно выделить какое-то одно приоритетное направление кибербезопасности, и следует применять целый комплекс средств защиты информации. При этом важно равномерно распределять усилия с учетом актуальных и прогнозируемых киберугроз, и применение риск-ориентированного подхода позволяет приоритизировать направления деятельности на основе проанализированных киберрисков. Например, внутренняя разработка программного обеспечения, в том числе мобильного банкинга, требует компетенций по направлениям SSDLC и DevSecOps, а для повышения безопасности продукта можно применять решения класса SAST, DAST, IAST (соответственно, статические, динамические, интерактивные анализаторы исходного кода).
Применение сервисной модели потребления услуг по кибербезопасности в дочерних и зависимых обществах позволяет выстроить равнопрочную, логически связанную конструкцию для сквозного обеспечения кибербезопасности. В целом, сервисная модель потребления услуг в области кибербезопасности отвечает реалиям современного времени с достаточно сжатым горизонтом планирования: капитальные затраты готовы нести далеко не все, а модель Security-as-a-Service (SECaaS, «безопасность как услуга») предполагает прогнозируемые затраты и соответствие SLA, при этом решая задачу дефицита кадров. По данной модели работают провайдеры услуг MSSP и MDR, внешние центры SOC, а также предоставляются различные средства защиты (облачные межсетевые экраны, системы мониторинга событий ИБ, управление данными киберразведки, сканирование на наличие уязвимостей и т.д.). Стоит также отметить, что злоумышленники также применяют аналогичный подход, оказывая и потребляя услуги по киберпреступной сервисной модели (Ransomware/Exploit/Access-as-a-Service и т.д.).
«В России нет единой цифровой экосистемы»
CNews: Как вы оцениваете темпы и успехи импортозамещения средств защиты информации в банковской среде?
Ярослав Напалков: К сожалению, пока что фактически отсутствует единая отечественная цифровая экосистема, которая, помимо СЗИ, включала бы в себя аппаратное обеспечение на российской элементной базе, микропрограммы, операционные системы, драйверы под современную периферию и прикладное ПО, с реализацией соответствующих функций безопасности на каждом из указанных уровней. При этом некоторые российские решения и услуги, особенно в части защиты от вредоносного ПО и утечек данных, построения защищенных VPN-туннелей, расследования киберинцидентов, исследования угроз и уязвимостей, уже давно снискали заслуженную славу как в России, так и за рубежом. Складывающаяся с 2014 года ситуация дала новый импульс к развитию отечественных решений по защите информации, и рынок увидел новые продукты: SIEM-системы, «песочницы», DCAP-решения, IdAM-системы, платформы автоматизации реагирования на киберинциденты (IRP, SOAR), решения по управлению данными киберразведки (TIP), SGRC-системы. На текущий момент эти решения действительно конкурентоспособны при сравнении с импортными аналогами, однако присутствует и ряд минусов: многие СЗИ исторически были «заточены» под работу в Windows-среде и не поддерживают работу с отечественными ОС, не все решения протестированы на взаимную совместимость, в некоторых случаях отсутствуют данные об успешном применении СЗИ в высоконагруженной продакшн-среде с тысячами пользователей. Хочется надеяться, что при государственной поддержке и большом количестве новых бизнес-пользователей, оперативно замещающих зарубежные решения и готовых давать обратную связь разработчикам, количество элементов отечественной ИТ-экосистемы возрастет, а слаженность их работы — улучшится.
CNews: Какие процессы ИБ можно и нужно автоматизировать, а какие следует оставить в ручном экспертном режиме?
Ярослав Напалков: Автоматизировать рекомендуется те действия, которые подпадают под критерии хорошо алгоритмизируемых, однотипных, выполняемых над конечным набором полностью определенных элементов, дающих ожидаемые и проверяемые результаты. В случае построения системы управления кибербезопасностью и автоматизации процессов ИБ внимание лучше обратить на такие базовые процессы, как инвентаризация ИТ-активов, управление уязвимостями, конфигурациями и изменениями, управление учетными записями пользователей, реагирование на инциденты ИБ, учет взаимоотношений с поставщиками, подрядчиками, партнерами, управление непрерывностью бизнеса и восстановлением после сбоев, управление соответствием требований применимых законодательных норм. При этом установку, настройку, непрерывный тюнинг и поддержку СЗИ и программно-технических средств для автоматизации следует, разумеется, выполнять квалифицированному специалисту, а для эффективной работы указанных средств нужно настроить взаимную интеграцию коррелирующих и взаимно обогащающих данных, а также обеспечить их актуальность и корректность.
В ручном экспертном режиме остается принятие ключевых решений на основании предварительно собранных, обогащенных и скоррелированных данных. Например, при реагировании на киберинциденты первичный сбор информации и оповещение можно доверить средствам автоматизации, а принимать решение о том, является ли данный инцидент ложноположительным или боевым, должен оператор L1, который в сложных случаях эскалирует принятие решения на L2 и выше.
В то же время, в процессе управления киберрисками можно успешно автоматизировать сбор факторов, влияющих на риски, из всевозможных источников организации, построение базовых моделей угроз или сценарный анализ. При этом в анализе киберрисков уточнение сценария реализации рисков ИБ должно осуществляться экспертом вручную, в дополнение к результатам работы систем автоматизации. Выверку сформированной модели угроз также стоит доверить профессионалу, который сможет добавить новые, не учтенные системой угрозы, а также отметить некоторые угрозы как неприменимые. Хорошо поддаются автоматизации качественная самооценка и анкетирование вовлеченных сторон, расчет количественной оценки на основе статистики инцидентов. При отсутствии накопленной базы инцидентов ИБ и недостатке статистически значимой информации, эксперт также может вводить некоторые данные вручную, полагаясь на свой профессиональный опыт. Аналитические исследования, публикации, информацию от компаний аналогичного профиля и масштаба также проще учитывать в рамках мнения эксперта.
«Управление рисками — это, по сути, аналитика данных смежных процессов»
CNews: Как можно усовершенствовать процессы управления киберрисками для соответствия требованиям законодательства в финансовой отрасли?
Ярослав Напалков: Управление киберрисками в банковской сфере регулируется Положением ЦБ РФ №716-П от 08.04.2020 «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». С точки зрения построения системы управления операционными рисками (СУОР), данный документ вводит однозначную интеграцию операционного риска и риска ИБ, а также устанавливает требования к процедурам СУОР, классификаторам событий и контрольным показателям уровня операционного риска, базам событий операционного риска. Эффективным управление рисками ИБ можно назвать тогда, когда оно органически встроено в общую систему управления рисками организации, что обеспечивает сравнимость, прозрачность, а значит и точность принятия управленческих решений. Для совершенствования и автоматизации ключевых этапов процесса управления киберрисками в соответствии с требованиями Положения ЦБ РФ №716-П можно отталкиваться от имеющейся системы мониторинга ИБ и фиксации киберинцидентов, что позволит оценивать киберриски в динамическом режиме, а также своевременно применять меры защиты информации на риск-ориентированной основе.
Недавно реализованный нами проект по автоматизации управления киберрисками на платформе Security Vision SGRC позволил предоставить нашим риск-менеджерам современные инструменты для формализации и автоматизации процессов управления рисками, для непрерывного контроля уровня киберрисков, постановки задач и контроля их выполнения для снижения рисков ИБ до допустимого уровня, а также для предоставления отчетности и визуализации достигнутых результатов.
CNews: Расскажите подробнее об этом проекте. С какими особенностями вы столкнулись при внедрении системы управления киберрисками и ее практическом применении?
Ярослав Напалков: Мы изначально встроили процесс управления киберрисками в процедуры управления операционным риском банка, привлекли руководство бизнес-функций к принятию решений совместно с СУР и подразделением ИБ. Выход Положения ЦБ РФ №716-П стал подтверждением верности выбранного направления и катализатором его дальнейшего совершенствования. Мы сделали ставку на Agile-подход управления целями и результатами, реализовали базовый уровень улучшения с постепенным наращиванием качественных улучшений в процессе управления киберрисками. В самом проекте мы постарались реализовать максимальную автоматизацию, увеличение факторов анализа рисков, учесть возможную альтернативность качественной и количественной оценки, а также объединение подходов периодического управления рисками и режима в реальном времени.
Ошибочно ожидать, что все будет идеально, нужно быть готовым встроиться в смежные процессы на разных уровнях их зрелости. Управление рисками — это, по сути, аналитика данных смежных процессов, у каждого из которых свои критерии качества данных и темпы развития. На практике смежные процессы никогда не будут идеально выверенными и будут меняться даже в ходе проекта, поэтому альтернативность применяемых подходов позволяет маневрировать и получать максимальное преимущество использования доступных данных. Гибкость платформы автоматизации процесса позволяет адаптироваться к изменениям смежных процессов в кратчайшие сроки.
Еще один из ключевых факторов успеха — это наличие доступа к системе у вовлеченных в процесс управления киберрисками сторон. Очевидно, что подача заявки на предоставление доступа для участия в процессе существенно усложняет внедрение системы в бизнес-подразделениях. Стоит заранее спланировать соответствующую ролевую модель и, с учетом внутренней специфики предоставления доступа, централизованно предоставить доступ к системе, тем самым минимизировав время и трудозатраты вовлеченных в процесс подразделений.
«Риск-ориентированный подход влияет на принятие решений бизнесом»
CNews: Какая информация об ИТ-инфраструктуре требуется для эффективного автоматизированного управления киберрисками?
Ярослав Напалков: Для построения комплексной автоматизированной системы управления киберрисками, осуществляющей идентификацию, оценку, контроль, мониторинг и управление рисками, а также предоставляющей отчетность и расчетные качественные и количественные показатели киберрисков, потребуется провести интеграцию не только с источниками данных об ИТ-инфраструктуре, но и с источниками данных о процессах, в том числе технологических. Качество процесса управления киберрисками напрямую связано с качеством процесса управления ИТ-изменениями. В частности, потребуется осуществить сбор, хранение и актуализацию данных об информационных активах, связях между ними, их критичности, выполняемой бизнес-функции, типу хранящихся в них данных, сетевой доступности, модели использования. Одним из ключевых факторов идентификации киберрисков, конечно, является профиль защиты ИТ-систем: насколько он обеспечен соблюдением требований информационной безопасности в самой ИТ-системе, применяемых наложенных средств защиты информации и общих организационных мер; при этом применяемые ИТ/ИБ-сервисы учитываются в зависимости от внутренней специфики конкретной организации.
Кроме того, потребуется получать оперативные данные от СЗИ об обнаруженных уязвимостях, их связях с актуальными киберугрозами и их влиянии на целостность, конфиденциальность, доступность обрабатываемой информации; информацию о выявленных инцидентах, дефектах исходного кода программного обеспечения, информацию о предоставленных доступах и полномочиях пользователей. Все это можно дополнить данными о пройденных курсах обучения информационной безопасности. На основании полученного набора данных определяются соответствующие сценарии реализации киберрисков: уязвимости, угрозы, киберриск, последствия реализации киберриска.
CNews: Какие преимущества дает применение риск-ориентированного подхода при управлении процессами кибербезопасности в банке?
Ярослав Напалков: В первую очередь применение риск-ориентированного подхода позволяет руководству бизнес-функций взвешенно принимать решения, учитывая сроки, бюджет и возможные последствия. Во-вторых, использование автоматизации в процессах управления киберрисками и риск-ориентированного подхода для управления ИБ-процессами позволяет в целом приоритизировать выделяемые на кибербезопасность ресурсы с учетом наиболее существенных рисков. Помимо этого, данный подход минимизирует ошибку субъективного восприятия последствий и вероятности киберугроз и позволяет корректировать систему управления ИБ, руководствуясь значениями качественных и количественных показателей киберрисков. Более того, автоматизация позволяет актуализировать данные практически в онлайн-режиме, что обеспечивает непрерывную ситуационную осведомленность руководства организации для поддержки принятия риск-ориентированных управленческих решений.
CNews: Есть ли, на ваш взгляд, способы автоматизации построения моделей угроз и нарушителей?
Ярослав Напалков: Автоматизация процессов построения моделей угроз и нарушителей начала активно применяться при выполнении проектов по защите персональных данных, а далее совершенствовалась регуляторами и отдельными вендорами для соответствия актуальному ландшафту киберугроз. Модель угроз по «классической» схеме может формироваться как система взаимосвязанных параметров, характеризующих источники угроз, возможности и методы их реализации, последствия от их реализации. Модель угроз может также формироваться на основании сведений об объектах воздействия и их компонентах, определения негативных последствий, источников угроз и способов их реализации с учетом возможностей нарушителей. Модель нарушителя может включать в себя данные о типе нарушителя (внешний/внутренний), его мотивации и потенциале, доступных способах реализации угроз. Например, на сайте ФСТЭК России в опытную эксплуатацию запущен портал для автоматизации процесса моделирования угроз ИБ. Аналогичные решения могут быть реализованы как in-house-разработки, которые будут учитывать нюансы конкретной компании и ее инфраструктуры. Мы автоматизировали моделирование угроз на схожих с новым подходом ФСТЭК принципах.
«Нужно непрерывно сокращать время выявления киберинцидентов»
CNews: Какие современные средства защиты информации помогут снизить ущерб, если киберинцидент все же произошел?
Ярослав Напалков: Реагирование на киберинциденты требует оперативных, продуманных и проактивных действий. Время нахождения злоумышленников в сети после первичного заражения и до осуществления деструктивных действий непрерывно уменьшается: несколько лет назад счет шел на дни и недели, а сейчас это уже минуты и часы. Следовательно, требуется непрерывно сокращать время выявления киберинцидентов, поскольку раннее обнаружение атак позволяет предпринять своевременные контрмеры, а оперативные действия по реагированию позволяют снизить ущерб от инцидентов ИБ в целом. Основными метриками скорости реагирования являются показатели MTTD (среднее время обнаружения инцидента ИБ) и MTTR (среднее время реагирования на инцидент ИБ).
Без средств автоматизации реагирования на киберинциденты сложно представить настолько оперативную работу оператора, которому в общем случае надо собрать дополнительные данные об атакованном активе, выбрать сценарий реагирования, привлечь коллег или самостоятельно выполнить действия по реагированию на средствах защиты (например, осуществить сетевую изоляцию хоста или заблокировать трафик к командному серверу атакующих на сетевом оборудовании). Скорость выполнения действий по восстановлению после кибератаки также имеет значение: оперативное приведение инфраструктуры в состояние «до киберинцидента» позволяет вернуться к нормальному выполнению бизнес-операций в максимально сжатые сроки. При выполнении действий по реагированию на киберинциденты на помощь приходят системы класса IRP/SOAR, которые не только автоматизируют некоторые ручные операции и реагируют на инцидент мгновенно, но и дополнительно используют интеграции с источниками данных киберразведки, технологии искусственного интеллекта, машинного обучения и больших данных для оперативного обнаружения кибератаки и еще большего ускорения реагирования, а также для выявления аномалий в сетевом трафике или в поведении хостов и помощи дефицитным ИБ-специалистам путем снижения рутинной нагрузки.
CNews: Помогут ли провайдеры услуг MSSP и внешние SOC небольшим финансовым организациям?
Ярослав Напалков: Для некрупных учреждений использование услуг «кибербезопасность как сервис» может быть ответом на многие вопросы: нехватка кадров, прогнозируемые расходы, согласованный уровень качества оказываемых услуг, использование недоступных по каким-либо причинам средств защиты информации. Кроме внешних MSSP-провайдеров можно также воспользоваться услугами по кибербезопасности, предоставляемыми при использовании внешнего ЦОД, например, защитой от DDoS, управлением сетевым разграничением доступа к опубликованным ресурсам, защитой веб-приложений с помощью WAF.
При этом в России традиционно присутствует некоторое недоверие при аутсорсинге критичных функций, особенно касающихся доступа к чувствительной информации и ключевым информационным системам. Однако в наступивших обстоятельствах данные риски, вероятно, должны быть переоценены, учитывая повышенную опасность успешных кибератак и последующего потенциального ущерба, а также принимая во внимание непрерывный рост качества оказываемых услуг по аутсорсингу некоторых функций кибербезопасности. Однако не следует забывать, что юридическую ответственность за последствия успешно проведенной кибератаки все равно будет нести само финансовое учреждение, которое может лишь перенести часть затрат по устранению последствий на лицо, оказывающее услугу.
CNews: Какие рекомендации вы могли бы дать коллегам из банковского сектора при выборе решений по защите информации и управлению киберрисками?
Ярослав Напалков: В свете резко ускорившихся процессов по импортозамещению хотелось бы предостеречь коллег от поспешных выводов при выборе замещающих отечественных решений. При выборе импортозамещающего российского решения можно порекомендовать опираться на проверяемые факты, такие как срок существования продукта на рынке, успешные внедрения в компаниях аналогичного масштаба или сектора (можно даже попросить вендора провести референс-демонстрацию боевой инсталляции на площадке коллег по цеху), отзывы знакомых коллег из ИБ-индустрии; также необходимо учитывать наличие технической поддержки, подробной документации, присутствие продукта в реестре отечественного ПО, наличие у продукта сертификатов регуляторов (ФСТЭК, ФСБ). Также следует учесть и конкурентоспособность оцениваемого решения при непосредственном функциональном сравнении с аналогичными зарубежными продуктами, которым компания ищет замену: если возможности и удобство эксплуатации отечественной системы не уступают привычным решениям, то и выбор будет очевиден.
В качестве практических шагов при выборе решения по защите информации и управлению киберрисками, опираясь на наш опыт, могу предложить сначала сформировать набор функциональных требований (составив всеобъемлющий список и максимально их конкретизировав), после чего разработать балльную систему оценки выполнения каждого требования, потом провести демо-пилот решения для функциональной оценки выполнения сформулированных требований и уже затем сравнить баллы, набранные разными продуктами. Мы составили порядка 120 таких требований для сравнения. Из важных для нас требований могу выделить следующие:
- отечественная разработка продукта;
- широкие возможности по интеграции с системами управления рисками, с существующими ИТ/ИБ-системами;
- гибкость настройки процессов без привлечения разработчиков, поскольку процессы и требования регулятора постоянно меняются;
- гибкость объектной модели системы, с возможностью добавления корневых объектов с включением их в уже автоматизированные процессы в системе;
- поддержка реализации требований 716-П;
- возможность реализации количественной модели оценки с применением метода Монте-Карло, а также возможность применения других методов самостоятельно, используя настройки в интерфейсе;
- возможность проведения анкетирования широкого круга вовлеченных экспертов.
Полный текст статьи читайте на CNews