CISO «Абсолют Банка» Руслан Ложкин: Зачем нам 20 SIEM или 20 NGFW? Нам не хватает экосистемности
Банковская инфраструктура — одна из критических. При этом она является самой развитой с точки зрения информационной безопасности. О ключевых задачах по защите банка от кибератак и требованиях к российским поставщикам ИБ-решений в интервью TAdviser рассказал CISO «Абсолют Банка» Руслан Ложкин.
Ложкин
Как устроена информационная безопасность у вас в банке, и какие инструменты вы используете?
Руслан Ложкин: Мы придерживались стандартных подходов, определяя для себя приоритеты исходя из наших задач. Самое сложное при формировании структуры информационной безопасности – это команда, и мы долго ее собирали. Дальше автоматизация. Без автоматизации штат сотрудников был бы огромным. Инструменты подбираются индивидуально, я отталкиваюсь в своей практике от экосистем, под которые эти инструменты подбираются. Как и в большинстве других финансово-кредитных организациях, у нас есть свое подразделение по реагированию на инциденты, есть сетевая безопасность, есть криптография, фрод-мониторинг.
Что ключевое в ИБ для вашего банка?
Руслан Ложкин: Наверное, команда и определенная зрелость бизнеса. У нас и то и другое есть.
Какие инструменты безопасности для вашего банка критичны?
Руслан Ложкин: Мы за результативную безопасность. С одной стороны она не должна быть чрезмерной, с другой - в ней должны быть учтены все требования регуляторов. Последние два года психология восприятия безопасности изменилась. Если раньше большинство участников рынка реализуя комплекс мер по безопасности, прежде всего, опасались не соответствия требованиям регуляторов и соответствующих санкций надзорных органов, то сейчас стали бояться и самих атак.
Ключевыми инструментами являются те, которые участвуют в реагировании на инциденты, обеспечивают сетевую безопасность, защиту данных, а также противодействие фроду.
Какие продукты используете?
Руслан Ложкин: Мы пытаемся подходить к выбору продуктов экосистемно. Такой подход экономит ресурсы и позволяет охватить большую часть процесса. Кроме того, при реализации экосистемного решения нужно меньше людей, чем при интеграции разнородных систем. Продукт, который стоит дорого и ни с чем не интегрируется, сейчас на рынке не нужен. Многие частные экосистемы тоже под вопросом.
Если мы берем какое-то средство защиты, то у нас к нему требования: наличие API, поддержка протоколов интеграции с другими средствам защиты. «Вакуумный» продукт мы внедрять не будем. Игорь Лейпи, ГК Softline: Объем поставок российских операционных систем в ближайшие годы увеличится как минимум вдвое 
Задачи, которые должны решать современные экосистемные продукты: во-первых — обеспечивать безопасность сети и идентификацию в условиях размытого периметра организации; во-вторых — защищать данные в условиях зависимости от одних и тех же данных между партнерами, аутсорсингом; в-третьих — обеспечивать противодействие атакам, предупреждать об атаках и осуществлять поиск их артефактов; в-четвертых — решать проблемы с безопасностью публичных облаков; в-пятых — помогать автоматизировать аудит и проведение комплаенса в реальном времени; в-шестых — обеспечивать цикл безопасной разработки; и в-седьмых — противодействовать мошенничеству, инсайдерам и внутреннему фроду.
Как у вас с импортозамещением?
Руслан Ложкин: Мы провели импортозамещение везде, где это было возможно. Работа по замещению зарубежных решений, которые пока сохраняются в небольшом количестве, ведется. Основная проблема с замещением связана с тем, что отечественные решения не держат нагрузку, заявленный функционал не работает, отсутствует кроссплатформенность. Я бы назвал такие решения тепличными, когда они работают в условиях близких к идеальным.
Если инфраструктура сложная, гибридная, распределенная, с виртуализацией – то такое СЗИ может «обвалить» всю инфраструктуру. Возвращаться на архитектуру 2000-х годов сейчас никто не готов.
Насколько вам нравятся российские продукты?
Руслан Ложкин: Разделю отечественные продукты на две части. Первая – это те, которые вышли до 2022 года и уже имели какой-то опыт конкуренции с западными. Они более-менее зрелые, их можно назвать продуктами. Вторая группа – решения, которые появились уже после указанной даты. Я не могу сейчас назвать даже какой-то зрелый продукт, который появился за прошедшие два года с целью импортозамещения. То, что сейчас происходит на рынке, мне не очень нравится. Мы пытаемся количественно закрыть потребность или нам нужно обеспечить качество продуктов? Зачем нам 20 SIEM или 20 NGFW? Сейчас кроме реестра ПО не существует других критериев оценки. Но ведь сейчас нет классических SIEM, например. Сейчас SIEM может быть совершенно другой класс продукта, но с функцией SIEM, поэтому он внесен в реестр ПО как SIEM. И получается, что продуктов одного класса много, но это разные продукты и несравнимые между собой.
Скорее всего, многие из решений, которые появились за последнее время, вскоре уйдут с рынка. Но сейчас эти разработки кому-то продаются. Что их покупатели будут делать через год-два? Опять менять?
Еще один аспект – это цена. Если в 2021 году за MDM платили 3,5 млн, то сейчас за условно неполноценный аналог хотят 20 млн. В 5-6 раз? Откуда взялась такая цена, вопрос.
Вы как-то сталкивались с атаками через цепочку поставок?
Руслан Ложкин: Эти атаки очень сложно детектировать, потому что есть пробелы и пограничные места, которые сложно контролировать. В прямом смысле таких атак не было, но неоднократно возникали условия на уровне юридических взаимодействий не в нашу пользу. То есть строят договорные отношения таким образом, чтобы уйти от ответственности. Это большая коллизия, для тех покупателей, которые работают через госзакупки.
В соответствии с действующим законодательствам необходимо соблюдать лимиты на поставщиков сегмента МСП, но в тоже время очень сложно контролировать поставку через такие компании, особенно если в поставке прописаны дополнительные работы. Когда в организации поставщика уставной капитал 10 000 рублей и штатная численность 1-5 человек, плюс в качестве месторасположения офиса компании указан публичный адрес, а компания должна оказывать услуги по разработке или услуги аудита – вот тут сразу возникает много вопросов…
В этом случае услуги, вероятнее всего, будет оказывать кто-то привлеченный на аутсорсинг. И мы не знаем, где он территориально находится, как будет осуществляться хранение полученной информации, какую ответственность будет нести эта компания, если возникнет утечка или упадет сервис, и т.д. Очень много вопросов возникает. Поэтому изучать компании до начала работ нужно тщательно. Мы проверяем всех людей, которым оформляем доступы, в том числе и аутсорсингу.
Каких продуктов вам не хватает у российских производителей?
Руслан Ложкин: Не хватает экосистемности. Тема, которую я несколько раз поднимал: хотелось бы взять ключевых заказчиков по секторам, собрать разработчиков, подключить регуляторов и сформулировать общую концепцию решения конкретной проблемы. Например, давайте подумаем, как мы можем обеспечить защиту данных в условиях сверхзависимости от совместных данных между организациями. Что для этого нужно: DLP, DCAP, PAM, MDM или что-то еще? Совместно мы могли бы понять, какие элементы нужны и как они должны интегрироваться между собой. Это была бы экосистема. Такую экосистему можно в перспективе пересматривать, но мы бы имели общую отправную точку.
А дальше было бы полезно при наличии стандартов выработать общие подходы к разработке. Дальше ИТ-компании могут написать каждый свое DLP, DCAP, PAM, MDM, но они должны интегрироваться между собой. Это будет и конкуренция за счет использования продуктов разных производителей, с одной стороны, и системность с другой, благодаря которой я, как заказчик, смогу собрать из нужных мне компонент единую систему защиты.
И таких направлений должно быть несколько: это и сеть, и инциденты, и антифрод, и др. Такой подход позволит оптимизировать разработку для всех, поскольку не потребуется дублирование продуктов, и качество каждого отдельного продукта будет лучше за счет концентрации компетенций. Сейчас же каждый разработчик продвигает свою экосистему и концепцию.
