Информационная безопасность

Персональные данные

Банк исполняет как российское, так и международное законодательство в области обработки и защиты персональных данных. Действующие и выстраиваемые процессы и продукты Банка в своем дизайне предполагают получение согласия клиентов, контрагентов и работников Банка на обработку их персональных данных, минимизацию использования данных в процессе взаимодействия между работниками и системами Банка и обеспечение концепций security by design и security by default. Банк уделяет особое внимание выстраиванию взаимодействия с контрагентами в рамках реализации совместных продуктов и сервисов, максимально ограничивая использование в информационном обмене персональных данных и защищая их при передаче.

Любые доработки в системах Банка, сопряженные с обработкой клиентских данных и платежей клиентов, сопровождаются обязательным тестированием специалистами Банка с эмуляцией хакерской активности для подтверждения защищенности модернизируемых продуктов и систем.

Противодействие мошенничеству

Банк исповедует идеологию нулевой терпимости к противоправным действиям, направленным на клиентов.

Для реализации идеологии Банк:

• Внедрил и поддерживает процессы фрод-мониторинга для дистанционного банковского обслуживания.
• Расследует любые попытки кражи денежных средств у клиентов Банка.
• Взаимодействует с Банком России, другими кредитными организациями, операторами связи и, конечно, органами внутренних дел для обмена информацией о действиях мошенников и своевременного предотвращения мошеннических действий.
• Реализует программу повышения защищенности систем и данных, корректируемую ежегодно и полностью обновляемую раз в 3 года.

Результатом указанной деятельности стали десятки предотвращенных попыток хищения денежных средств у юридических и физических лиц, что сохранило десятки миллионов рублей клиентов. Единственная потеря юридического лица из-за действий мошенников в СДБО в 2019 году составила 3 тысячи рублей, при этом операция была помечена как подозрительная, но была дополнительно подтверждена самим клиентом.

Кибербезопасность (классическая информационная безопасность)

Банк уделяет значительное внимание вопросам информационной безопасности и обеспечения устойчивости к киберугрозам.

В рамках стратегии обеспечения информационной безопасности Банка определены следующие наиболее существенные для Банка угрозы:

• Внешние атаки в результате деятельности хакерских группировок, направленные на кражу данных либо кражу денежных средств через платежные системы;
• Атаки, направленные на клиентов и кражу клиентских средств через сервисы дистанционного банковского обслуживания;
• Мошеннические действия работников Банка или контрагентов, способные привести к утечке данных или кражам с использованием легитимного доступа к информационным системам Банка;
• Логические атаки на банкоматы (использование специального ПО для выдачи денег без использования карт и списаний средств со счетов) и платежные терминалы (использование специального ПО для пополнения карт без внесения наличных).

Для осуществления мер по недопущению реализации угроз были инициированы и успешно завершены следующие проекты:

• Внедрение next generation firewall как базисного элемента для защиты от внешних атак.
• Внедрение решения для противодействия целенаправленным атакам, осуществляемым с использованием вредоносных почтовых сообщений либо вредоносных сайтов, которые в свою очередь используют 0-day уязвимости и не детектируются стандартными средствами защиты, например антивирусами. Результатами работы системы стало отражение более 650 целенаправленных атак.
• Разработка и внедрение системы обучения персонала, имитирующей рассылки хакерами вредоносных вложений и фишинговых ссылок и автоматически назначающей тестирование в случае открытия работником вложений или ввода пароля от своей учетной записи на сайтах, доступных по присылаемым ссылкам.
• Разработка и внедрение антифрод-системы для выявления аномальных и нелегитимных платежей, направляемых в Банк России или в международную систему передачи информации и совершения платежей SWIFT.

Важнейшими процессами обеспечения информационной безопасности являются процедуры выявления и устранения как сугубо технических уязвимостей, присущих информационным системам, так и логических уязвимостей, затрагивающих процессы обслуживания клиентов и продукты.

Для минимизации вероятности их возникновения Банк с 2019 года начал поддерживать следующие процессы:

• Внешние сканирования на уязвимости (достигнут полный охват для всех 179 публикаций сервисов Банка в интернет и внешние сети, результаты сканирования признаются аудиторами как проводимые Approved Scanning Vendor в рамках аудитов на соответствие стандарту PCI DSS).
• Создана red team – ​группа специалистов с квалификацией, аналогичной хакерам, основной задачей которой является проведение тестирований на проникновение и идентификация уязвимостей, по сути, глазами хакеров для тщательной идентификации не выявляемых инструментально уязвимостей.
• Обеспечено участие и контроль со стороны Департамента информационной безопасности во всех задачах развития IT, включающие в себя:
  • Анализ бизнес требований;
  • Анализ технических заданий;
  • Формирование набора требований для обеспечения концепций security by design и security by default для всех создаваемых Банком сервисов и продуктов;
  • Проверка исполнения требований перед выводом реализованных задач в бой;
  • Привлечение специалистов из red team для проверки на наличие уязвимостей в любых публикуемых в интернете сервисах, а также в любых платежных приложениях.
• Проводятся организуемые внутренним аудитом внешние тестирования на проникновения, выполняемые силами специализированных компаний, обладающих высококлассными специалистами.

Таким образом, в части устранения уязвимостей в 2019 году были реализованы целостные, полноценные и, главное, работающие процессы.

В Банке функционирует security incidents response team, осуществляющая мониторинг событий информационной безопасности и своевременного на них реагирования. Результатом деятельности этой команды, функционирующей в составе Департамента информационной безопасности, в 2019 году стало создание архитектуры системы мониторинга и реализация подсистемы сбора и первичного анализа событий, внедрение incident response platform, автоматизация формирования любых инцидентов как задач для членов команды во внедренной платформе. Текущие процессы выстроены таким образом, что с момента атаки до момента разбора происходящего в рамках нее и ее прекращения обычно проходит не более 4 часов.

Качество сервисов обеспечения информационной безопасности подтверждено по результатам 2019 года аудитами на соответствие стандарту безопасности PCI DSS и программе безопасности SWIFT Customer Security Programme.

Особое внимание в МКБ уделяется повышению осведомленности участников рынка о существующих рисках, угрозах, новых технологиях и тенденциях в сфере информационной безопасности. Сотрудники банка также участвуют в обучающих семинарах, коучингах и различных мероприятиях на данную тематику.

Следует отметить, что Директор департамента информационной безопасности МКБ Вячеслав Касимов неоднократно принимал участие в различных мероприятиях и конференциях, посвященных теме информационной безопасности, в качестве спикера или приглашенного эксперта.

Меняется ландшафт преступности: она все больше становится цифровой. Естественно, это влечет за собой и цифровизацию безопасности. Информационная безопасность выходит на первый план в части митигации рисков организаций. Такое положение дел осознает и бизнес, который, впрочем, продолжает минимизировать затраты на функции, не приносящие прибыли. Однако в результате только истинно талантливые команды, способные показывать высокое качество процессов в условиях ограниченного количества ресурсов, будут способны достичь успеха на поприще кибербезопасности».

Касимов Вячеслав Валерьевич Директор департамента информационной безопасности МКБ