Информационная безопасность
Персональные данные
Банк исполняет как российское, так и международное законодательство в области обработки и защиты персональных данных. Действующие и выстраиваемые процессы и продукты Банка в своем дизайне предполагают получение согласия клиентов, контрагентов и работников Банка на обработку их персональных данных, минимизацию использования данных в процессе взаимодействия между работниками и системами Банка и обеспечение концепций security by design и security by default. Банк уделяет особое внимание выстраиванию взаимодействия с контрагентами в рамках реализации совместных продуктов и сервисов, максимально ограничивая использование в информационном обмене персональных данных и защищая их при передаче.
Любые доработки в системах Банка, сопряженные с обработкой клиентских данных и платежей клиентов, сопровождаются обязательным тестированием специалистами Банка с эмуляцией хакерской активности для подтверждения защищенности модернизируемых продуктов и систем.
Противодействие мошенничеству
Банк исповедует идеологию нулевой терпимости к противоправным действиям, направленным на клиентов.
Для реализации идеологии Банк:
- Внедрил и поддерживает процессы фрод-мониторинга для дистанционного банковского обслуживания.
- Расследует любые попытки кражи денежных средств у клиентов Банка.
- Взаимодействует с Банком России, другими кредитными организациями, операторами связи и, конечно, органами внутренних дел для обмена информацией о действиях мошенников и своевременного предотвращения мошеннических действий.
- Реализует программу повышения защищенности систем и данных, корректируемую ежегодно и полностью обновляемую раз в 3 года.
Результатом указанной деятельности стали десятки предотвращенных попыток хищения денежных средств у юридических и физических лиц, что сохранило десятки миллионов рублей клиентов. Единственная потеря юридического лица из-за действий мошенников в СДБО в 2019 году составила 3 тысячи рублей, при этом операция была помечена как подозрительная, но была дополнительно подтверждена самим клиентом.
Кибербезопасность (классическая информационная безопасность)
Банк уделяет значительное внимание вопросам информационной безопасности и обеспечения устойчивости к киберугрозам.
В рамках стратегии обеспечения информационной безопасности Банка определены следующие наиболее существенные для Банка угрозы:
- Внешние атаки в результате деятельности хакерских группировок, направленные на кражу данных либо кражу денежных средств через платежные системы;
- Атаки, направленные на клиентов и кражу клиентских средств через сервисы дистанционного банковского обслуживания;
- Мошеннические действия работников Банка или контрагентов, способные привести к утечке данных или кражам с использованием легитимного доступа к информационным системам Банка;
- Логические атаки на банкоматы (использование специального ПО для выдачи денег без использования карт и списаний средств со счетов) и платежные терминалы (использование специального ПО для пополнения карт без внесения наличных).
Для осуществления мер по недопущению реализации угроз были инициированы и успешно завершены следующие проекты:
- Внедрение next generation firewall как базисного элемента для защиты от внешних атак.
- Внедрение решения для противодействия целенаправленным атакам, осуществляемым с использованием вредоносных почтовых сообщений либо вредоносных сайтов, которые в свою очередь используют 0-day уязвимости и не детектируются стандартными средствами защиты, например антивирусами. Результатами работы системы стало отражение более 650 целенаправленных атак.
- Разработка и внедрение системы обучения персонала, имитирующей рассылки хакерами вредоносных вложений и фишинговых ссылок и автоматически назначающей тестирование в случае открытия работником вложений или ввода пароля от своей учетной записи на сайтах, доступных по присылаемым ссылкам.
- Разработка и внедрение антифрод-системы для выявления аномальных и нелегитимных платежей, направляемых в Банк России или в международную систему передачи информации и совершения платежей SWIFT.
Важнейшими процессами обеспечения информационной безопасности являются процедуры выявления и устранения как сугубо технических уязвимостей, присущих информационным системам, так и логических уязвимостей, затрагивающих процессы обслуживания клиентов и продукты.
Для минимизации вероятности их возникновения Банк с 2019 года начал поддерживать следующие процессы:
- Внешние сканирования на уязвимости (достигнут полный охват для всех 179 публикаций сервисов Банка в интернет и внешние сети, результаты сканирования признаются аудиторами как проводимые Approved Scanning Vendor в рамках аудитов на соответствие стандарту PCI DSS).
- Создана red team – группа специалистов с квалификацией, аналогичной хакерам, основной задачей которой является проведение тестирований на проникновение и идентификация уязвимостей, по сути, глазами хакеров для тщательной идентификации не выявляемых инструментально уязвимостей.
- Обеспечено участие и контроль со стороны Департамента информационной безопасности во всех задачах развития IT, включающие в себя:
- Анализ бизнес требований;
- Анализ технических заданий;
- Формирование набора требований для обеспечения концепций security by design и security by default для всех создаваемых Банком сервисов и продуктов;
- Проверка исполнения требований перед выводом реализованных задач в бой;
- Привлечение специалистов из red team для проверки на наличие уязвимостей в любых публикуемых в интернете сервисах, а также в любых платежных приложениях.
- Проводятся организуемые внутренним аудитом внешние тестирования на проникновения, выполняемые силами специализированных компаний, обладающих высококлассными специалистами.
Таким образом, в части устранения уязвимостей в 2019 году были реализованы целостные, полноценные и, главное, работающие процессы.
В Банке функционирует security incidents response team, осуществляющая мониторинг событий информационной безопасности и своевременного на них реагирования. Результатом деятельности этой команды, функционирующей в составе Департамента информационной безопасности, в 2019 году стало создание архитектуры системы мониторинга и реализация подсистемы сбора и первичного анализа событий, внедрение incident response platform, автоматизация формирования любых инцидентов как задач для членов команды во внедренной платформе. Текущие процессы выстроены таким образом, что с момента атаки до момента разбора происходящего в рамках нее и ее прекращения обычно проходит не более 4 часов.
Качество сервисов обеспечения информационной безопасности подтверждено по результатам 2019 года аудитами на соответствие стандарту безопасности PCI DSS и программе безопасности SWIFT Customer Security Programme.
Особое внимание в МКБ уделяется повышению осведомленности участников рынка о существующих рисках, угрозах, новых технологиях и тенденциях в сфере информационной безопасности. Сотрудники банка также участвуют в обучающих семинарах, коучингах и различных мероприятиях на данную тематику.
Следует отметить, что Директор департамента информационной безопасности МКБ Вячеслав Касимов неоднократно принимал участие в различных мероприятиях и конференциях, посвященных теме информационной безопасности, в качестве спикера или приглашенного эксперта.
Наименование мероприятия | Обсуждаемые вопросы |
---|---|
Кейс-форум «Мошенничество в финансовой сфере. Банки» | Современные вызовы и угрозы со стороны киберпреступности, методы выявления и предотвращения мошеннических действий, практические советы по проблемам внешнего и внутреннего мошенничества |
Merlion IT Solutions Summit | Крупнейшее ежегодное мероприятие IT‑отрасли, на котором представители крупнейших российских и иностранных IT‑компаний обсудили наиболее важные технологические тренды, в том числе в части управления потоками данных, принципы и меры их защиты |
Конференция газеты «Ведомости» «Кибербезопасность: законы, люди, технологии» | Инвестиции в безопасность, проведение киберучений и стресс-тестирования, подготовка и подбор кадров в ИБ‑сфере |
Меняется ландшафт преступности: она все больше становится цифровой. Естественно, это влечет за собой и цифровизацию безопасности. Информационная безопасность выходит на первый план в части митигации рисков организаций. Такое положение дел осознает и бизнес, который, впрочем, продолжает минимизировать затраты на функции, не приносящие прибыли. Однако в результате только истинно талантливые команды, способные показывать высокое качество процессов в условиях ограниченного количества ресурсов, будут способны достичь успеха на поприще кибербезопасности».Касимов Вячеслав Валерьевич Директор департамента информационной безопасности МКБ![]()