Информационная безопасность

Персональные данные

Банк исполняет как российское, так и международное законодательство в области обработки и защиты персональных данных. Действующие и выстраиваемые процессы и продукты Банка в своем дизайне предполагают получение согласия клиентов, контрагентов и работников Банка на обработку их персональных данных, минимизацию использования данных в процессе взаимодействия между работниками и системами Банка и обеспечение концепций security by design и security by default. Банк уделяет особое внимание выстраиванию взаимодействия с контрагентами в рамках реализации совместных продуктов и сервисов, максимально ограничивая использование в информационном обмене персональных данных и защищая их при передаче.

Любые доработки в системах Банка, сопряженные с обработкой клиентских данных и платежей клиентов, сопровождаются обязательным тестированием специалистами Банка с эмуляцией хакерской активности для подтверждения защищенности модернизируемых продуктов и систем.

Противодействие мошенничеству

Банк исповедует идеологию нулевой терпимости к противоправным действиям, направленным на клиентов.

Для реализации идеологии Банк:

  • Внедрил и поддерживает процессы фрод-мониторинга для дистанционного банковского обслуживания.
  • Расследует любые попытки кражи денежных средств у клиентов Банка.
  • Взаимодействует с Банком России, другими кредитными организациями, операторами связи и, конечно, органами внутренних дел для обмена информацией о действиях мошенников и своевременного предотвращения мошеннических действий.
  • Реализует программу повышения защищенности систем и данных, корректируемую ежегодно и полностью обновляемую раз в 3 года.

Результатом указанной деятельности стали десятки предотвращенных попыток хищения денежных средств у юридических и физических лиц, что сохранило десятки миллионов рублей клиентов. Единственная потеря юридического лица из-за действий мошенников в СДБО в 2019 году составила 3 тысячи рублей, при этом операция была помечена как подозрительная, но была дополнительно подтверждена самим клиентом.

Кибербезопасность (классическая информационная безопасность)

Банк уделяет значительное внимание вопросам информационной безопасности и обеспечения устойчивости к киберугрозам.

В рамках стратегии обеспечения информационной безопасности Банка определены следующие наиболее существенные для Банка угрозы:

  • Внешние атаки в результате деятельности хакерских группировок, направленные на кражу данных либо кражу денежных средств через платежные системы;
  • Атаки, направленные на клиентов и кражу клиентских средств через сервисы дистанционного банковского обслуживания;
  • Мошеннические действия работников Банка или контрагентов, способные привести к утечке данных или кражам с использованием легитимного доступа к информационным системам Банка;
  • Логические атаки на банкоматы (использование специального ПО для выдачи денег без использования карт и списаний средств со счетов) и платежные терминалы (использование специального ПО для пополнения карт без внесения наличных).

Для осуществления мер по недопущению реализации угроз были инициированы и успешно завершены следующие проекты:

  • Внедрение next generation firewall как базисного элемента для защиты от внешних атак.
  • Внедрение решения для противодействия целенаправленным атакам, осуществляемым с использованием вредоносных почтовых сообщений либо вредоносных сайтов, которые в свою очередь используют 0-day уязвимости и не детектируются стандартными средствами защиты, например антивирусами. Результатами работы системы стало отражение более 650 целенаправленных атак.
  • Разработка и внедрение системы обучения персонала, имитирующей рассылки хакерами вредоносных вложений и фишинговых ссылок и автоматически назначающей тестирование в случае открытия работником вложений или ввода пароля от своей учетной записи на сайтах, доступных по присылаемым ссылкам.
  • Разработка и внедрение антифрод-системы для выявления аномальных и нелегитимных платежей, направляемых в Банк России или в международную систему передачи информации и совершения платежей SWIFT.

Важнейшими процессами обеспечения информационной безопасности являются процедуры выявления и устранения как сугубо технических уязвимостей, присущих информационным системам, так и логических уязвимостей, затрагивающих процессы обслуживания клиентов и продукты.

Для минимизации вероятности их возникновения Банк с 2019 года начал поддерживать следующие процессы:

  • Внешние сканирования на уязвимости (достигнут полный охват для всех 179 публикаций сервисов Банка в интернет и внешние сети, результаты сканирования признаются аудиторами как проводимые Approved Scanning Vendor в рамках аудитов на соответствие стандарту PCI DSS).
  • Создана red team – ​группа специалистов с квалификацией, аналогичной хакерам, основной задачей которой является проведение тестирований на проникновение и идентификация уязвимостей, по сути, глазами хакеров для тщательной идентификации не выявляемых инструментально уязвимостей.
  • Обеспечено участие и контроль со стороны Департамента информационной безопасности во всех задачах развития IT, включающие в себя:
    • Анализ бизнес требований;
    • Анализ технических заданий;
    • Формирование набора требований для обеспечения концепций security by design и security by default для всех создаваемых Банком сервисов и продуктов;
    • Проверка исполнения требований перед выводом реализованных задач в бой;
    • Привлечение специалистов из red team для проверки на наличие уязвимостей в любых публикуемых в интернете сервисах, а также в любых платежных приложениях.
  • Проводятся организуемые внутренним аудитом внешние тестирования на проникновения, выполняемые силами специализированных компаний, обладающих высококлассными специалистами.

Таким образом, в части устранения уязвимостей в 2019 году были реализованы целостные, полноценные и, главное, работающие процессы.

В Банке функционирует security incidents response team, осуществляющая мониторинг событий информационной безопасности и своевременного на них реагирования. Результатом деятельности этой команды, функционирующей в составе Департамента информационной безопасности, в 2019 году стало создание архитектуры системы мониторинга и реализация подсистемы сбора и первичного анализа событий, внедрение incident response platform, автоматизация формирования любых инцидентов как задач для членов команды во внедренной платформе. Текущие процессы выстроены таким образом, что с момента атаки до момента разбора происходящего в рамках нее и ее прекращения обычно проходит не более 4 часов.

Качество сервисов обеспечения информационной безопасности подтверждено по результатам 2019 года аудитами на соответствие стандарту безопасности PCI DSS и программе безопасности SWIFT Customer Security Programme.

Особое внимание в МКБ уделяется повышению осведомленности участников рынка о существующих рисках, угрозах, новых технологиях и тенденциях в сфере информационной безопасности. Сотрудники банка также участвуют в обучающих семинарах, коучингах и различных мероприятиях на данную тематику.

Следует отметить, что Директор департамента информационной безопасности МКБ Вячеслав Касимов неоднократно принимал участие в различных мероприятиях и конференциях, посвященных теме информационной безопасности, в качестве спикера или приглашенного эксперта.

Перечень мероприятий, участником которых МКБ являлся в 2019 г.
Наименование мероприятия Обсуждаемые вопросы
Кейс-форум «Мошенничество в финансовой сфере. Банки» Современные вызовы и угрозы со стороны киберпреступности, методы выявления и предотвращения мошеннических действий, практические советы по проблемам внешнего и внутреннего мошенничества
Merlion IT Solutions Summit Крупнейшее ежегодное мероприятие IT‑отрасли, на котором представители крупнейших российских и иностранных IT‑компаний обсудили наиболее важные технологические тренды, в том числе в части управления потоками данных, принципы и меры их защиты
Конференция газеты «Ведомости» «Кибербезопасность: законы, люди, технологии» Инвестиции в безопасность, проведение киберучений и стресс-тестирования, подготовка и подбор кадров в ИБ‑сфере
Меняется ландшафт преступности: она все больше становится цифровой. Естественно, это влечет за собой и цифровизацию безопасности. Информационная безопасность выходит на первый план в части митигации рисков организаций. Такое положение дел осознает и бизнес, который, впрочем, продолжает минимизировать затраты на функции, не приносящие прибыли. Однако в результате только истинно талантливые команды, способные показывать высокое качество процессов в условиях ограниченного количества ресурсов, будут способны достичь успеха на поприще кибербезопасности».
Касимов Вячеслав Валерьевич Директор департамента информационной безопасности МКБ
Касимов