Перспективы FinCERT по-белорусски

Недавно Нацбанк объявил о создании антихакерского подразделения – центра мониторинга и противодействия компьютерным атакам в кредитно-финансовой сфере. Что это принесет финансовому рынку?

Со стороны может показаться, что на базе Нацбанка будет создана суперкрутая группа белых хакеров, которые начнут глобально следить за кибербезопасностью страны. А как все на самом деле?

7-летний опыт работы в белорусской банковской сфере, в т.ч. по вопросам информационной безопасности, подсказывает, что при создании подобной структуры придется столкнуться с рядом проблем.

Любой банк крайне зависим от своих информационных систем и информационной инфраструктуры. Если в одночасье лягут все сервера какого-нибудь крупного банка, это будет коллапс с огромными потерями. Поэтому естественно желание регулятора как-то стандартизировать работу информационных систем и, главное, – отслеживать любые инциденты, влияющие на их работу. В целом процедура мониторинга описана в ТКП 288-2010 (07040) «Банковские технологии. Управление рисками в сфере информационных технологий». Вкратце: есть перечень типовых источников (причин) рисков в сфере информационных технологий, по которым каждый банк отчитывается перед регулятором. На деле отдел рисков банка отсылает профильным руководителям (IT и информационная безопасность чаще всего) таблички, которые те с определенной периодичностью заполняют. Отдел рисков консолидирует эту информацию и отсылает регулятору.

И вот уже на этом этапе возникает множество проблем.

Во-первых, это связано с самой процедурой мониторинга событий, будь то шпионаж, хищение активов, утечка информации и т.п. Их отслеживание требует серьезных и дорогостоящих систем. Например, DLP (Data Leak Prevention) системы, SIEM (security information and event management), организованы SOC и проч. Любая из них стоит сотни тысяч долларов. Далеко не у всех белорусских банков есть такие «игрушки». Но без них нельзя эффективно собирать данные о проблемах в информационных системах и предоставлять регулятору полные и точ­ные сведения.

Во-вторых, есть кадровая про­блема. Обучить специалиста поль­зованию слож­ными SIEM- си­стемами стоит около 4 тыс. у.е. Соответственно, таких людей на рынке крайне мало и стоят они дорого. Даже если банк оплатит учебу для своего сотрудника, то не факт, что станет платить ему зарплату в соответствии с рыночными реалиями.

Третья и наиболее важная проблема в том, что банки не хотят делиться информацией об инцидентах и проблемах. При­знаешься, что у тебя взломали какой-либо маршрутизатор, а регулятор вне­плановую проверку направит или еще какие-то неприятности последуют.

Почему сейчас речь идет имен­но о создании центра FinCERT? Первоначально воз­никла идея создания закрытого форума «Карточка», на котором бы общались профильные специалисты, рассказывали друг другу о проблемах, обсуждали варианты решений. Но при этом никто не подумал, как мотивировать специалистов к такому общению. Даже понимание, что озвучивание проблем привлечет внимание регулятора, скорее демотивирует. Мало кто пожелает «выносить сор из избы». Так что форум особой пользы не принес. Теперь решили по примеру российских и прочих зарубежных коллег организовать свой FinCERT. Работа такого центра должна быть направлена по четырем типам инцидентов:

• DDoS-атаки;
• несанкционированный доступ к конфиденциальной информации;
• мошеннические SMS и звонки;
• вредоносное ПО.

Направлений может быть больше, вплоть до поиска уязвимостей в инфраструктуре от­дельных банков.

Проще говоря, специалисты FinCERT должны мониторить ситуацию в Интернете, СМИ, по любым открытым и закрытым ис­точникам, оперативно получать информацию от профильных силовых структур, получать информацию от банков, которые под­верглись атакам. На основании собранной информации должны формироваться рекомендации по борьбе с этими атаками и инцидентами, а также оперативно рассылаться по всем, кто будет подключен к системе. На­пример, узнали, что обнаружили очередную уязвимость в ОС Windows, нашли способы залатать дыру, оперативно сооб­щили об этом всем, кто подключен к системе. Или, если банк подверг­ся DDoS-атаке, сообщили в Fin­CERT, там оперативно нашли решение, выдали рекомендации по борьбе и оповестили всех участников системы.

Круто? Да нет. Проблемы все те же. Во-первых, непонятно, как эффективно консолидировать информацию. Не уверен, что, например, в этом согласятся участвовать управление К или ОАЦ, да и банки будут крайне неохотно предоставлять информацию об инцидентах.

Во-вторых, кадровый вопрос. Хороший специалист по кибербезопасности стоит на рынке 2–3 тыс. у.е., профильный руководитель – около 5 тыс. у.е. Даже если найдут молодые дарования с горящими глазами или эти места займут люди в погонах, то их придется обучать и мотивировать. Но это все ненадолго. Через некоторое время эти кадры начнут уезжать в западном или восточном направлении, туда, где спрос на таких специалистов и их заработки повыше. К сожалению, в Беларуси все еще сохраняется архаичный взгляд на безопасность, в т.ч. информационную, не говоря уже о готовности оплачивать надлежащим образом специалистов в этой сфере. Уважаемый мной председатель правления одного белорусского банка как-то сказал: «Хороший ты человек, умный, профессионал. Но руководителем безопасности банка не стать. Были бы у тебя хотя бы погоны полковника».

Конечно, всегда есть отрасли и компании, не страдающие устаревшими взглядами. Но пока их немного. Подобные труд­ности могут свести правильную и полезную идею создания белорусского FinCERT к более чем скромным результатам.