Станислав Кузнецов, заместитель Председателя Правления Сбербанка:
Киберпреступность сегодня не имеет границ. Из любой точки мира можно атаковать любые ресурсы. И, наоборот, национальные границы мешают нам сотрудничать и обмениваться значимой информацией, которая помогает бороться с киберпреступностью.
За последние год-полтора системно значимые банки проделали огромную работу по укреплению своей безопасности. Наметился перелом: мы видим повышение надежности банков. Банки стали осознавать уровень рисков, и убытки банков со стороны прямых атак киберпреступников резко снизилось. Но появился другой риск. Мошенники стали пытаться добывать информацию от сотрудников банка —путем прямых уговоров, фишинговых писем, методов социальной инженерии.
Многие сейчас занимаются исследованиями, чтобы повысить уровень двухфакторной аутентификации. Можно использовать рисунок вен в ладони, отпечаток пальца. Системы постоянно совершенствуются. По манере машинописи уже можно определить конкретного человека. По голосу можно определить, как выглядит человек и какой у него возраст. Все эти системы нацелены на защиту клиента, чтобы повысить уровень аутентификации, ведь подавляющее большинство преступлений основано на том, чтобы подменить клиента либо подменить документы.
Банки являются мишенью №1 для киберпреступников. Поэтому опыт банков должен быть востребован в других отраслях экономики и в государственных институтах.
Для меня главной задачей является повышение доверия. Для меня слово «доверие» сегодня является самым главным в отрасли обеспечения кибербезопасности и повышения киберустойчивости. Его нам сегодня очень не хватает. Между нами на этой панели точно возникло доверие. Мы внесли небольшую толику в то, чтобы повысить уровень доверия в этом зале, а значит, и среди коллег в нашей отрасли, которые с большим увлечением занимаются очень важным делом обеспечения кибербезопасности.
Cунил Сешадри, старший вице-президент и директор по информационной безопасности Visa:
В любой компании люди делают ошибки. ПО будет с багами, нравится вам это или нет, сколько бы мы ни проверяли, оборудование будет ломаться. Но нам нужно сделать так, чтобы данные нельзя было использовать несанкционированным лицам. Стратегия — в том, чтобы обесценить данные за счет их токенизации, использования различных типов шифрования данных. Тогда даже если будет утечка, преступники получат данные, которые нельзя будет использовать.
Киберграмотности никогда не бывает достаточно. Но есть back-end решения. Мы можем применять искусственный интеллект. Мы знаем, как печатают люди, и можем по частоте, с которой вы нажимаете на клавишу, по движениям вашей мыши и вашего пальца по тач-паду, идентифицировать вас, отличив от всех остальных нелегитимных пользователей.
Внедряя кибербезопасность, нам нужно научиться создавать меньше барьеров для клиентов. Мы легко можем и третий, и четвертый фактор аутентификации внедрить. Но тогда клиенты захотят уйти из нашей системы. Поэтому факторы аутентификации должны индивидуально применяться в зависимости от клиента.
Кибербезопасность — это мощный спорт, который постоянно меняется. Нужно сделать так, чтобы кибербезопасность стала ключевой частью стратегии компании, начиная с ее руководителя. Культура кибербезопасности должна быть выстроена сверху вниз. Руководитель должен на всех совещаниях говорить, что кибербезопасность — это основная тема. Это должно быть сделано на всех вертикалях и во всех отраслях.
Георгий Лунтовский, президент Ассоциации банков России:
Проблема в том, что банковская система неоднородна. Есть банки-лидеры, которые имеют финансовые и интеллектуальные возможности, чтобы разрабатывать технологии и внедрять современные средства защиты. И есть банки с базовой лицензией. За прошлый год они в среднем получили годовую прибыль порядка 5 млн рублей. Эти банки не могут в той же степени заниматься вопросами защиты информации, как и крупные банки. Задача Ассоциации банков России — в том, чтобы использовать возможности крупных банков и регулятора, чтобы оказать этим банкам поддержку. По инициативе разработчиков компании BI.ZONE мы запустили пилотный проект по платформе обмена информации по киберугрозам. На этой платформе объединяются и коммерческие банки, и другие структуры. Мы получаем информацию из 26 источников. Базовый пакет платформы бесплатен. Это один из примеров, когда бизнес объединяется против соответствующей угрозы.
Я и собственной киберграмотностью не удовлетворен. А многие другие люди моего поколения вообще не понимают, что происходит. Вопросы киберграмотности и кибергигиены нельзя снимать с повестки дня даже внутри банка.
Коллаборация в сфере кибербезопасности должна стать общественным благом, которое потребляется в равной степени и малыми, и большими банками.
Михаил Алексеев, председатель правления ЮниКредит Банка:
70% киберпреступлений совершаются в финансовой сфере. В мире угроза финансовому сектору оценивается в 2–3 млн долларов. Это реальная война. И побеждает тот, кто на шаг впереди. Если вы реактивно реагируете на то, что случилось, вы всегда проигрываете. Стратегия должна быть направлена на то, чтобы предвидеть потенциальные угрозы и тренды и заранее выстроить защиту от них. Для этого нужно обмениваться информацией и изучать опыт коллег, потому что те, кто учится на чужих ошибках, всегда мудрее.
7% ИТ-расходов сейчас тратится на информационную безопасность. Мы стремимся тратить больше, чем в среднем по отрасли. За последние 5 лет мы ни одного рубля не потеряли от киберпреступлений.
Не надо забывать о человеческом факторе. Мы знаем коварные приемы социальной инженерии, когда можно сымитировать контакты из финансовых кредитных организаций по отношению к нашим клиентам. Но и сами организации не защищены от возможности использования этих методов социальной инженерии. Мы видим тенденцию, когда злоумышленники пытаются имитировать действия руководства, то есть сотрудники получают указания о переводе денег от их лица.
Главное — это работа с людьми. Люди не меняются. Более 20 млн паролей в мире — это 123456. Сколько мы ни информируем наших клиентов, люди, даже зная, что они могут стать жертвами мошенников, иногда проявляют беспечность. Надо продолжать работать как с коллегами по отрасли, так и с нашими клиентами и контрагентами. Лозунг «Люди, будьте бдительны!» не теряет своей актуальности.
Иногда сама ИТ-отрасль является источником проблем. Есть такой закон Мерфи: «Система обеспечения безопасности выводит из строя все другие системы». Поставщики базовых ИТ-решений в сфере кибербезопасности в погоне за прибылью так часто меняют версии своих систем, что поставляют нам непроверенные решения с дырками, а потом досылают патчи или новые версии. В результате присутствуют дыры в обороне. Это такой бизнес.
Сейчас из статичной фотографии можно эмулировать видео, из записи голоса можно эмулировать речь. Все новые технологии, которые должны нас защищать, становятся и новыми угрозами для наших клиентов. Так происходит и с биометрией. Это всегда соревнование в области технологий.
Даниэла Жижич, CSO&DPO Евробанка:
Ключевые приоритеты нашей деятельности — оценка всех киберрисков, выявление уязвимостей всех наших ресурсов, выпуск патчей для закрытия этих уязвимостей, укрепление нашей киберкультуры.
Одна из самых актуальных тем — это регулирование в области защиты данных. Массовые утечки данных сейчас происходят по всему миру. Последние утечки данных происходили в известных компаниях, которые сейчас очень много инвестируют в безопасность. Но это показывает, что традиционные стратегии кибербезопасности не могут защитить нас от нацеленных атак и DDOS-атак.
Одна из основных задач в сфере кибербезопасности — это тестирование. Надо проверять всех участников процесса, все приложения и процессы, чтобы понимать, какой у вас уровень устойчивости, какие элементы вашей системы являются ключевыми.
- 106 просмотров