В эпоху информационных технологий защита данных выходит на первый план, ведь под прицел хакеров попадают не только отдельные люди, но и крупнейшие корпорации и банки, поэтому кибербезопасность стала уже одним из важнейших элементов национальной безопасности.
О том, как крупнейший российский банк борется со все более изощренными методами преступников, как в Сбербанке ежедневно спасают деньги клиентов от мошенников, можно ли доверить свои конфиденциальные данные виртуальному "сейфу" и зачем банку свой мессенджер, в интервью РИА Новости в кулуарах ПМЭФ рассказал зампредправления Сбербанка, курирующий вопросы кибербезопасности, Станислав Кузнецов. Беседовали Дарья Станиславец и Диляра Солнцева-Эльбе.
— Станислав Константинович, добрый день! Глава Сбербанка Герман Греф недавно заявил о планах в отношении приложения "Кошелек от Сбербанка", в котором можно будет хранить всю конфиденциальную информацию, включая пин-коды кредитных карт и скан-копии документов. Как можно защитить такую информацию? Проводили ли вы исследование, насколько может быть востребована подобная услуга? Как будет осуществляться доступ к такой информации?
Мы точно выведем его в массовую эксплуатацию довольно быстро. В конце лета — осенью мы будем уже внедрять его для всех. Это будет бесплатный сервис, он очень востребован и имеет колоссальные возможности для развития, как мне кажется.
Во-первых, потому что это удобно, структурировать в одном месте всю информацию. Во-вторых, в этом приложении есть функция "Сейф", то есть вся информация кодируется, и к этому коду банк не имеет никакого отношения.
Более того, мы даже не знаем эти пароли и коды и не сможем помочь их разблокировать, если что-то произойдет.
Это ваш личный сейф, его никто никогда не вскроет, даже если вы потеряете телефон, только если вы сами не раскроете код доступа, дублирующего ключа не существует. У Сбербанка просто нет возможности получить доступ к информации, которую вы туда положили. Пароль вы придумываете сами, мы можем только автоматически подсказать, достаточно ли он сложный.
Уровень защиты этого "сейфа" очень высокий, и мы как крупная корпорация очень заинтересованы в том, чтобы у наших клиентов была вера в эту безупречность.
Другая функция этого кошелька, которая мне кажется очень перспективной, — хранение документов. Мне кажется, недалек тот день, когда вы сможете предъявлять документы, например права и свидетельства регистрации собственности на квартиру, в электронном виде.
И нам кажется, что в каком-то ближайшем будущем мы сможем договориться с органами регистрации и государственными институтами, чтобы подобного рода документы в течение определенного времени были верифицированы для признания. Подобного пока нет, мы только в начале пути.
— Не боятся ваши клиенты складывать "все яйца в одну корзину"? Как вы можете гарантировать безопасность хранения данных? Привлекаете ли хакеров, чтобы выявить ее потенциально слабые места?
Мы должны гарантировать непревзойденный уровень защиты даже в условиях очень жестких атак.
— Сбербанк заявлял о планах запуска во второй половине 2016 года своего мессенджера. Сколько компаний уже заявили о готовности подключиться к сервису? Нет ли планов сделать из него национальный мессенджер в будущем? Как вы относитесь к идее регулирования мессенджеров и к инициативам ограничить их использование в госструктурах?
— Я не могу сказать, сколько компаний присоединилось, могу лишь сказать, что интерес большой, мы ещё далеко не все там сделали. Но запрещать использовать мессенджеры — ума много не надо, можно законодательно их запретить, но вопрос в том, что ты дашь взамен — люди уже к ним привыкли, потому что это удобно. И нам кажется, прежде чем что-то запрещать надо подумать, как реализовывать потребности людей.
Сегодня в мире уже существует достаточное количество готовых защищенных мессенджеров, которые можно купить и внедрить в госструктуры. А можно создать свой — это будет, может быть, безопаснее и точно дешевле.
Специальных планов для реализации подобного рода проектов у нас нет, мы это делаем для себя. Если это будет востребовано кем-то, мы подумаем о том, как расширить сотрудничество в этом направлении, но не планируем выпускать такой продукт на всю страну — мы банк, и наша задача — заниматься банковской деятельностью.
— Сколько Сбербанк тратит на кибербезопасность и IT в год? Сопоставимы ли эти траты с крупными зарубежными финансовыми институтами?
— По итогам 2015 года мы потратили примерно 1,5 миллиарда рублей, в этом году мы потратим, я думаю, больше. Я считаю, что надо инвестировать в эту отрасль больше, чтобы не платить за это завтра, потому что уровень угроз сегодня очень высокий.
К сожалению, сегодня есть проблема: большинство российских компаний сегодня не имеют систем безопасности и не уделяют должного внимания защите информации.
— Известно, что Сбербанк работает над технологиями распознавания лица и голоса клиентов, сначала планируется внедрить идентификацию клиента по ладони, затем — по изображению лица, а потом — по голосу. Когда это возможно внедрить, в какие сроки? Сохранится ли при этом опция подтверждения через пароли и пин-коды? Как будет работать этот механизм?
— Я думаю, что это не очень близкая по времени разработка, но это один из ключей, который поможет нам решить большое количество проблем, и не только нам, но и в других странах. Сегодня в мире пока не существует 100-процентной системы распознавания лица или голоса, некоторые компании лишь приблизились к этому показателю. Мы действительно над этим активно работаем и очень внимательно мониторим все стартапы в этой области в мире.
— Когда, по вашей оценке, закончится эра пластиковых карт в России и в мире?
— Одна из проблем, которая волнует сегодня всю страну по масштабам бедствия, — это мошенники, которые обманом выуживают средства у пожилых людей. Как Сбербанк борется с такими преступниками?
— Мошенничество с использованием методов социальной инженерии — тот самый вид мошенничества, когда люди добровольно, после общения по телефону или через СМС, отдают всю информацию, связанную со своими счетами, — пароли, коды и так далее.
Даже несмотря на то, что формально банк не несет убытки от этих операций, мы не можем оставаться в стороне и разделяем ответственность за происходящее.
Для этого мы сегодня пошли по пути строительства специального центра фрод-мониторинга, который по определенному набору из десятков правил распознает и прогнозирует нестандартное поведение клиентов.
Например, бабушка проживает в Саратове, а кто-то снимает деньги в Екатеринбурге — сразу же мгновенно наша система блокирует эту операцию, и клиенту раздается звонок из колл-центра для ее подтверждения.
Эта система имеет возможность самообучаться, но никакие машины не могут помочь людям без разъяснения рисков их чрезмерной доверчивости.
Например, в Москве две недели назад были задержаны два колл-центра, в одном 34 человека, в другом 5 человек, которые занимались таким мошенничеством.
Масштаб этого вида мошенничества растет, и сегодня мы спасаем в среднем в неделю 150-170 миллионов рублей клиентов, которые успели поддаться уговорам мошенников, перевели им деньги. Эти деньги мы возвращаем на счета клиентов.
— Безопасно ли расплачиваться карточками в интернете?
— Мой ответ "да". Но я могу говорить только за свой банк.
— Можете ли вы оценить, сравнить уровень кибербезопасности в российских банках и компаниях с другими странами? Какая страна считается лидером, флагманом по уровню безопасности? А какое место занимает Россия?
— Я думаю, что однозначного ответа на этот вопрос сейчас не знает никто. Нет такого оценивающего механизма ни в мире, ни внутри каждой страны, мы можем говорить об этом лишь субъективно, исходя из личного опыта. Надо всегда учитывать, что есть ряд стран, которых атакуют больше. И важно понимать, как они могут противостоять таким атакам. А есть государства, которых атакуют редко, и они не нуждаются в усиленном, высоком уровне противодействия. Поэтому проводить сравнение, у кого лучше, у кого хуже система кибербезопасности, надо через два показателя — уровень воздействия и количество таких случаев.
Анализ показал, что ситуация очень разнородная. Мы нарисовали карту, которая окрашена разными цветами. И нравится ли нам это или нет, но Россия оказалась на первом месте по количеству "поставленных" вирусов, по количеству попыток атаковать различного рода институты, в том числе государственные, финансовые, по сравнению с другими странами. На втором месте оказалась Бразилия, на третьем — США.
Я далек от утверждения того, что в России очень высокий уровень противодействия киберугрозам. В США значительно выше, но по ряду направлений и они недооценивают ситуацию.
Все эти показатели характеризуются комплексной оценкой.
Во-первых, очень многое зависит от наличия или отсутствия специального законодательства по противодействию киберугрозам. Например, если есть законодательство, направленное на борьбу с киберугрозами, то это существенно облегчает ситуацию. Во-вторых, в различных странах государственные и финансовые институты имеют специальные регламенты и правила противодействия и предупреждения киберугроз.
И третье — различные ведомства и корпорации, как правило, имеют собственные системы противодействия отраслевого уровня.
Когда эти три уровня правил работают как единая система, то это 50% успеха. Те страны, которые имеют такие системы, например США и Германия, им легче противостоять атакам. И наоборот, в тех странах, где нет таких систем, крупные компании и корпорации вынуждены наращивать собственные силы и ресурсы, чтобы эффективно противостоять угрозам.
Сбербанк сегодня также вынужден идти по этому пути. Мы наращиваем собственные ресурсы в этой области и ожидаем более ощутимую поддержку от государства в части построения нового законодательства.
— Чем вызван такой интерес к России?
— Это не просто интерес к России. Россия сегодня фактически разоружена или, точнее, не вооружена. Простой пример. В России очень лояльное законодательство по всем киберпреступлениям. Доказать, что организованная группа совершила преступление практически невозможно. В нашем законодательстве, например, нет слова "IP-адрес", а есть лишь условный человек, который знает других членов этой группы. Поэтому если злоумышленники общаются по сети, то привлечь их к ответственности по 210-й статье УК РФ (организация преступного сообщества) невозможно.
Первая попытка исправить ситуацию была сделана МВД России несколько недель назад. Впервые в истории к преступной группе, известной под назавнием Lurk, была применена эта статья. Для России этот случай большой прорыв. У нас сейчас можно обнаружить много открытых зон в киберпространстве — приходи и делай что хочешь. Почему? Потому что многие банки и организации не имеют защиты и не инвестируют в ее развитие. В частности, многие банки до сих пор используют только магнитную полосу на эмитируемых картах, это технология 1960-х годов. Не секрет, что это полностью открытая, не защищенная от мошенничества технология.
У нас вопросами расследований киберпреступлений в правоохранительных органах, как правило, занимается Управление К. Количество работающих там офицеров очень незначительно для нашей страны. За прошедшие лет 5—7 их количество не менялось, хотя, так называемый, ландшафт киберпреступлений изменился кардинально.
В 2015 году было ликвидировано пять крупных преступных групп, при этом около 50 человек было задержано на короткий срок. При этом не более 15 человек предстало перед судом, и только двое получили реальный срок заключения. Такая статистика удручает.
В ситуации правового вакуума преступники со всего мира легко проникают в киберпространство России, совершают любые мошеннические действия, зная, что за это их маловероятно кто-то будет преследовать. И даже если каким-то чудом их действия попадут в поле зрения правоохранительных органов, то дело вряд ли дойдет до суда. Это моя личная точка зрения. Так, к сожалению, было до недавнего времени, и я рад что ситуация наконец начала меняться.
На совещании, которое проходило в Сбербанке под руководством премьер-министра России Дмитрия Медведева, обсуждались в том числе вопросы совершенствования законодательства. Премьер-министр сделал свой собственный анализ проблем в этом направлении и поиска путей их решения. Сам Сбербанк при этом не делал конкретных предложений по корректировке законодательства, мы говорили о проблемных зонах, которые очевидны для всех и требуют срочного решения. Обозначенные вопросы не вызвали возражений у участников совещания. Все пришли к выводу, что тема назрела и требует решения.
Было бы правильно, чтобы в нашем законодательстве наконец-то появился термин "киберпреступления", которого сейчас нет.
— Сколько в Сбербанке человек занимается защитой от киберпреступлений? Есть ли среди них международные эксперты? Возможно, вы на работу привлекаете хакеров?
— С моей точки зрения, в мире сегодня существует огромный дефицит кадров в этой сфере — сегодня 20—25 процентов должностей вакантно в крупнейших компаниях мира, которые готовы платить немалые деньги, но специалистов просто нет.
В нашей стране дефицит кадров еще больше. По разным причинам. У нас нет вузов, где готовят специалистов в сфере кибербезопасности, а если и готовят, то это лишь частичная специализация. Речь идет о том, что сегодня надо искать самородков, инвестировать в них средства. Мы считаем, что в нашей стране срочно надо предпринимать меры по подготовке такого рода специалистов.
Что касается Сбербанка, то у нас сегодня из более чем 260 тысяч работников банка чуть больше 20 тысяч — это сотрудники IT-подразделений разной направленности. Непосредственно в сфере кибербезопасности Сбербанка работает чуть более 700 человек. Этого количества достаточно, чтобы решать необходимые задачи. Я не вижу необходимости пока резко увеличивать штат специалистов в этой области.
Для всех сотрудников банка мы разработали специальные правила кибербезопасности, это культура, которая должна появиться во всей стране. Это проблема касается всех возрастных групп — от детей до людей старшего поколения.
— На Сбербанк часто нападают?
— Мы сделали две системы мониторинга атак на банк. Что касается DDOS-атак, то это десятки тысяч попыток пробить нашу защиту в день со всего мира. Наша многоуровневая система защиты отражает такого рода атаки автоматически.
Особо мы мониторим мощные атаки, например свыше 1 гигабита в секунду, это те атаки, которые могут "положить" отдельные системы. Цель таких атак — временная остановка ИТ-системы. Мы отслеживаем их, реагируем на них. Таких атак в прошлом году было зафиксировано 54. За прошлый год мы зафиксировали всего несколько минут остановки отдельных систем работы банка. В конце прошлого года мы ввели системные меры, и на сегодня таких атак уже 57, их мощь растет, но остановок систем не зафиксировано. Мы учимся реагировать на эти атаки.
— Был ли нанесен ущерб Сбербанку в результате остановки отдельных систем?
— Нет, ущерба не было.
— Какие правила у вас есть для сотрудников банка в части кибербезопасности?
— Мы делаем различные ролики, инструкции, лекции, даже специальные учения. Недавно на стратегической сессии руководителей наших головных отделений в регионах мы провели учения, не информируя никого, подготовили специальную рассылку для этих руководителей, где была зашита такая информация: "Ваш сертификат заканчивает действие, вам необходимо перейти по этой ссылке, ввести свой пароль" и так далее.
"Купилось" на такую рассылку в этот раз немного, не более 10 человек. Раньше это была более значительная цифра. Однако жалко, что поступил в этой ситуации правильно только один человек, который сообщил туда, куда надо, что получил сомнительное письмо, и спросил, что делать. И это в нашей организации, где киберкультура уже давно прививается активно. Но из раза в раз учения дают положительные результаты. Сейчас ошибки делают лишь 10% сотрудников, раньше таких было 30—40%.
Вот еще пример нашей работы в этом направлении. Мы месяц назад, собрав большое количество людей и подключив несколько тысяч человек на единый конференц-колл, в течение 3—4 минут наглядно продемонстрировали, как обычно действует хакер и как обычно ведет себя жертва.
На глазах всего зала, используя несложный вирус, заразили компьютер жертвы, что позволило управлять действиями компьютера и дало возможность считать всю необходимую информацию.
Такого рода упражнения показывают всей нашей команде насколько по-новому, правильно и вдумчиво надо соблюдать правила кибербезопасности.
— Какова доля зарубежного и отечественного программного обеспечения у Сбербанка? Или же используется собственное ПО? Учитывался ли международный опыт при его создании?
— Я не могу однозначно ответить на этот вопрос. У нас есть и собственные разработки, которые создает компания "Сбербанк технологии". Есть какие-то смешанные продукты, и их большинство, когда мы покупаем продукты и их доводим или покупаем часть оборудования. Есть и несколько больших программ, которые мы покупали за рубежом, и они вполне эффективно работают.
Но если говорить откровенно, то мы, как страна, достаточно сильно отстали в этой области по той простой причине, что ранее мы не инвестировали свои ресурсы в этот процесс. Ресурсы — это не только деньги, но и знания. Как результат, мы сегодня все вместе в России в роли догоняющего. Вопрос только лишь в том, кто среди этих догоняющих чуть дальше и чуть ближе. Нам еще предстоит очень многому научиться.