Обзор подготовлен

версия для печати
Юрий Лысенко
РосЕвроБанк

Юрий Лысенко:

Я знаю банки, где информационная безопасность приносит прямую прибыль

На вопросы CNews Analytics отвечает начальник управления информационной безопасности «РосЕвроБанк» Юрий Лысенко.

CNews: По вашему мнению, насколько бизнес банка зависит от ИТ и средств обеспечения информационной безопасности?

Юрий Лысенко: Любой, даже самый небольшой банк, очень сильно зависит от информационных систем и технологий, используемых в нем. В первую очередь ИТ влияют на весь процесс ведения бизнеса, на скорость предоставления банком услуг своим клиентам. Так, по оценке экспертов РБК, колл-центр нашего банка вошел в пятерку лучших среди российских банков! Это говорит о том, что наш колл-центр имеет не только грамотный персонал, но и отлично развитую техническую базу. Это помогает очень быстро найти интересующую клиента информацию. Без применения ИТ-технологий такого результата достичь было бы в принципе невозможно!

Кроме того, по результатам исследования "Индекс впечатления клиента-2008: кто лидирует в розничном банковском бизнесе в России?», проведенного аудиторской компанией «PricewaterhouseCoopers» и маркетинговой компанией Senteo, «РосЕвроБанк» вошел в ТОП-20 самых клиентоориентированных банков России. Естественно, без налаженных ИТ технологий мы бы не получили столь лестные отзывы по обслуживанию от наших клиентов.

Что касается средств по обеспечению информационной безопасности, они должны присутствовать в любом банке. И главное их предназначение  - управление рисками потери информации, для снижения вероятных временных простоев, связанных со сбоем оборудования в результате возникновения инцидентов в области ИБ. Ну, и, конечно же, продукты информационной безопасности нужны для защиты конфиденциальных данных наших клиентов от утечки, используемых, в том числе, и недобросовестными конкурентами банка. Охраняют они также банковскую тайну и персональные данные сотрудников самого банка.

CNews: Не преувеличивается ли роль и значение ИБ финансовыми регуляторами, на ваш взгляд?

Юрий Лысенко: На мой взгляд, не только не преувеличивается, но даже, можно сказать, недооценивается. Ведь банки владеют наиболее массивным объемом конфиденциальной информации, утечка которой грозит самыми серьезными последствиями, как для самого банка, так и для его клиентов.

Речь идет не только о необходимости защиты персональных данных клиентов, но и о перечне информации, составляющей банковскую тайну (платежи, проводки, движение средств по счету). Соответственно для банка такой инцидент чреват потерей репутации, оттоком клиентом и финансовыми потерями для банка.

CNews: Можно ли говорить, что ИБ в банке скорее затратная часть, нежели приносящая прибыль деятельность?

Юрий Лысенко: В каждом банке по-разному. Я знаю банки, где информационная безопасность приносит прямую прибыль, но это связано с тем, что некоторые аспекты работы с клиентами возложены на подразделения ИБ. Например, это генерация ключей для клиентов систем «клиент-банк».

Эта услуга платная, за нее платят деньги. Соответственно, когда этой операцией занимается служба информационной безопасности, она приносит прямую прибыль. В других же случаях это, как правило, считается затратной частью. Но это лишь отчасти так.

На самом деле затраты на обеспечение ИБ ведут к снижению рисков потери конфиденциальной информации и финансовых рисков, и как следствие снижают убытки банка, связанные с возможными инцидентами в области ИБ.

CNews: Какие наиболее актуальные проблемы приходится решать службам безопасности в финансовых институтах?

Юрий Лысенко: Наиболее актуальная проблема – защита конфиденциальных данных клиента. Это наиболее уязвимое место банков, которое выливается в наибольшие финансовые потери.

Вторая проблема – поддержание работоспособности технических систем банка с тем, чтобы вся ИТ инфраструктура работала без сбоев и не тормозила бизнес-процессы.

CNews: Считаете ли вы оправданным в российских условиях введение системы обязательного раскрытия фактов информационных утечек?

Юрий Лысенко: В российских условиях введение такой практики я считаю несколько преждевременным, если судить по уровню зрелости российского бизнеса. На сегодняшний день процесс развития последнего в нашей стране пока не достиг той стадии, когда обязательное раскрытие информационных утечек несло бы благо как самим компаниям, так и их клиентам.

Здесь скорее России можно позаимствовать у Запада практику уведомления клиентов банка о факте утечки их конфиденциальной информации. Клиент имеет право знать о том, что его конфиденциальная информация может быть под угрозой, и она нуждается в защите.

И ведь информирование клиентов об инциденте далеко не всегда угрожает имиджу банка – даже наоборот, факт уведомления при правильном подходе  может быть демонстрацией клиентоориентированности банка. А также свидетельствовать о том, что банк предпринимает максимум усилий к защите скомпрометированной информации. Клиент понимает, что о нем думают и заботятся!

CNews: Ощущаете ли вы изменения в характере и количестве информационных угроз?

Юрий Лысенко: Изменения в характере не столь велики, а количество угроз продолжает расти год от года, с развитием новых ИТ-технологий. На первое место за последние пару лет вышли внутренние утечки конфиденциальной информации. Они основательно обогнали внешние угрозы (хакерские атаки, вирусные, спам-атаки).

Именно утечки информации, инициированные инсайдерами, приносят финансовым организациям наибольшие потери. И в этой связи меня искренне удивляет, что российские страховые компании до сих пор всерьез не озадачились проблемой внутренних угроз ИБ, хотя для них внутренние угрозы чреваты прямыми денежными убытками.

Недобросовестные конкуренты с помощью добытой конфиденциальной информации могут легко увести клиентов страховой компании или банка, предложив более выгодные условия страхования или кредитования. Российские банки в этом вопросе более продвинуты.

CNews: Какими критериями руководствовалась службы ИБ при выборе новых решений? Используются ли при этом элементы риск – менеджмента?

Юрий Лысенко: Если мы говорим о внутренних угрозах информационной безопасности, то при выборе средств защиты основным условием был поиск комплексного решения. Оно должно позволять контролировать все возможные каналы утечки – интернет, электронную почту, съемные носители, печатные устройства – т.е. все те участки, где информация может покинуть пределы информационного периметра компании.

Кроме всего прочего это еще и экономически выгодно, т.к. самая затратная часть - первичные затраты по установке и внедрению, дальнейшие же вложения уже не так велики. Именно по этим критериям для внедрения в нашем банке было выбрано одно из решений для защиты от внутренних угроз ИБ компании InfoWatch.

При этом нужно было охватить все подразделения, т.к. утечка может произойти с любого участка корпоративной сети. Цели внедрения были в целом достигнуты, однако в процессе реализации проекта была выявлена и несовместимость решения InfoWatch с программными и аппаратными системами, ранее установленными в нашем банке. Поэтому продукт прошел доработку под наше предприятие.

Конечно же, в какой-то степени в этом процессе использовались и элементы риск-менеджмента. Вообще обоснованием внедрения того или иного решения в области ИБ является «презентация» реальных примеров утечек и моделирование реально произошедших инцидентов на рынке на примере своего банка. А также моделирование последствий утечки (с просчетом, сколько банк в денежном выражении может на этом потерять).

CNews: Как бы вы оценили соотношение технических и организационных затрат на ИБ?

Юрий Лысенко: Организационные затраты очень важны, ведь необходимым моментом является обучение пользователей. В финансовой организации должна поддерживаться общая атмосфера информационной безопасности с тем, чтобы сотрудники владели основами ИБ: начиная с таких банальных вещей, как блокировка компьютера перед покиданием рабочего места.

Вот, например, выходя из дома, мы же закрываем входную дверь квартиры? При этом почему-то большая часть персонала офисов считает нормой, покидая рабочее место, оставлять компьютер незаблокированным. А ведь ущерб банку в таком случае может в десятки раз превышать ущерб хозяину квартиры от незакрытой входной двери. Мы с этим активно боремся!

Есть и другой ряд организационных мер, которые могут применяться в финансовых учреждениях. Так наш банк недавно провел конкурс среди сотрудников «РосЕвроБанка» на лучший слоган по информационной безопасности. Было прислано 132 варианта. В результате внутрибанковского голосования были выбраны и награждены победители.

Конкурс был проведен для того, чтобы сотрудники почувствовали важность и необходимость обеспечения ИБ в банке, чтобы прониклись чувством ответственности за конфиденциальную информацию, с которой они работают.

Сейчас готовятся информационные плакаты с 10-ю лучшими слоганами, будут сделаны скрин-серверы. Все это делается для того, чтобы сотрудники помнили: на них лежит большая ответственность, и нельзя нарушать требования ИБ.

При этом соотношение технических и организационных мер в финансовых учреждениях должно быть равнозначным. Конечно, мы доверяем своим сотрудникам, но при этом задача службы ИБ – контроль соблюдения ими требований ИБ!

CNews: Удовлетворены ли вы качеством работы применяемых решений? Планируется ли дальнейшая модернизация ИТ и ИБ систем?

Юрий Лысенко: Как я уже говорил, один из основных рисков организаций банковской отрасли – риск утечки конфиденциальных данных – информации, составляющей банковскую тайну и персональных данных клиентов банка.

Для защиты от этого вида угроз ИБ на данный момент в процессе внедрения в нашем банке находится решение российской компании InfoWatch. Это один из лидеров отечественного рынка средств защиты от внутренних угроз, поставляющий комплексные решения по информационной безопасности.

Уже внедрен один из модулей контроля передачи информации. На стадии внедрения находятся модуль контроля движения информации в сеть интернет, в том числе веб-почты, форумов и чатов, а также модуль контроля работы пользователей со съемными устройствами хранения информации и данными, выводимыми на печать.

Параллельно идет процесс обновления и усовершенствования внедренных решений InfoWatch, поскольку сама компания постоянно работает над развитием своих систем защиты, учитывая пожелания клиентов.

Наше плодотворное сотрудничество началось в 2006г.  Решения данной компании нас полностью удовлетворяют, позволяя «РосЕвроБанку» перекрыть все возможные каналы утечки информации. А решающими факторами при  выборе новых программных продуктов InfoWatch стали комплексность защиты и великолепная поддержка клиентов. Но, естественно, мы работаем и с иными вендорами в других сегментах безопасности.

CNews: Как у вас в банке поставлен процесс обучения соответствующего персонала?

Юрий Лысенко: Во-первых, каждый новый сотрудник, приходящий в «РосЕвроБанк» на работу, проходит инструктаж у специалиста Управления по информационной безопасности. Новичку рассказывают о существующих в банке правилах в области соблюдения ИБ (правила работы за компьютером, с электронной почтой, в сети интернет). А так о том, какая информация составляет коммерческую и банковскую тайну – это составляет как минимум часовой курс обучения основам ИБ.

В случае возникновения какой-либо выявленной внешней или внутренней угрозы ИБ, управление информационной безопасности рассылает информационные письма. Также проводится периодический аудит системы безопасности, в том числе контрольные проверки сотрудников с использованием методов социальной инженерии. После чего до всех сотрудников доводятся результаты данной проверки. В итоге можно сказать, что мы  активно практикуем систему дистанционного обучения основам и специфике ИБ на предприятиях банковского сектора.

CNews: Спасибо.

Toolbar | КПК-версия | Подписка на новости  | RSS