Кибербезопасность сбербанк – Лидерство в кибербезопасности – Технологическое лидерство – Обзор результатов – Годовой отчет ПАО «Сбербанк России» за 2017 г.

Содержание

Международный конгресс по кибербезопасности

  • О нас

    О Группе Сбербанк: история создания, ключевые ценности, международная сеть

    x

  • Акционерам и инвесторам

    Финансовые показатели и новости, финансовая отчетность и другая информация для инвесторов и акционеров

    x

  • Социальная ответственность

    Принципы и обязательства, которыми мы руководствуемся при осуществлении своей деятельности

    x

  • Пресс-центр

    Новости и свежая информация о Группе Сбербанк

    x

В июле 2018 года Москве прошел первый Международный конгресс по кибербезопасности, организатором которого выступил Сбербанк при поддержке Фонда Росконгресс, АНО «Цифровая экономика» и Ассоциации банков России.

Это первое мероприятие такого уровня и масштаба, посвященное теме кибербезопасности и противодействия киберпреступности. В работе форума приняло участие более 2250 делегатов из 51 страны мира: России, США, Германии, Великобритании, Швейцарии, Турции, Японии, Китая, Кипра и других. С приветственным словом перед участниками конгресса выступил президент России Владимир Путин, отметив своевременность и важность форума.

В работе форума приняли участие руководители крупнейших российских и иностранных компаний, вендоры продуктов и услуг кибербезопасности, признанные эксперты в этой области.

Конгресс дал возможность для двухсторонних встреч и знакомства с новейшими продуктами в сфере кибербезопасности, представленными глобальными технологическими корпорациями, которые они продемонстрировали на выставке, организованной в рамках форума.

Тематические и технические сессии провели компании Microsoft, Cisco, Huawei, IBM, «Лаборатория Касперского», BI.ZONE, а также международные организации — Всемирный экономический форум (ВЭФ) и Международная организация уголовной полиции (Интерпол).

 
Ключевые цитаты форума

Герман Греф, президент и председатель правления Сбербанка:

«Люди ещё не до конца понимают опасность цифровых следов, которые не стираются. Уровень цифровой грамотности крайне низок. Когда люди выкладывают в Сеть информацию о себе, они предоставляет возможность мошенникам с помощью искусственного интеллекта получить все необходимые данные для манипуляции.

Однажды Рэя Брэдбери спросили: “Почему вы всё время пишете антиутопии о будущем? Вы считаете, что такое мрачное будущее нас ждёт?“ Он ответил замечательной фразой: “Я пишу антиутопии для того, чтобы знать, какого будущего нам избежать“. Поэтому вся наша сессия была посвящена тому, чтобы мы знали, как избежать этого мрачного будущего, в которое никому из нас не хочется».

Станислав Кузнецов, заместитель председателя правления Сбербанка:

«Мы все имеем государственные границы, а киберпреступность границ не имеет. Преступник может атаковать откуда угодно — с корабля или пляжа. Они могут объединяться в разных странах. Иногда это кажется игрой, только результаты другие. И мы пока не готовы противостоять этому. Преступники атакуют в основном финансовые организации. Цели разные: воровство денег — прежде всего, воровство данных — во вторую очередь, но главное — установить контроль над компанией и управлять извне в различных средах. Таким объектом может стать не только банк, но и, например, авиакомпания. Мы подошли вплотную к черте, когда киберпреступность переходит в терроризм».

Евгений Касперский, генеральный директор «Лаборатории Касперского»:

«Сейчас мы столкнулись с революцией 4.0, когда производство напрямую связано с потребителем. Те компании, которые не перейдут на “цифру“, проиграют в конкурентной борьбе тем, кто работает в интернете. А те, кто перешел на “цифру“, должны будут полностью выложить свои потроха в интернет. Самое лучшее — безопасная платформа, которая сама следит за хакерскими атаками. Их взлом очень дорог для преступников. Нужен иммунитет — системы, взлом которых обойдется дороже, чем выгода от нанесенного ущерба».

Мэн Хунвэй, президент Интерпола:

«Куда идут украденные деньги? В течение нескольких часов они отмываются, легализуются. Отследить эти деньги — очень сложная задача. Только сотрудничества полицейских ведомств мало, необходимо создать какой-то единый фронт. Многие полицейские — не очень большие знатоки интернет-экономики. Кто больше в ней разбирается? Провайдеры, те, кто работает в мире интернета. Нужно укрепить наши связи с ними и с общественными организациями, с заинтересованными гражданами. Банки одни из первых заинтересовались проблемой, потому что первыми оказались под ударом».

Марк ван Задельхоф, генеральный директор IBM Security:

«Надо фокусироваться на базовых принципах безопасности — воспитании культуры безопасности. Это нудная, но нужная работа. 55 % взломов — злонамеренное поведение или ошибки инсайдеров, так что хакеры — лишь половина проблемы. Есть четыре аспекта. Первый: надо думать о безопасности как об иммунной системе. У вас есть множество инструментов: логины, пароли, но как сделать, чтобы все они работали слаженно? Необходимо больше использовать искусственный интеллект, сделать так, чтобы лучшие решения в области искусственного интеллекта были более доступны нашим клиентам. Идет борьба — злой искусственный интеллект против доброго. Кроме того, нужно всегда готовиться к тому неизбежному, что произойдет, если вас взломали. И, наконец, критически важно наладить более глубокую коллаборацию. Только трансграничное сотрудничество поможет нам решить проблему».

Пенни Лейн, вице-президент по борьбе с мошенничеством и киберпреступностью Visa Inc:

«Необходимо понимать мотивацию и уровень навыков преступников и правильно распределять ресурсы для борьбы с ними. Киберпреступность будет выбирать наиболее доступную жертву. Если компания будет просто устанавливать обновления на некоторых программах, то 50–80 % кибератак будут для вас неактуальны. Надо сделать так, чтобы преступникам было невыгодно вас атаковать — постоянно совершенствовать ИТ-системы. В компаниях обязательно нужны команды, которые будут заниматься постоянным отслеживанием и анализом. Если у вас в компании нет таких специалистов — обратитесь к другой. Человеческий фактор решающий: ни одни самые современные инструменты защиты не сработают, если нет навыков у людей. Хакеры годами используют одни и те же серверы. Домены, которые они используют, постоянно нужно сносить. Когда мы рушим сеть — разрушаем их бизнес».

Ник Бостром, футуролог, директор Института будущего человечества:

«В физическом пространстве транспарентность будет расти, но в киберпространстве все не так просто — там есть криптография и другие способы защиты информации. Я думаю, социальные нормы должны будут скорректироваться в сторону тотальной транспарентности. В жизни людей должно стать меньше грязного белья — среднестатистический человек будет думать, что он должен вести правильную жизнь».

2017 Сбербанк России. Москва, 117997, ул. Вавилова, д. 19 duplicate duplicate duplicate

Сбербанк проведет Второй международный конгресс по кибербезопасности: Деловой климат: Экономика: Lenta.ru

Второй международный конгресс по кибербезопасности, организатором которого уже второй год выступает Сбербанк, пройдет в Москве 20-21 июня, сообщили «Ленте.ру» в пресс-службе банка. Мероприятие станет ключевым событием Global Cyber Week — международной недели по кибербезопасности, которая объединит под своей эгидой ряд отраслевых форумов.

Тема открывающей работу форума 20 июня пленарной сессии с участием министра цифрового развития, связи и массовых коммуникаций России Константина Носкова и президента Совета по кибербезопасности Германии Ханса-Вильгельма Дюнна — «Путь к глобальной киберустойчивости — только вместе?» Модератором сессии выступит журналист и ведущий эксперт по киберпреступности Миша Гленни.

Отдельная панельная сессия «Стратегии кибербезопасности: Финансовая отрасль» объединит ведущих представителей финансовых организаций из разных стран мира для обсуждения общих вызовов и определения ключевых аспектов взаимодействия в сфере кибербезопасности. Ее модератором выступит заместитель председателя правления Сбербанка Станислав Кузнецов, а ключевыми спикерами станут президент Ассоциации банков России Георгий Лунтовский и вице-президент компании Visa по информационной безопасности Сунил Сешадри.

Темами других панельных сессий и дискуссий станут поиск путей взаимодействия и совместной выработки эффективной международной стратегии сотрудничества государств и правоохранительных структур в сфере борьбы с киберпреступностью, определение ландшафта киберугроз глобальной критической инфраструктуры, а также прорывные технологические достижения в сфере защиты киберсистем.

Планируется также проведение тематических секций с докладами по различным отраслевым направлениям. Среди тем для обсуждения: «Правовые аспекты кибербезопасности», «Возложение ответственности за кибератаки», «Правовое регулирование в безграничном и неуправляемом виртуальном мире — возможно ли это?», «Развитие киберпотенциала», «Обучение кибербезопасности в сфере атомной и электроэнергетики», «Прорывные технологии», «Из мира киберпреступников», «Инвестиции в кибербезопасность».

В рамках форума также пройдет пресс-конференция, посвящённая подведению итогов проекта Cyber Polygon, международного online-тренинг по международной кооперации бизнеса в борьбе с цифровыми угрозами. В ходе пресс-конференции представители организаций-участников представят результаты проведенного тренинга, оценят эффективность подобных мероприятий и обсудят перспективы развития сотрудничества для совместного противостояния киберугрозам.

Завершит работу форума его основная пленарная сессия «Безопасный цифровой мир — будущее или утопия?», в которой примет участие глава Сбербанка Герман Греф. Это ключевое событие мероприятия, где участники форума подведут итоги совместной работы и обсудят перспективы развития в эпоху глобальной цифровой трансформации, а также определят стратегии повышения общемировой устойчивости к глобальным киберугрозам. Сбербанк пригласил на форум 200 студентов профильных направлений ведущих российских вузов.

«Мир априори не может повернуть вспять свое развитие и отказаться от прогресса, от удобств, которое предоставляет ИТ. Соответственно перед профессиональным сообществом стоит задача выработать алгоритмы противодействия киберпреступникам», — прокомментировал задачи форума замглавы Сбербанка Станислав Кузнецов. «Нам необходим проактивный подход, постоянное прогнозное понимание и моделирование будущих технологических трендов. Уверен, что конгресс позволит провести широкий обмен мнениями и наработанными компетенциями в этой сфере», — сказал он.

Специалисты Сбербанка выявили наиболее актуальные угрозы ближайшего времени в области кибербезопасности. Среди главных угроз для систем государственных организаций и частных компаний — фишинг, утечки данных, а также риски, сопутствующие развитию технологий: облачных сервисов, BYOD, искусственного интеллекта, интернета вещей, 5G. Список составлен на основе непрерывного анализа Службой кибербезопасности Сбербанка трендов, лучших практик и отчетов крупнейших компаний.

Первый международный конгресс по кибербезопасности состоялся в июле 2018 года в Москве и объединил свыше 2500 участников из 50 стран. Президент Владимир Путин приветствовал гостей конгресса со вступительной речью.

Сергей Лебедь. Интервью с руководителем службы кибербезопасности Сбербанка

Содержание статьи

Сегодня мы побеседовали с руководителем службы кибербезопасности Сбербанка Сергеем Лебедем, который занимает эту должность с 2015 года. Сергей — кандидат технических наук, ранее преподавал методы и средства защиты информации в МГТУ имени Н. Э. Баумана. Мы обсудили проблемы современного образования, узнали, как Сбербанк проводит массовые ИБ-учения для своих сотрудников и почему специалисты Сбербанка должны уметь мыслить, как хакеры.

 

Об управлении безопасностью

Сегодня существует два основных подхода к управлению безопасностью: регуляторный и риск-ориентированный. Регуляторный подход — «должно быть вот так, делаем все по инструкции». Но, к сожалению, когда появляются новые технологии, технологические вызовы и потребности бизнеса, сторонники такого подхода сразу говорят вам «нет» и внутренние документы говорят вам «нельзя». И что тогда делать? Нужно включать глубокую техническую экспертизу, принимать решения самостоятельно либо делать это на уровне вышестоящего руководителя, обходя существующие правила?

Самый простой пример — облака. Как запустить облачный сервис, если никто не дает тебе гарантий, что это безопасно? Все говорят: «Мы только будем нести ответственность в рамках договорных обязательств, но ничего не гарантируем». Это разные понятия. Как хранить чувствительную, конфиденциальную информацию в облаках, как управлять этой информацией? Как вообще организовывать управление доступом технических служб поставщиков сервиса к вашей конфиденциальной информации или полностью доверять используемым ими механизмам безопасности?

Есть и более сложные примеры, связанные со сложностью самих технологий. Скажем, что такое облачный сервис, якобы не требующий интеграции в инфраструктуру компании? Например, Office 365. На практике это означает, что у вас есть куча «дырок» в инфраструктуре, которые обеспечивают коммуникации со всем миром. И каждой такой «дырочкой» нужно управлять. И далеко не все из них можно контролировать в традиционном смысле. У некоторых закрытый протокол для фильтрации, некоторые криптографически защищены, другие имеют динамически измененяемые порты. Встает очень сложная задача — управление относительно «неизвестными» облачными информационными потоками.

Появляются новые термины и знания, которыми каждый современный специалист должен владеть. Если раньше специалисты оперировали такими привычными терминами, как IP-адреса, порты, протоколы, DNS-имена, то сейчас возникает много новых терминов. Таких как UEBA,TI, EPP, PAM, IRP, SDS и так далее. Мы внимательно следим за всеми новыми знаниями и полезными инструментами и хотим развивать команду таким образом, чтобы иметь лучшую компетенцию в обеспечении кибербезопасности нашего цифрового банка.

 

Об образовании и его недостатках

В декабре 2017 года мы открыли Академию кибербезопасности. В Корпоративном университете Сбербанка прошел двухдневный семинар «Роль кибербезопасности в цифровой организации». В семинаре приняли участие представители рабочих групп программы правительства России «Цифровая экономика», технологических компаний, вузов и дочерних компаний Сбербанка.

Видение Академии следующее: есть классическая пирамида безопасности — правила, процессы, технологии. Кибербезопасность значительно расширяет эту пирамиду по каждому основанию. Такое расширение знаний — это именно то, чем мы хотим делиться и, конечно, усиливать свои компетенции.

Мы организовали работу и партнерские отношения с семью вузами в Москве. Мы помогаем им по всем направлениям. Образование — это очень важно. Я сам десять лет преподавал на кафедре ИУ8 (информационная безопасность. — Прим. ред.) МГТУ им. Баумана.

Проблема нашего образования заключается в том, что специалистов по безопасности не учат IT-технологиям. Нет базы для того, чтобы вообще с ними разговаривать. В свою очередь, IT’шникам ничего не рассказывают про безопасность. Получается, что у нас недоученные IT’шники с точки зрения безопасности и очень слабые безопасники, потому что нет фундамента для IT.

Это огромная проблема. Если сравнить программы вузов, посмотреть, чем занимаются схожие специальности, это абсолютно разные вещи. Какие компетенции есть у преподавателей в вузе, те и наращивают, а обо всем остальном забывают. Это глобальная проблема, которая связана в том числе с низкими зарплатами наших педагогов. Чтобы получать достойную зарплату, нужно иметь загрузку 200% и все возможные ученые степени.

Поэтому ваш журнал — один из «лучей света». Нужно пытаться ликвидировать эту проблему своими силами, силами самих читателей журнала. Чтобы выйти на следующий уровень технической грамотности.

Первый пробел образования — это технические знания, которым никого не учат. Здесь в основе должны быть предложенные рынку интенсивные практические центры подготовки и тренировки. Когда можно на несколько дней погрузить всю команду безопасности и ее руководителей в среду с высокой интенсивностью информационных событий, потоков, атак. Это даже могут быть полигоны реально существующих предприятий, банков, энергетических компаний.

Второй пробел образования — вопросы кибербезопасности в менеджменте современной организации. Раньше менеджмент любой современной компании заключался в том, что руководителю нужно было знать, что собой представляет его продукт, склад, маркетинг, финансы и кадры. В принципе, этого было достаточно, чтобы управлять компанией. Сегодня, с возникновением новых киберугроз, новых форм организации коммуникаций и коллаборации, появляются новые сущности, которыми руководителям любого уровня тоже нужно управлять.

Одна из точек внимания руководителя — управление рисками кибербезопасности. Как предмет для изучения она представляет собой нечто совершенно новое в современном мире, требующее осознания как техническими специалистами, так и самыми высокими руководителями. В середине, между технологиями и менеджментом организации, мы видим большой провал и отсутствие необходимых знаний о безопасности новых услуг и технологий, организации соответствующих процессов и функций. Это может быть тот же блокчейн, облака, безопасность искусственного интеллекта, машинное обучение, биометрия или новые регуляторные требования, например GDPR. Об этом много говорят, но мало кто в России готов прийти и рассказать, что конкретно для этого нужно делать именно в вашей организации.

Очевидно, что у нас также существует множество других пробелов. Простой пример, который я очень часто привожу при разговоре с регуляторами. Наши регуляторы очень часто говорят: «У нас все есть, все документы есть, просто берите и начинайте работу». Я отвечаю: «Хорошо, я представляю маленький или средний бизнес, хочу сделать политику безопасности. Куда мне идти?» Оказывается, идти нужно в американский SANS Institute, один из старейших в сфере информационной безопасности. Шаблоны документов на компанию — все на английском языке. И почему я должен доверять этим документам, их полноте покрытия применительно к моему бизнесу? Почему я не могу найти этого в России?

 

О квалификации в сфере ИБ

По моему глубокому убеждению, специалист по безопасности — прежде всего эксперт в IT. Для IT-компаний существует стандартный подход: сотруднику нужно сдать экзамены, тесты и таким образом подтвердить квалификацию. Но в случае секьюрити-команды это сделать достаточно сложно. Дело в том, что сначала ты должен хорошо знать IT-технологии, а уже потом говорить, что умеешь что-то в сфере безопасности. Иначе это приводит к ситуациям, когда, например, специалист по межсетевым экранам умеет эксплуатировать только само устройство, но не знает, как работает канал связи, как пакеты трансформируются и передаются между сегментами, как происходит сетевая трансляция адресов, обработка трафика на межсетевом экране.

Оценить качество команды кибербезопасности, по моему мнению, очень тяжело. Потому что стандартные тесты — это для IT’шников. Для безопасников тоже существует широкий круг тестов, но областей, где их можно проверить, настолько много, что нет некоего универсального подхода.

У нас в компании разработана своя система. Мы отошли от проверки при помощи тестов и внедрили систему сертификации. «Коллеги, в течение какого-то времени вы должны предоставить сертификаты по соответствующим вашей позиции компетенциям. Где и как вы будете учиться, решать вам. Обучение мы оплатим». И у каждого сотрудника есть четкое понимание, как он подтвердит свою квалификацию. В результате это, конечно, увеличило стоимость обучения сотрудника в разы, но банк пошел нам навстречу, разрешив внедрить такую систему.

Но это все равно очень тяжелый труд. Мы оценили, что подтверждать квалификацию сертификатами на длительном промежутке времени — это тоже достаточно долго, дорого и тяжело. Поэтому следующий способ — это подтверждение квалификации «с рынка». Чтобы экспертное сообщество сказало нам, что мы компетентны. Как это можно сделать? Конференции, журналы, публикации и другая «внешняя жизнь».

Такой путь кажется мне наиболее интересным и жизнеспособным. Хотя в конечном счете все зависит от качества «материала», с которым мы работаем. Например, у сетевых инженеров уходит примерно пять лет, чтобы соответствовать всем стандартам безопасности, которые мы внедрили и приняли. То есть инженер пришел в банк, начал работать, и через пять лет он соответствует тому, что мы хотим видеть с точки зрения экспертизы безопасности. В то же время участие в различных внешних мероприятиях может ускорить этот процесс, создать некую систему ценностей внутри коллектива.

Два года назад первые статьи давались нашим сотрудникам чуть ли не со слезами. Причем это грамотные и умные люди, которые управляют крупнейшей инфраструктурой в стране, но, оказалось, они не могут доступно изложить свои знания. Отчасти это связано с тем, что целеполагание у них направлено на поддержание систем, а не на управление рисками, понимание технических процессов в системе и технических стандартов. Это вопрос повышения технической экспертизы в общем стриме повышения компетенции команды, и это одна из самых главных наших задач. Зачем это нужно? Затем, что мы — крупнейшая цифровая компания и нам очень важно иметь технические компетенции, соответствующие тому бизнесу, которым банк занимается.

Мы повышаем грамотность наших специалистов за счет хакерских скиллов. Для этого мы проводим различные тренинги с российскими и международными центрами, пишем технические тексты и хотим писать еще больше. Мы взаимодействуем с вузами по этим направлениям, и у нас есть собственная RedTeam, которая должна изнутри помогать, усиливать нас своим знанием и пониманием современных угроз и вызовов, а с другой стороны, она же должна нас «раскручивать» и «расшатывать».

 

RedTeam

В этом году мы впервые создали в России RedTeam. Эта команда ломает нашу же службу безопасности, по согласованным методам и сценариям. Есть очень интересные результаты.

Команда RedTeam — это подразделение, которое работает по собственному плану, тестирует безопасность IT-систем, проверяет качество работы нашей собственной службы кибербезопасности. Существует план работы этой команды. Он согласован с нашим курирующим зампредом, Станиславом Кузнецовым. Задача RedTeam — найти уязвимости, реализовать их, не нарушив непрерывность работы банка, показать их. Если служба кибербезопасности отработала, обнаружила уязвимость или «атаку» — все молодцы. Если нет, нужно разобраться, почему так произошло.

В прошлом году мы провели обучение всего коллектива в Москве и частично в регионах. Мы привлекли к этому несколько центров: Pentestit, лабораторию безопасности МГУ, IBM’овский киберцентр в Дублине. Также мы ведем переговоры с несколькими исследовательскими компаниями. Задача — научить наших инженеров, как стать хакерами. Чтобы они думали, как хакеры, и понимали, как действуют злоумышленники.

Если говорить о процессах, то раньше у нас был один процесс, а сейчас двадцать семь процессов в рамках операционной деятельности. В качестве основы мы выбрали операционную модель Security Operation Center, разработанную компанией IBM. Перед этим мы изучили все существующие в мире модели, глубоко погрузились в решения Hewlett-Packard, Dell, Microsoft, Cisco и в итоге выбрали модель IBM, как наиболее зрелую и способную к жизни.

Работа RedTeam очень важна, потому что в прошлом году мы запустили крупнейший в Европе проект по строительству Security Operation Center. Для нас SOC — это не экраны и не консоли управления. Для нас это прежде всего процессы и правила действия наших сотрудников. Для нас это огромная трансформация сознания. Если раньше задача дежурной службы заключалась в том, чтобы подсчитать и доложить, сколько операций на средствах защиты, связанных с внесением изменений, они провели за сутки, то относительно недавно мы начали действительно управлять рисками безопасности в нашей инфраструктуре, и RedTeam помогает отлаживать наши же процессы.

 

О проведении ИБ-учений и их важности

Мы на постоянной основе проводим учения для всех наших сотрудников. Самое распространенное — это фишинговые атаки. Об этом много писали в интернете. Когда приходит письмо от имени главы компании, никто не смотрит на адрес, письмо открывают все подряд. А потом получают уведомление, что это были учения службы кибербезопасности. И всем «двоечникам» назначается наш курс «Агент кибербезопасности». Это четырехчасовой игровой курс, состоящий из нескольких модулей и построенный на геймификации по нашему сценарию.

Также у нас есть командно-штабные учения, в которых участвует все руководство банка. Все сотрудники и руководители банка по специальному сигналу собираются в центре кризисного управления. Мы отрабатываем несколько вводных. Например, одна из вводных — масштабное заражение вирусом-шифровальщиком. Мы смотрим, как наша IT-служба будет планировать восстановление данных. Это поможет расставить приоритеты и понять, что и в какой последовательности нужно восстанавливать. Также руководители должны принять меры по управлению бизнесом в ситуации, когда часть IT-систем или ряд компьютеров пользователей не работают.

В этом году мы дважды проводили такие учения. Учения были полностью засекречены, причем мы начали «атаку» не с обычных пользователей, а с администраторов. У администратора на экране вылетает окно: «Все зашифровано, плати деньги». На самом деле наша программа ничего не шифровала, она только блокировала экраны и имитировала шифрование. То есть, если ввести секретную комбинацию, компьютер возвращался в строй. Об этом мы, конечно, никого не предупреждали заранее.

Несколько сотен администраторов выехали в резервный центр управления, где на специально созданных позициях восстанавливали инфраструктуру. Когда администраторы научились это делать, мы перешли к следующему этапу.
Поначалу администраторы, конечно, и компьютеры отключали-подключали, и из розетки их выдергивали. Теперь, если такая атака повторится, если произойдет что-то подобное, мы знаем, что действия администраторов будут осознанными, это будет не стихийное делание всего подряд.

Киберучения для нас очень полезны. Благодаря таким учениям сегодня мы точно знаем, сколько дней у нас занимает восстановление той или иной части инфраструктуры, в зависимости от масштабов и зараженных элементов, если нас накроет какой-либо шифровальщик. Нужно понимать, что никто не застрахован от подобного, уязвимости есть всегда, особенно уязвимости нулевого дня.

Мы отрабатываем различные сценарии на пользователях. К примеру, это может быть проверка соблюдения правил безопасности при работе с носителями информации. Мы специально разбрасываем флешки, на которых записана специальная программа. И если пользователь откроет содержащийся на носителе файл, мы всегда узнаем об этом. У нас бывают учения в области социальной инженерии, связанные со звонками по телефону и выуживанием конфиденциальной информации. Для этого мы специально обзваниваем наших сотрудников.

Также мы проводим много тренировок с участием нашей RedTeam. Здесь существует много направлений, начиная от несанкционированного подключения к Ethernet и различных действий внутри локальной сети. Мы определяем, через какое время наша служба кибербезопасности обнаружит злоумышленника и обнаружит ли вообще. Какими средствами его обнаружат, как будут работать процессы, какие меры будут приняты.

Есть и более сложные сценарии, например когда не просто имеет место подключение к инфраструктуре, а происходит реальная атака. У нас бывали случаи, когда с помощью одной простой атаки «вскрывали» какую-то другую «незаметную» уязвимость и подрывали устойчивость инфраструктуры, эксплуатируя нечто элементарное.

 

Работа в Сбербанке

Мы приглашаем на работу ребят, которые имеют опыт исследования технологий. Но стоит сказать, что мы ждем «белых» хакеров, «черные» хакеры нам не нужны. Людям с криминальным прошлым тяжело встать на «светлый путь».

Конечно, мы понимаем и признаем необходимость таких высокотехнологичных хакерских компетенций. Именно по этой причине в прошлом году Сбербанк создал дочернюю компанию BI.Zone («Бизон», Безопасная Информационная Зона). Задача этой компании и ее команды — постоянно тестировать наши сервисы, системы и продукты за периметром банка. Там собраны очень интересные специалисты. Я считаю, что это одна из лучших команд в России. В частности, на прошедшей недавно конференции ZeroNights проводился один из крупнейших CTF под эгидой BI.Zone.

BI.Zone была создана специально для того, чтобы иметь внешнюю компетенцию. Эта команда не должна знать ничего об инфраструктуре Сбербанка. При проведении исследований их задача — смотреть на систему так же, как на нее смотрят хакеры. Они не знают о нас ничего и помогают нам следить за всеми нашими «дочками», ведь сегодня в группе компаний их насчитывается более трехсот. Примерно половина из них имеют IT-составляющие и свои сервисы, за которыми тоже нужно присматривать.

Непосредственно Сбербанк — это огромная компания. Говоря о Сбербанке, мы подразумеваем его мобильное приложение, веб-сайт. Но на самом деле Сбербанк — это множество сервисов, которые распространены по всей России и за которыми тоже нужно следить. У нашей компании одна из крупнейших лабораторий в мире для исследования информационных систем. Она имеет специальную лабораторную базу, построенную на оборудовании различных производителей. Она проводит исследования безопасности различных продуктов, как для нас самих, так и для рынка.

 

Наше будущее и перспективы

Основа интернета (TCP/IP, архитектура операционных систем), по сути, не сильно изменилась с начала его существования. Но с точки зрения информационной безопасности проблем будет становиться все больше. Потому что сейчас новая функциональность появляется за счет наращивания объемов кода, вычислительных возможностей, но нет никаких базовых и фундаментальных решений, связанных с безопасностью самой основы. Мы не переходим на IPv6, новые архитектуры, стандарты и протоколы. Поэтому можно сказать, что наша работа будет востребована еще долго.

Нас ждут новые уязвимости, новые атаки, новые интересные события. И конечно, в таких условиях единственное «лекарство» — это технические компетенции и правильно организованная система управления операционной безопасностью. На самом деле в этом нет ничего сложного.

Когда заканчивалась эпоха Windows XP, лично у меня возникло ощущение, что Windows наконец-то стала безопасной. Новых уязвимостей тогда долгое время не обнаруживали, все было спокойно. Но как только поддержка Windows XP прекратилась, начался переход на новую Windows, и вместе с ней появились новые ОС, мобильные платформы. Получили развитие клоны Android, вновь стали находить 0day-уязвимости.

Сейчас появляются новые сущности для управления. И пока не все понимают, что они собой представляют. Та же безопасность смарт-контрактов, о которых многие говорят, но еще больше людей даже не знают, что это такое. Появляются и обсуждаются новые темы, такие как безопасность искусственного интеллекта, безопасность киберфизических систем. К примеру, если с беспилотным автомобилем произошла авария, кто должен нести ответственность? Тот, кто сидел в машине, тот, кто писал программу, или тот, кто разработал этот автомобиль? В этом смысле сфера наших знаний и области профессиональной компетенции будут только расширяться, а значит, нас ждет много интересной работы.

Зампред Сбербанка оценил международное сотрудничество по кибербезопасности

https://static.news.ru/photo/12ec18d0-3c40-11ea-a46d-fa163e074e61_660.jpg
Фото: Сергей Булкин/NEWS.ru

Заместитель председателя правления Сбербанка Станислав Кузнецов в разговоре с корреспондентом NEWS.ru рассказал, как развивается взаимодействие в сфере цифровой безопасности между странами.


Кузнецов в кулуарах «Русского дома» в Давосе отметил, что на государственном уровне в этом вопросе пока мало изменений.

У нас контакты на уровне государственных учреждений и официальных органов достаточно скромные. Они происходят на уровне Министерства иностранных дел, но хотелось бы желать лучшего, — пояснил зампред Сбербанка.

Бизнесу при этом лучше удаётся взаимодействовать с зарубежными партнёрами по кибербезопасности. Причина в том, подчеркнул Кузнецов, что уровень доверия между корпорациями значительно выше.

Скорость изменения в положительную сторону в области сотрудничества по линии кибербезопасности обнадёживает. Форматы, которые мы сегодня активно внедряем, форматы сотрудничества, позволяют нам с большим оптимизмом смотреть в будущее, — заключил зампред Сбербанка.

Мероприятия «Русского дома» на Давосском экономическом форуме стартовали 20 января и закончатся 24 января. Основной задачей ежегодного российского проекта является обсуждение вопросов международного сотрудничества в экономической, культурной и научно-технической сферах. В 2020 году его участники сконцентрируются на проблемах развития цифровых технологий, банковского сектора и социальной сферы.

Как писал NEWS.ru, экономический форум в Давосе станет площадкой, на которой впервые после заочной встречи на полях сентябрьского Климатического саммита ООН в Нью-Йорке столкнутся американский президент Дональд Трамп и 16-летняя экоактивистка из Швеции Грета Тунберг. При этом результат их встречи может быть непредсказуем. 

Кибербезопасность Сбербанка официально подтверждена | СберИнфо

Кибербезопасность Сбербанка официально подтверждена

13 декабря 2017 года Сбербанк был удостоен официального сертификата соответствия по мировым требованиям к кибербезопасноти (ISO/IEC 27001:2013). При этом Сбербанк оказался первым банком в России, получившим данный документ, что подтверждает надежность системы.

Сертификат выдан BSI (Британским аккредитованным институтом стандартов), который занимается проверкой банковских систем по всему миру. Данный стандарт определяет главные требования к разработке, внедрению, контролю непосредственного обслуживания системы и улучшению отельных аспектов безопасности. Также стандарты включают в себя требования к оценке определенных рисков и обработке поступающей информации.

Образцы сертификатов соответствия

Станислав Кузнецов, заместитель председателя управления банком, заявил, что организация постоянно работает над улучшением цифровых услуг, разрабатывая новые методы защиты от киберугроз. «Правила современного мира подразумевают наличие высоких показателей работы с цифровыми продуктами. Кибербезопасность – важнейший аспект в работе.» – заявил он.

Поделитесь с друзьями!

Как Сбербанк защищает свой сетевой периметр, рассказали сотрудники Центра кибербезопасности банка

В конце февраля в Университете ИТМО завершилась Зимняя школа «Тебе решать!». Генеральным партнером Университета ИТМО в проведении школы стал Сбербанк. Алексей Волощук – руководитель петербургского филиала Центра кибербезопасности Сбербанка и сотрудник центра Владислав Верусь в ходе открытой лекции рассказали участникам Зимней школы о том, как Центр борется за чистоту периметра.

Офис Сбербанка. Источник: ria.ru

Защита периметра корпоративной сети

В Санкт-Петербурге базируется филиал Сбербанка, который занимается одним из направлений кибербезопасности – безопасностью на периметре банка. В попытках обеспечить жизнеспособность компании службы безопасности фокусируют свое внимание на защите сетевого периметра – сервисов, доступных из интернета. Защита периметра корпоративной сети остается обязательным элементом информационной безопасности организации и важной составляющей многоуровневой системы, помогающей свести к минимуму внешние угрозы. Решения для защиты периметра позволяют предотвратить атаки на IT-ресурсы и обеспечить безопасный доступ сотрудников компаний во внешние сети, а авторизованных удаленных пользователей — к корпоративным ресурсам.

«Периметр – это не просто линия на рисунке, отделяющая один сегмент сети от другого, это сложный механизм в большой организации Сбербанка. Периметр существует и у маленьких фирм – размер организации не важен. Однако периметр в большой организации — это сложный организм, он состоит из людей, которые в нем работают, программного обеспечения, оборудования и процессов, на которых все завязано. Процессы – важный элемент: можно набрать крутых специалистов, но, если нет процессов, можно все сломать. Процессы отвечают за связи между людьми, оборудованием и другими элементами системы», – прокомментировал руководитель петербургского филиала Центра кибербезопасности Сбербанка Алексей Волощук.

Владислав Верусь о направлениях защиты периметра

Периметр – это комплекс мер и мероприятий, которые проводят, чтобы нивелировать негативные воздействия не только в программно-аппаратном комплексе, но и в сфере персонала. Мы выделяем несколько основных направлений в организации, которые должны присутствовать в рамках работы на периметре.

Важное направление – сервис защиты веб-приложений Web Application Firewall (WAF), он расположен на прикладном уровне модели OSI и детектирует атаки на уровне приложения (WAF позволяет обнаружить и блокировать атаки на веб-приложения, которые пропускают традиционные межсетевые экраны и системы обнаружения вторжений). Этот инструмент позволяет обнаружить скриптинг (тип атаки на веб-системы) и подобные уязвимости, а также их эксплуатации.

Два других направления – системы IDS и IPS, которые используются сегодня во многих компаниях. В частности, они направлены на детектирование и логирование события информационной безопасности на внутреннем и внешнем сегменте организации. Многие компании используют систему IDS, чтобы в дальнейшем разбирать то, что было задетектировано. Система IPS, в свою очередь, при корректной настройке может при обнаружении события применить активные блокирующие контрмеры. Настраивать систему нужно очень чутко, так как она должна в режиме реального времени с минимальной задержкой реагировать на возможные проявления, которые фиксирует.

Еще одно направление – современное поколение Firewall – Next-Generation Firewall. Это тот комплекс мер и мероприятий, который мы должны провести, чтобы поставить новейшие разработки, которые включают огромное количество систем и функций, направленных на контроль доступа к данным и ресурсам, а также мониторинг. Такими системами внутри Firewall могут быть Firewall первого и второго поколения и другие. Здесь важно понимание, как наш внутренний пользователь использует ресурсы в сети Интернет.

Еще один столп безопасности – защита от DDoS атак. Для этого точно настроены анализаторы трафика и фильтрация трафика. При этом должна быть возможность не только полагаться на автоматическую систему фильтрации, но и способность вручную корректировать механизмы защиты во избежание непредвиденных последствий от успешной реализации атаки.

Также у нас существует практика, когда поступает сообщение о том, что на какой-то из ресурсов совершена атака. Мы интересуемся о ресурсах на рабочем месте, применяем методы, проводим глубокий постанализ.

Не стоит забывать, что работают люди, и к ним тоже надо присматриваться. 70-80 % всех бед происходит именно из-за человеческого фактор, ведь никто не застрахован от той же инсайдерской информации, поэтому следует держать руку на пульсе. Случается такое как и намеренно, так и по незнанию. Необходимо повышать уровень культуры и осведомленности персонала в области информационной безопасности. Защита на периметре —  это не единожды настроенная сеть защиты, это постоянно прогрессирующая система, нуждающаяся в регулярном мониторинге и закупке нового оборудования. Для этого нужен высококвалифицированный персонал.

«Есть специальные команды, которые тестируют уровень защиты периметра. По сути, сотрудники сами себя атакуют, разрабатывая сценарий атаки и отслеживая, как периметр отреагирует на то или иное действие, оценивается корректность выстроенной защиты. Особенно интересно, когда появляются новые типы атак. Мы должны вовремя перестроиться, если этого требует ситуация. Например, в прошлом году мы работали с волновыми типами атак, это интересный тип атак, с помощью которой систему защиты пытаются вывести из стабильного состояния. Из забавных – на Web Application Firewall обнаружили атаку, которая по интенсивности была безвредная, однако злоумышленник оставил сообщение “Проклятые капиталисты”», – заключил Алексей Волощук.

Сбербанк запускает Академию кибербезопасности

В день восемнадцатый декабря года две тысячи семнадцатого, в день, когда в центре инноваций был открыт посмертный памятник вирусу Petya/NotPetya/Neytya, созданный на деньги компании «Инвитро», пострадавшей от этой угрозы, в тихой и спокойной загородной обстановке была анонсирована Академия кибербезопасности Сбербанка, новая программа обучения, которую главный банк страны будет продвигать в России.

Как и надгробный камень вирусу, установленный за пределами столицы, так и Академия каибербезопасности свое начало взяла в прекрасном месте Подмосковья, в корпоративном университете Сбербанка. Кстати, прекрасное место для проведения корпоративного обучения. Именно обучения. Конференции там проводить, на мой взгляд, не очень удобно. От Москвы далековато, да и никаких «культурных» заведений вокруг нет (конференции ИБ славятся высокой культурой). А вот для обучения, на которое и рассчитана Академия, — это прекрасное место. Тихое, спокойное, со спортзалом, бассейном и СПА, местом для прогулом и занятий на свежем воздухе. Я был первый раз в этом месте и был приятно удивлен.

«Ищи сосульку с шарами», — примерно так меня напутствовали организаторы, чтобы найти на огромной территории корпоративного университета место проведения Академии. Сосулька была найдена, обучение началось вовремя и его куратор, широко известный в узких кругах Алексей Качалин, представил концепцию того, что в будущем может стать достаточно значимой частью российской системы обучения ИБ.

В отличие от большинства привычных нам конференций по ИБ, в которых достаточно часто отсутствует единая концепция и программа, Академия кибербезопасности подчиняется строгой идее — трехуровневая программа — для бизнес-руководителей, для руководителей среднего звена, преимущественно из области ИТ и ИБ, и технологический стек.

Относясь к системе дополнительного образования, Академия при этом отличается от обычной переподготовки или повышения квалификации. Тому есть несколько причин:

  • желание организаторов (не зря Сбербанк стал центром компетенций по ИБ в рамках пока еще (а возможно и совсем) не взлетевшей цифровой экономики) заниматься улучшением образования ИБ в России, несвязанным никакими ФГОСами, регуляторами и т.п. Примерно такую же идею двигает «Код ИБ. ПРОФИ» (на него, в отличие от Академии кибербезопасности Сбербанка, попасть может каждый и уже скоро).
  • ресурсы (и площадка, и деньги имеют немаловажное значение)
  • компетенции (не секрет, что Сбербанк спылесосил множество специалистов по ИБ, и там есть кому участвовать в формировании программы)
  • куратор (за программу отвечает Алексей Качалин, который обладает не только знаниями по ИБ, но и опытом преподавания в МГУ, что немаловажно при запуске системы обучения).

Первый выпуск был сформирован в очень сжатые сроки. Когда эта тема обсуждалась еще в ноябре, я был уверен, что запустить эту программу в столь короткие сроки невозможно. Но в середине декабря был дан старт и мероприятие (пусть и не без отдельных огрехов) прошло на мой взгляд очень успешно. Несколько десятков участников ознакомились с практическими (это еще одно из отличий Академии кибербезопасности — читаются далеко не теоретические темы) подходами в области:

  • управления рисками (на основе методологии, разработанной в Сбербанке)
  • повышения культуры ИБ и обучения (офигенный доклад был)
  • формирования киберустойчивости
  • методов, используемых злоумышленниками («А еще у нас на мероприятии будет живой хакер. Его можно будет потыкать палочкой», так был представлен CSO BI.ZONE Евгений Волошин) 
  • непрерывности процесса SecOps (тут и новые подходы, и управления инцидентами на примере SOC Сбербанка, и перспективные технологии для мониторинга ИБ)
  • DevOps (на примере процесса разработки в Сбербанке)
  • борьбы с мошенничеством (было очень интересно послушать представителей подразделения антифрода с трехчасовым обзором методов мошенников и методов борьбы с ними, местами вполне себе инновационными).

Может сложиться впечатление, что программа рассчитана только на банки или, даже хуже, только на Сбербанк и его дочерние предприятия. Отчасти первый выпуск таким и был, что связано было с кратчайшими сроками запуска программы. Последующие выпуски должны быть более нейтральными и на них планируется приглашать не только сотрудников Сбера (судя по предварительно проговоренным именам они будут очень достойными).

ЗЫ. Я выступал на Академии с обзором технологий кибербезопасности, которые могут стать востребованными в горизонте до 2025 года; именно такой срок часто упоминается в планах и стратегиях развития Сбербанка.

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *