— Сергей, что сейчас подразумевается под «черным входом» в банк?
Сергей полунин: Современный банк — это не только и столько здание, куда люди приходят решить свои финансовые вопросы, а огромная ИТ-инфраструктура, десятки подрядчиков, колл-центры, разработчики приложений, интеграторы, все это обслуживающие, и еще десяток сервисных подразделений, решающих узкие задачи.
И если «входная дверь» банка контролируется очень хорошо и регуляторы следят за исполнением своих требований к безопасности, то ко всем остальным зачастую есть вопросы.
Условная клининговая компания, которая обеспечивает чистоту в банке, вряд ли проходит подробный аудит, а между тем ее сотрудники оказываются на территории банка. Поэтому атаки на банки, как правило, идут не в лоб, а через такие вот черные входы.
В прессе и литературе вы могли видеть термин «атака на цепочку поставки», т. е. атака на какой-то элемент системы, который не имеет прямого доступа к данным. Это могут быть подрядчики по разработке ПО, сервисы дистанционного обслуживания, интеграторы, облачные провайдеры и даже вышеупомянутые клининговые компании.
- В чем заключаются особенности защиты банков в работе с подрядчиками и партнерами?
Сергей Полунин: Ключевая особенность — это размытые границы ответственности. Формально вы отдали все данные банку, но по факту они обрабатываются разными партнерами разной степени добросовестности.
Более того, техническая интеграция куда сложнее, чем юридический договор.
А цепочка таких подрядчиков может быть крайне длинной. За вывеской крупного системного интегратора могут скрываться десятки субподрядных организаций. Поэтому современная защита — это не только собственно техника, но и всевозможные методы защиты от тех, кого напрямую проверить мы не можем.
- Можно ли утверждать, что человеческий фактор до сих пор остается самым уязвимым звеном в защите банков?
Сергей Полунин: Да, и чем дальше, тем более это очевидно. С техникой мы как-то можем справиться, принимая те или иные архитектурные решения, иногда в ущерб удобству. Но вот человеческую природу переделать крайне трудно, если вообще возможно.
Если учитывать количество людей, участвующих в обслуживании отдельно взятого банка, это уязвимое звено имеет колоссальные размеры. И оно проявляется даже не в том, что люди подвержены фишингу, несоблюдению политик или передаче своих токенов коллегам. А в банальной халатности, с которой сделать ничего невозможно. На низовом уровне, скорее всего, со временем нам поможет ИИ, но доверить ему что-то серьезное пока вряд ли можно.
- Можно ли считать, что банк или другая компания, которая отвечает за чужие деньги, должны брать на себя больше ответственности, а не рассчитывать, что партнеры сами могут нести свой кусок ответственности в этой сфере?
Сергей Полунин: С точки зрения клиентов банка — безусловно. Клиент доверяет деньги банку, а не цепочке подрядчиков.
Поэтому как раз задачей банка остется ответственность за проверку своих партнеров и подрядчиков, контроль и выставление все новых требований к надежности систем.
Мы должны понимать, что если банк возьмет на себя ответственность на 100%, то у партнеров будет нулевая мотивация что-то делать для организации защиты обрабатываемых данных. Поэтому, скорее всего, правильный подход — это все-таки распределение ответственности, но с жесточайшим контролем со стороны банка.
