SafeInspect – передовой подход к обеспечению безопасности банков
«Наша система контроля за действиями привилегированных пользователей SafeInspect способна работать распределенно, но в то же время централизованно аккумулировать информацию со всех серверов».
О том, как работает эта система, в чем ее преимущества перед аналогичными системами других производителей, и о том, какие задачи она помогает решать банковским организациям, рассказал в интервью NBJ директор по развитию бизнеса компании «Новые технологии безопасности» Михаил РОМАНОВ.
NBJ: Михаил, какие главные вызовы, по вашей экспертной оценке, сейчас стоят перед финансово-кредитными организациями в сфере информационной безопасности?
М. РОМАНОВ: Наверное, я не буду оригинален, если скажу, что для банков один из главных рисков – это потеря репутации. При неблагоприятном раскладе организация рискует потерять не только деньги, но и клиентов, и даже лицензию на осуществление банковской деятельности. Именно поэтому банки традиционно уделяют проблемам обеспечения защиты информации больше внимания, чем, например, промышленные предприятия.
Но при этом надо понимать, что риски в сфере ИБ постоянно растут и видоизменяются – в немалой степени это связано с тем, что сейчас все банковские операции переходят в «цифру». Уже никого не удивляет тот факт, что в онлайн-режиме можно и взять кредит, и открыть вклад, и совершить платеж, и документооборот в самих банках тоже становится преимущественно электронным, и коммуникации между различными его подразделениями и сотрудниками осуществляются цифровым образом. Это, с одной стороны, открывает для кредитных организаций новые возможности, с точки зрения оптимизации и повышения уровня эффективности своего бизнеса, а с другой, создает благодатное «поле» для злоумышленников.
Кстати, если уж мы говорим о хакерах, то стоит отметить, что их профессионализм растет, технологии, которыми они пользуются для взлома банковских систем, становятся все более совершенными. Это обстоятельство тоже необходимо учитывать, и необходимо понимать, что, раз ситуация усложняется, то неизбежно придется больше работать над преодолением новых вызовов.
NBJ: У вашей компании есть линейка продуктов SafeInspect, которая включает в себя систему контроля за действиями привилегированных пользователей. Расскажите подробнее о ней.
М. РОМАНОВ: Это продукт предназначен именно для контроля действий сотрудников, которые наделены более широкими полномочиями, чем обычные пользователи. Почему мы сконцентрировали свое внимание именно на них? – Потому, что за последние несколько лет банковский рынок существенно изменился. В начале своего пути банки были преимущественно небольшими, уровень их автоматизации, как легко догадаться, оставлял желать лучшего, и поэтому системных администраторов можно было пересчитать на пальцах одной руки. Сейчас ситуация принципиально иная: организации стали неизмеримо больше, их компьютерные сети так же выросли, соответственно, увеличилось количество администраторов, причем как внутренних, так и внешних. Распространенной стала картина, при которой в штате банка состоят 40 администраторов, и еще примерно столько же работают «на стороне» - это сотрудники компаний-вендоров и интеграторов, получившие привилегированные права доступа к системам в рамках реализации каких-либо проектов. Иногда проекты осуществляются в течение трех-четырех месяцев, после чего такие администраторы должны утрачивать права доступа, но на практике зачастую этот аспект остается вне контроля со стороны банков.
Другой весьма распространенный «кейс»: есть система, которая управляет правами пользователя, но администраторы при этом работают по другим протоколам, то есть, проще говоря, они входят в систему другими способами. Возникает своего рода «дыра» в системе информационной безопасности, и далеко не всегда банки отдают себе в этом отчет. Мы, со своей стороны, предлагаем им решение, которое призвано закрыть эту «дыру».
NBJ: Каким образом?
М. РОМАНОВ: Во-первых, мы можем обеспечивать полную аутентификацию и идентификацию в администраторских протоколах. Это очень важный момент, поскольку мы неоднократно сталкивались с такой практикой: администраторский аккаунт один, а доступ к нему имеют пять-шесть человек. Предположим, что была совершена ошибка – как вы определите, кто конкретно из привилегированных пользователей ее совершил, если они использовали для входа в систему один и тот же логин и один и тот же пароль?
NBJ: Никак.
М. РОМАНОВ: Это в случае, если вы не используете нашу систему контроля за действиями таких пользователей. Она фактически играет роль «прокси», то есть идентифицирует входящих и полностью записывает все их действия. Вся полученная информация хранится в защищенном виде, с временными отметками, и может использоваться в суде в качестве доказательной базы.
NBJ: Банки понимают, что им нужна такая система для повышения качества своей информационной защиты?
М. РОМАНОВ: Утверждать, что все они понимают это, было бы неправильным, но я должен сказать, что эта тема с каждым годом становится все более «раскрученной». В немалой степени этому способствуют те инциденты, которые имели место в последние несколько лет: например, достаточно широкую огласку получил скандал, возникший после того, как были украдены административные учетные записи одного из очень крупных онлайн-магазинов. Непрямой ущерб пострадавшей организации оценивался в миллиард долларов, а прямой ущерб – в сумму порядка 30-40 млн долларов. Мы понимаем, что далеко не все компании могут позволить себе «пережить» такие убытки – для некоторых они могут стать критическими, и особенно это справедливо, когда речь идет о банках, которые должны поддерживать на должном уровне свой капитал.
Не буду скрывать, что в некоторых случаях мы сталкиваемся с противодействием со стороны внутренних администраторов, которые уверены, что предназначение нашей системы – в том, чтобы следить за ними. На деле же речь идет, скорее, о контроле за действиями внешних администраторов, а таких, по результатам последних исследований, в организациях обычно от 45% до 60% от общего числа. После таких объяснений люди обычно начинают понимать, что и как, и, попробовав нашу систему в действии, они убеждаются, что она реально облегчает им жизнь, а банкам обеспечивает дополнительную защиту.
NBJ: Михаил, как бы вы сформулировали главные преимущества именно ваших систем по сравнению с аналогичными решениями?
М. РОМАНОВ: PAМ-системы (PrivilegeAccountManagement) условно можно разделить на две категории. К первой категории относятся решения, предусматривающие установку в компании клиента специального терминального сервера и (или), как правило, маленького клиента на самом компьютере пользователя (похоже на keylogger). С помощью этого сервера (или установленного клиента) делается скриншот каждого нажатия клиентом на клавиши, потом на основе этого формируется «картина мира» - то есть, устанавливается, какие команды клиент набирал на клавиатуре. И все бы хорошо, но обмануть такие системы довольно просто.
Системы второй категории обойти намного сложнее, поскольку они работают по технологии «man-in-the-middle» - человек в середине. То есть, мы представляемся клиенту сервером, а серверу – клиентом. Это более правильный подход, поскольку он позволяет нам видеть все, что происходит в основном канале и субканалах, и к тому же, на администраторском рабочем месте в случае установления нашей системы ничего не приходится менять - администратор может легко отключить «клиента», устанавливаемого на его компьютер. Наша система устанавливается за 20 минут и способна работать распределенно, но в то же время централизованно аккумулировать информацию со всех серверов, обеспечивая также и проактивный контроль вводимых в канале команд или передаваемых файлов.
Беседовала: Анастасия Скогорева
"Национальный банковский журнал" | Март 2017