ИБ в финансовом секторе: эксперты — о пути к технологическому суверенитету

Модератором сессии «Банки и финансы» на BIS SUMMIT 2024 выступил заместитель начальника Департамента защиты информации «Газпромбанка» Алексей Плешков. Он призвал участников дискуссии экспертно оценить ландшафт поставленных перед отраслью задач, связанных с выполнением указов Президента №166, №250 и №500.

Опыт импортозамещения
в банковской отрасли

Старший управляющий директор — директор Центра киберзащиты Сбера Сергей Валуйских рассказал о том, что к моменту появления 250 указа доля отечественных ИБ-решений в ИТ-инфраструктуре Сбербанка уже составляла более 50%. Например, банк давно использует российскую систему защиты от DDoS, которая обеспечивает безопасность нескольких тысяч его онлайн-сервисов. Кроме того, еще с 2018 года в организации ведется разработка собственных средств защиты: например, технологической платформы для функционирования Security Operation Center (SOC).

Когда же были опубликованы указы и установлены сроки их соблюдения, Сбер сформировал «тепловую карту», распределив необходимые для импортозамещения ИБ-решения на три группы. В первую группу вошли уже внедренные в банке отечественные продукты и собственные разработки – их можно было развивать в рабочем режиме, добавляя необходимую функциональность. Вторую группу составили доступные на рынке отечественные СЗИ, находящиеся на достаточно высоком уровне зрелости и активно дорабатываемые вендорами с учетом пожеланий заказчиков. Даже если западный продукт нельзя было заменить полным аналогом, существовал вариант эффективно закрыть необходимую функциональность двумя продуктами. Наконец, третья группа — это средства защиты, у которых на тот момент не было российских аналогов. Это, прежде всего, продукты для работы с большим потоком событий и объемом трафика: высокопроизводительные межсетевые экраны (NGFW), ряд других типов фаерволов, системы обнаружения вторжений (IDS).

«По этим СЗИ были созданы рабочие группы, сформированы требования. Сейчас уже начинают появляться первые прототипы высокопроизводительных межсетевых экранов, идет их активное тестирование с участием всех банков, в том числе Центробанка», — пояснил Сергей Валуйских.

Директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов высказал похожие соображения: к февралю-марту 2022 года, когда зарубежные вендоры резко начали отказывать российским коммерческим клиентам в продлении лицензий и поддержке, в банке было уже внедрено 30-35% отечественных СЗИ.

«Мы всегда стремились приобретать лучшее, что было на рынке. Те российские продукты, на которые мы начали смотреть, достаточно хорошо себя показывали, но, к сожалению, не все. Кроме того, трудозатраты, которые мы прикладываем для выполнения импортозамещения, – колоссальные. Тот же Web Application Firewall мы внедряли и настраивали в течение трех лет. Сейчас же у нас было намного меньше времени. Поэтому около 85% наших трудовых затрат сегодня уходит на то, чтобы импортозаместиться, и только 15% остается на улучшение и поиск принципиально новых решений на рынке. Другого пути у нас нет, как у любого субъекта критической информационной инфраструктуры». — отметил спикер.

Для этого банк так же подготовил «тепловую карту», которую впоследствии переняли и использовали многие другие организации кредитной сферы. Наименее развитыми классами российского ПО Вячеслав Касимов назвал NGFW и решения Mobile Device Management (MDM), которые для банка служат средством безопасной доставки пользователям приложений и контента.

По мнению вице-президента ЦМРБанка по информационной безопасности Василия Окулесского, главная проблема при организации процесса импортозамещения — не в уровне зрелости российских СЗИ, а в менталитете заказчиков, который нужно менять в первую очередь. «Большинство из нас сталкивались с парадигмой, что всё хорошее делают только на Западе. Пока мы не преодолеем этот барьер у себя в голове, пока не будем верить в то, что наши продукты работают не хуже западных, мы будем находиться в западне. И еще: чтобы российские продукты развивались, они должны работать. Наши вендоры не будут знать, что им доделывать, улучшать, если мы не будем использовать их разработки. Мне нужно было внедрять целый ряд российских продуктов, и самого начала я встречал пессимизм подчиненных. Тяжелым трудом удалось доказать им, что это ПО работает не хуже и главное – выполняет все поставленные задачи», — поделился он.

Спикер отметил, что ЦМРБанк начал тестировать один из российских NGFW, и с учетом того, что организация сравнительно небольшая, производительности этого решения ей должно хватить. Таким образом, в перечне нерешенных задач остается только MDM.

Участники сессии «Банки и финансы» BIS SUMMIT 2024
Источник: запись трансляции BIS SUMMIT 2024 в «ВК Видео»

Председатель Ассоциации Банков России Анатолий Аксаков, обратившийся к гостям BIS SUMMIT дистанционно по ВКС, обратил внимание на две проблемы. Первая касается стоимости существующих отечественных решений, которая, по словам спикера, сегодня в некоторых случаях бывает в 5-7 раз выше, чем у западных аналогов. «Я понимаю, что разработчики, с точки зрения рыночных задач, хотят воспользоваться сложившейся ситуацией. В то же время, на мой взгляд, они должны принять государственный подход, продавать свою продукцию значительно дешевле, даже учитывая то, что что она должна покрывать себестоимость и давать возможность зарабатывать на рынке. Думаю, что регуляторам стоит проконтролировать, чтобы разработчики не злоупотребляли создавшимся положением», — указал он.

Другая нерешенная проблема — инсорсинговое программное обеспечение банков. Во многих финансовых организациях используются решения собственной разработки, в том числе на основе свободно распространяемого ПО, которые по формальным критериям не могут быть включены в реестр Минцифры и, согласно действующему законодательству, подлежат импортозамещению. Спикер выразил надежду на то, что регулятор проявит гибкость и не заставит банки нести большие затраты на замену таких продуктов.

Руководитель департамента информационной безопасности Банки.ру Тимур Гараев добавил, что в его компании уже к весне 2022 года практически 95% решений по безопасности были российские: «На наше основное юрлицо не распространяются требования приказов, мы не банк и не КИИ, просто коммерческая организация. Тем не менее мы приняли решение использовать лучшие практики, пилотировали и внедряли у себя различные классы отечественных продуктов. Мы общались с разработчиками ПО, и самое важное – в этом диалоге производители слышали нас. Это очень важно, с учетом того, что мы достаточно небольшая компания».

Рекомендации по стратегии
импортозамещения в финансовом секторе

Участники дискуссии дали рекомендации, на что стоит обязательно обратить внимание финансовым организациям при выполнении указов 250, 166 и 500.

Сергей Валуйских (Сбер) выразил благодарность регуляторам, которые последние несколько лет создают качественные, максимально приближенные к реальным потребностям отрасли нормативные документы. Также он обратил внимание на то, что практически у каждой финансовой организации есть полезные для всех игроков рынка инструменты. Например, в Сбере накоплена сильная экспертиза по управлению угрозами и уязвимостями на собственной платформе Threat Intelligence (TI). Сегодня банк готов предложить платформу Sber X-TI, на базе которой компания любого размера может бесплатно построить процесс управления уязвимостями и повысить свою безопасность.

Вячеслав Касимов (Московский кредитный банк) посоветовал компаниям внимательно изучить указы и при необходимости обращаться к регуляторам за консультациями, чтобы иметь большую гибкость в принятии решений. Например, 250 указ предусматривает «только правильное использование СЗИ, а не все лежащие под ними слои». Также не стоит сбрасывать со счетов Open Source решения, которые при соответствующем уровне доработки могут претендовать на попадание в реестр отечественного ПО. «И последнее: всегда можно найти внятного вендора, с которым удастся взаимодействовать, транслировать ему свои пожелания и в рамках совместной работы создавать определенные средства защиты. Мы, например, в таком режиме взаимодействуем с одним из производителей для разработки средства контроля целостности», — подсказал он.

Василий Окулесский (ЦМРБанк) уверен, что, начиная внедрять российский продукт, нужно не бояться, четко сформулировать цель и хорошо понимать что внедряемое решение должно делать. «Когда вы планируете путь к импортозамещению, пересмотрите свои модели угроз», — добавил он.

Тимур Гараев (Банки.ру) дал совет тем организациям, которые точно не успеют импортозаместиться к началу 2025 года — выполнить минимальные требования: найти сертифицированного специалиста по информационной безопасности, назначить его на должность, составить конкретный план работ на ближайший год и заложить в бюджет средства на них. Показав регулятору реальный результат, компания может надеяться на более лояльное отношение к себе.

«У нас налажено активное взаимодействие отечественными вендорами, мы вместе продвигаемся к тому, чтобы как можно скорее предложить рынку усовершенствованные, соответствующие техническим параметрам и потребностям крупнейших банков решения», — резюмировал Анатолий Аксаков (Ассоциация Банков России).