В современной кибербезопасности защищен тот, кто не просто обороняется, а действует на опережение. В интервью БФМ.ру вице-президент по информационной безопасности МТС Банка Илья Зуев раскрывает три ключевых принципа стратегии: выявлять проблемы раньше хакеров, превращать каждого сотрудника в осознанный рубеж обороны и наравне с бигтех-гигантами создавать собственные системы защиты.

Насколько хорошо российские банки способны противостоять различным киберугрозам?
Илья Зуев: Я думаю, что здесь нельзя «хорошо» или «плохо» противостоять угрозам — вы либо отражаете атаку, либо нет. Кибербезопасность — это гонка без финишной черты, где обе стороны постоянно адаптируются и развиваются. По данным различных экспертов киберразведки, количество атак в целом по России выросло более чем на 15%. Учитывая, что финансовый сектор остается в фокусе внимания злоумышленников, критически важно находить проблемы раньше, чем их обнаружат хакеры. Это включает в себя упреждающий поиск уязвимостей, постоянный мониторинг тактик злоумышленников, внедрение культуры ИБ и современных средств защиты.
Важно также знать об актуальных методах атак и инструментах злоумышленников, чтобы выстроить эффективную защиту и усложнить хакерам «работу». Мы постоянно обмениваемся опытом с коллегами по отрасли и следим за появлением новых технологий киберзащиты, чтобы одними из первых брать их на вооружение. Мы совершенствуем системы, но главное — меняем подход: с оборонительного на проактивный.
С какими киберугрозами сегодня сталкиваются банки?

Илья Зуев: Банки сталкиваются с широким спектром угроз — от DDoS-атак до сложных атак на бизнес-логику приложений через специальные бот-фермы. Одна из самых опасных угроз — логические уязвимости в коде. Поэтому мы уделяем особое внимание анализу уязвимостей в API и приложениях. Сохраняются риски, связанные с атаками шифровальщиков, компрометацией данных и социальной инженерией.

Активное внедрение открытых банковских API расширяет поверхность для атак. Для поиска уязвимостей злоумышленники часто используют бот-фермы — это множество виртуальных устройств, которые имитируют действия реальных пользователей. Задача банка — эффективно противостоять атакам ботов, проверить все API-методы и найти уязвимости раньше хакеров.

Стоит также отметить, что в этом году мошенники стали более активно использовать поддельные приложения известных банков и вредоносное ПО. Ландшафт угроз постоянно меняется, надо понимать тактики противника, чтобы не защищаться, а заранее перекрывать ему возможные ходы.

Как банки и, в частности, МТС Банк защищают свою IT-инфраструктуру? Что здесь важнее — технические решения или работа с сотрудниками?

Илья Зуев: Эффективная защита строится на балансе технологий, процессов и человеческого фактора. Технические средства должны поддерживаться правильно выстроенными процессами. Например, можно купить лучший антивирус, но, если не контролировать его покрытие и актуальность, через полгода он превратится в ничто или, что еще хуже, в инструмент в руках хакеров.

Одной из первых задач при построении информационной безопасности финтех-компании является всесторонняя оценка текущего состояния защиты, включая поиск возможных следов компрометации. Когда я пришел в МТС Банк, первым делом мы провели Compromise Assessment. Это был не формальный аудит, а полноценное детективное расследование. Мы исходили из парадигмы «нулевого доверия»: предположили, что в инфраструктуре уже могут быть «закладки».

Мы превратились в цифровых археологов: вручную анализировали терабайты логов за последние годы, выискивали аномалии — подозрительные доступы и аккаунты, соединения в нерабочее время, странные процессы и задачи автозагрузки. Мы «вскрывали» все системы, искали признаки продвинутых угроз: скрытые руткиты, легитимные инструменты доступа, часто используемые хакерами, следы вредоносного ПО в памяти. Проверяли каждую конфигурацию, каждую учетную запись с привилегированными правами.

Это кропотливая работа по цифровым слоям, но она необходима. Хакерская «закладка» может быть одной строкой в файле, которая «проснется» через два года. Найти и обезвредить ее — значит предотвратить катастрофу, о которой ты даже не подозреваешь. Это позволяет заложить чистый и контролируемый фундамент для дальнейших мероприятий.

Далее мы модернизировали комплексную защиту, в том числе начали другой ключевой процесс — тотальное обучение сотрудников. Самой главной уязвимостью в любой компании все равно остается человек. Без обучения, вовлечения и тестирования сотрудников в сфере информационной безопасности даже самые передовые технологии будут бесполезны.

На сотрудников сыпется шквал фишинговых атак. Например, атаки fake boss, когда сотруднику пишет якобы «генеральный директор» и просит выполнить какое-нибудь действие. Поэтому тренировка бдительности и обучение сотрудников — это стратегическая необходимость. Мы не просто делаем рассылки, проводим митапы, читаем лекции о том, как распознать фишинг, а стараемся вовлечь в защиту каждого сотрудника. Один из способов — регулярное проведение учебных фишинговых атак, которые моделируют реальные сценарии. Даже я иногда не могу понять, это реальная атака или проделки отдела повышения осведомленности ИБ. По нашей статистике, чтобы выработать рефлекс, человеку нужно пройти через пять-семь таких тренировок. Таким образом, мы создаем «иммунитет» на самом уязвимом рубеже.

Поговорим про технические средства обеспечения кибербезопасности: есть ли у вас сейчас собственные решения, а что отдаете на аутсорс?
Илья Зуев: Мы не ждем, когда на рынке появятся идеальные решения. Мы действуем как бигтех-гиганты — разрабатываем свои средства защиты там, где это критически важно для опережающей защиты. Например, у нас есть собственная система с кодовым названием Octosan. Она решает крайне важную задачу по инвентаризации IТ-ресурсов и контролю «теневых устройств», которые обычно остаются вне поля зрения службы информационной безопасности и потому часто становятся той самой точкой входа хакеров в корпоративную инфраструктуру. Или Weak Password Hunter: система не только ищет слабые пароли, но и занимается «охотой на секреты» (secret hunting), предвосхищая излюбленную тактику хакеров. Таким образом, благодаря собственным разработкам мы создаем дополнительные точки контроля защищенности банка.
Ключевые компетенции, особенно связанные с ядром защиты, мы оставляем внутри. У нас есть собственный SOC (ситуационный центр), потому что нам критически важны контроль и скорость. Однако для некоторых узких задач, таких как сканирование периметра, тесты на проникновение и поиск в даркнете, мы привлекаем экспертов со стороны. И — что важно — регулярно привлекаем «белых» хакеров по программе Bug Bounty и внешние Red Team команды, которые имитируют атаку злоумышленников, пытаясь взломать нас любым способом. Это позволяет проверить процессы в бою и узнать, как банк будет реагировать на кибератаку в реальных условиях. Получается, мы платим тем, кто пытается нас взломать.
На что надо обращать внимание тому, кто отвечает за кибербезопасность в организации?

Илья Зуев: Я бы выделил три ключевых пункта. Во-первых, всегда копать глубже первого результата. Нашли и закрыли уязвимость? Отлично. Теперь выясните, как давно она существовала и не успели ли ею воспользоваться. Это трудоемко, но это настоящая защита.

Во-вторых, инвестировать в процессы, команду и культуру. Важно постоянно совершенствовать защиту, иметь не только защитников (Blue Team), но и внутреннюю команду атакующих (Red Team) для постоянной проверки. А еще — направлять не менее 25% усилий на киберграмотность, растить амбассадоров безопасности в каждом департаменте. Безопасность зависит от каждого.

Третий пункт — не бояться создавать. В современной гонке готовые решения не всегда поспевают за угрозами. Способность разрабатывать свои инструменты под конкретные опережающие задачи — это ключевое конкурентное преимущество.

Нельзя выиграть, только отбиваясь. Нужно постоянно совершенствоваться, учить команду, создавать свои инструменты и всегда, всегда искать угрозы на шаг раньше того, кто по ту сторону защиты. В этом и есть суть современной кибербезопасности.