Финансовому сообществу уже не нужно доказывать, что криминал (неважно какой: обычный или кибер) — это тесно связанные между собой сообщества, возглавляемые высокоинтеллектуальными «менеджерами», обладающими колоссальными транснациональными ресурсами.

В их руках вся та же мощь высоких технологий, которой располагают легальные IT- и ИБ-разработчики. Наивно думать, что современный хакер — это бородатый моджахед, который вышел из убежища в горах и посредством скандально известного мессенджера начал координировать свои дальнейшие действия с «коллегами». Наоборот, все они прекрасно осведомлены о текущем уровне законотворчества, возможностях спецслужб, о межгосударственных конфликтах, за которыми можно спрятать свои следы, и т.д. Но главное, они эксплуатируют в своих целях слабейшее звено любой корпоративной IT-системы: людей, которые абсолютно уверены, что если что-то и произойдет, то исключительно не с ними.

Поэтому все чаще можно услышать предложения поставщиков ознакомиться с практическими кейсами, когда значительная часть IT-инфраструктуры банка, включая АБС, передана либо на аутсорсинг либо в облака. Резоны просты: в одном-единственном месте облачному провайдеру гораздо проще сконцентрировать все компетенции, ограничить доступ персонала в ЦОД и наладить кооперацию с FinCERT регулятора, а также с другими специальными службами и сервисами. Поэтому ряд экспертов делает вывод: «Безопасность — одна главных причин перехода в облако». Однако у нас в стране она не стала тем триггером, который запускает массовый процесс миграции. Нашлись и другие причины, о них и их взаимосвязи друг с другом — далее.

Цифровая трансформация движет всем

Итак, во второй статье нашего цикла («Бросить всё — и в облако») был сделан вывод о том, что современный финансовый институт — это часть распределенной омниканальной экосистемы, участник одного или нескольких маркетплейсов или финансовых супермаркетов, стремящийся коммуницировать со своими клиентами посредством дистанционных каналов (ДБО) и платежных сервисов сторонних провайдеров. Это одно из практических проявлений концепции цифровой трансформации бизнеса применительно к банкам. И неважно, какого размера банк или финтех. Разница проявится лишь в том, будет ли финансовая организация ядром маркетплейса (как, например, Сбербанк или Почта Банк) или одним из его компонентов. Финансовый мир движется в эту сторону.

А в первой статье («Десять облачных прогнозов на 2017 год»), напомним, говорилось о том, что исследования «Облачные сервисы в России: взгляд финансовых директоров», проведенные по заказу Oracle, показали: важнейшие приоритеты бизнеса уже изменились. В настоящий момент это оптимизация бизнес-процессов (отмечают 78% респондентов) и повышение гибкости использования существующих ресурсов (50% респондентов). Облачные сервисы уже 52% финансовых директоров крупных компаний и банков рассматривают как важный инструмент оптимизации бизнеса, то есть каждый второй CFO готов заменить CAPEX (капитальные затраты) на OPEX (операционные затраты) хоть сегодня и уйти в облака, сократив часть персонала. А куда деваться? Жизнь заставила.

ФСТЭК не возражает, ФСБ не против, ЦБ размышляет

В июне 2017 года эксперты ГК «Техносерв» провели большую работу по систематизации законодательства в «облачной сфере», и в блоге компании в статье «Время смелых. Как мигрировать в облака, не нарушая требований регуляторов?» можно ознакомиться с требованиями законодательства и регулирующих органов. Юристам банков наверняка стоит освежить в голове следующий список:

1) законы № 149-ФЗ («Об информации, информационных технологиях и о защите информации»), № 152-ФЗ («О персональных данных»), № 242-ФЗ («О внесении изменений в отдельные законодательные акты РФ по вопросам осуществления государственного контроля (надзора) и муниципального контроля»), № 161-ФЗ («О национальной платежной системе») и др.;

2) требования Федеральной службы по техническому и экспортному контролю (ФСТЭК) России и ФСБ России в области защиты информации, содержащие меры по защите персональных данных, приказ ФСТЭК России № 21 и Приказ ФСБ России № 378, методические документы и разъяснения регуляторов;

3) требования ЦБ в области защиты информации — отраслевой стандарт по обеспечению информационной безопасности (СТО БР ИББС) и рекомендации в области стандартизации (РС БР ИББС), Положения ЦБ № 382-П и № 552-П по защите информации при обеспечении переводов денежных средств, указания ЦБ и другие документы;

4) требования ФСТЭК России и ФСБ России к лицензиатам по деятельности в области защиты информации;

5) требования международных платежных систем по защите информации данных держателей карт (PCI DSS).

«Если не рассматривать информацию, отнесенную к государственной тайне, то запрета по размещению в публичных облаках любых банковских информационных систем (ИС) нет. В том числе нет запретов на использование ИС, обрабатывающих персональные данные (ПДн). Единственное законодательное ограничение содержится в Законе № 242-ФЗ и касается физического размещения средств обработки и хранения ПДн на территории России при сборе ПДн. ФСТЭК, со своей стороны, не предъявляет дополнительных требований по защите информации при использовании публичных облаков. ФСБ пока молчит. В ее документах отсутствует упоминание облаков», — делают вывод в «Техносерве».

Что касается ЦБ, то авторы исследования кроме анализа нескольких документов, вскользь упоминающих облака, не находят ничего, что могло бы быть истолковано как запрет или серьезное ограничение использования облачных технологий в финансовой сфере. Но о чем размышляет регулятор, можно косвенно судить по интервью, данному Александром Шибаевым, начальником управления обеспечивающих систем Межрегионального центра информатизации Банка России, в июне 2013 года изданию CNews.

В частности, эксперт дал определение облака, что само по себе весьма ценно: «Быстро выяснилось, что понятие “облако” — это не совсем то или, что чаще, совсем не то, о чем пишут в прессе и говорят в интервью. Так, обращу внимание, что виртуализация и облако — не одно и то же, а в определение облака не входят виртуальные рабочие места (VDI). Облако — это также не ЦОД, в котором предлагают разместить серверное “железо”. В нашем понимании облако — это совокупность ЦОД, обладающего рядом специфических характеристик, и комплекса программного обеспечения для управления информационной инфраструктурой, как физической (серверы, системы хранения, сетевые коммутаторы и т. д.), так и виртуальной. Облачное программное обеспечение должно быть установлено на инфраструктуру, которую можно назвать cloud ready: серверы с системами хранения и развернутым ПО виртуализации (гипервизором)». Необходимо добавить, что сам ЦБ уже использует облачные продукты в своей деятельности.

Наконец, в «Техносерве» предлагают вспомнить о международных платежных системах: «Выполнение требований стандарта PCI DSS становится актуальным для банка при размещении в публичном облаке систем, осуществляющих обработку данных держателей платежных карт. Требования и взаимоотношения организаций финансового сектора при использовании облачных технологий регулируются п. 12.8 PCI DSS, и уже давно распространена практика использования PCI DSS-хостинга у сторонних сервис-провайдеров».

Но к PCI DSS относится и другая история, отражающая современные реалии, связанные с появлением маркеплейсов и развитием мобильных платежных приложений Android Pay, Apple Pay и Samsung Pay на основе NFC и токенов. Глава департамента по инновациям и развитию новых продуктов компании Visa в России Михаил Батуев в интервью «Б.О» подробно объяснил, в чем отличие Pay от традиционного дистанционного банковского обслуживания и почему торгово-сервисным предприятиям (ТСП), использующим исключительно токены, не нужно соответствие PCI DSS.

В рамках стандарта EMV (Europay + Masterсard + Visa) Visa предлагает торговому предприятию частично или полностью заменить номера карт своих клиентов токенами и хранить их у себя. В момент оплаты токены будут использоваться для проведения транзакции вместо реальных платежных реквизитов. Это поможет решить множество проблем, связанных с мошенническими действиями. Например, даже если злоумышленнику удастся получить доступ к токенам в интернет-магазине, то воспользоваться ими он не сможет, потому что такая транзакция будет отклонена платежной системой еще до того, как сработает система по борьбе с мошенничеством банка-эмитента. Только торгово-сервисное предприятие, которое имеет право передавать в платежную сеть токены, сможет это делать.

Но меняет ли EMV модель угроз банка? Прописаны ли где-либо в регулирующих документах соответствующие изменения? Ответы на эти вопросы можно было получить 14 декабря 2016 года на организованной «Б.О» конференции «Экосистема Pay: вызовы и возможности для банков», посвященной запуску Apple Pay и Samsung Pay в России.

Александр Савинов, руководитель направления «Цифровой и карточный бизнес» департамента безопасности Сбербанка, тогда заявил: «Да, новые риски есть. Но современный кибер-криминал пока не сильно обозначил свой интерес к рассматриваемой теме. Но это пока».

Проблема заключается в том, что, по мнению эксперта, схема реализации Apple Pay и Samsung Pay такова, что «банки-эмитенты — те участники, которые несут ответственность перед клиентом за эту технологию и сохранность клиентских средств, вынуждены безоговорочно верить “на слово” вендорам железа, внутреннему решению Pay, да и сервисам токенизации. Есть реальный разрыв в верификации держателя эмитентом. Как проходит цепочка по стандартному EMV: ARQC — на ключе карты + пин (который хоть и перешифровывается, но его знают только держатель и эмитент) передаются в первозданном виде. А в Pay-платежах эквайер “верит” смартфону, что тот проверил TouchID. Сервис токенизации “верит” сервису Pay, что все криптограммы “срослись”. А эмитенту приходится “верить” им всем, что все хорошо!».

Делая выводы по этой главе, можно сослаться на экспертизу «Техносерва»: «Каких-либо преград или запрета на использование публичных облаков банками, находящимися на территории России, в нормативных документах и требованиях для организаций финансовой отрасли нет. В случае использования банком инфраструктуры из публичного облака сторонний провайдер должен в своем облаке реализовать и выполнять нормативные требования (в рамках своей зоны ответственности) и требования банка по информационной безопасности. Зона ответственности облачного провайдера должна быть закреплена в соответствующем соглашении между сторонами».

Но если рассматривать банк не как изолированную периметром безопасности структуру, а как часть различных облачных экосистем, то появляется ряд специфических проблем. Это, например, послабления по стандарту PCI DSS для ряда участников маркетплейсов. Однако Александр Левашов, Deputy CEO Group Infosecurity, призывает к некоторой сдержанности в этом вопросе: «Ни для кого не секрет, что для интернет-магазинов технология токенизации открывает дорогу к возможности отказаться от дорогостоящего аудита на соответствие стандарту PCI DSS. Но этот факт пока оставляет отечественных ретейлеров довольно равнодушными. Наверное, прохождение аудита, как и всякие процедуры контроля, привносит в ведение бизнеса некий элемент порядка. Так зачем отказываться от этого порядка?». Существуют и другие «тонкие моменты», юристы и специалисты по ИБ о них знают, работают над ними, а злоумышленникам напоминать о них здесь не стоит.

О чем говорят эксперты?

Что же, с мнениями регуляторов более или менее понятно. Ряд крупных кейсов мировых финансовых грандов в области использования облаков многим известен. Осталось узнать точку зрения представителей IT- и ИБ-индустрии. «Б.О» обратился к наиболее авторитетным из них.

Евгений Куртуков, руководитель отдела поддержки и развития продаж компании Axoft, считает: «Финансовые организации, как в России, так и в мире, относятся к облачным сервисам с интересом и настороженностью. От других сфер бизнеса этот сегмент отличается специфичными требованиями со стороны регуляторов, а также высокой критичностью обрабатываемых данных. Облачные сервисы, которые сегодня могут быть интересны финансовым организациям, связаны либо использованием SaaS-приложений, напрямую не влияющих на клиентский бизнес (офисные приложения, управление внутренними проектами, внутренние коммуникации), либо с подключением облачной инфраструктуры IaaS в качестве резервной — для балансировки пиковых нагрузок. Отдельная тема — безопасность из облака, и тут в качестве примера можно привести облачные сервисы для защиты от DDoS-атак. Подобные решения очень востребованы».

Дмитрий Красюков, заместитель генерального директора SAP СНГ, более оптимистичен: «Ранее большинство финансовых организаций использовали только частное облако для работы с данными. Однако времена меняются, и сейчас многие переводят обработку некритичных данных на гибридные и даже публичные облака. Защита данных обеспечивается с помощью ряда известных средств — как программных, так и программно-аппаратных. В большинстве случаев предпочтение отдается средствам технической защиты информации с сертификацией ФСТЭК и криптографическим средствам, сертифицированным ФСБ».

Наиболее продвинутые финансовые организации используют облачные услуги только на территории России или строят собственные центры обработки данных, арендуют проверенные площадки, обеспечивают видеонаблюдение и физическую безо­пасность (ограниченный доступ к серверным стойкам и помещениям, двухфакторную биометрическую аутентификацию). Другие компании для поддержания требуемого уровня безопасности используют средства криптографической защиты в своих базах данных, что значительно снижает производительность.

«Многие устанавливают некие “сертифицированные” или просто “лучшие в мире” средства информационной безопасности (без оглядки на сертификацию). Но, по нашему мнению, правильное направление — это сертификация программных продуктов, применяемых информационных систем согласно требованиям ФСТЭК России, а также аттестация. Например, облачные решения SAP проходят ряд процедур на соответствие требованиям российского законодательства, включая сертификацию всех встроенных функций безопасности, а также наложенных средств защиты информации. Аттестацию на необходимый уровень безопасности проходит и каждое решение, размещенное в ЦОД. Кроме того, SAP СНГ зарегистрирована в Роскомнадзоре в качестве оператора обработки персональных данных. При разработке политики защиты компания согласовала “модель нарушителя” с профильным регулятором. Что касается разных форматов конфигурации облачных технологий, эксперты отмечают, что наименее проблемным является IaaS (Infrastructure-as-a-Service), используемый достаточно активно. В то время как сложности чаще наблюдаются у SaaS-решений из-за отсутствия, с одной стороны, общепринятых стандартов безопасности, а с другой — из-за психологической неготовности заказчиков делегировать провайдеру облачных услуг вопросы защиты данных», — заключает эксперт.

Михаил Кондрашин, технический директор Trend Micro в России и СНГ, как представитель ИБ-индустрии и глобальной японской корпорации уверен: «Последние годы облачные технологии надвигались по всем фронтам. Противники выдвигали множество контраргументов, но они один за другим отвергались апологетами новых подходов к построению IT-инфраструктур. Наверное, главным козырем “ретроградов” был вопрос безопасности, который cкрыл все преимущества нового поколения технологий, но и он в последнее время теряет свою силу. Облачные провайдеры стали более серьезно относиться к вопросам безопасности и сейчас предлагают своим абонентам существенно более широкий спектр необходимых функций защиты, чем на заре облачной индустрии. Будь то фундаментальные средства, такие как криптография и аутентификация, или специализированные средства защиты для определенных видов информации, такие как сертифицированные антивирусы для защиты персональных данных, на сегодняшний день облачные провайдеры уже имеют соответствующие предложения. Кроме того, безо­пасность — это не абсолютное понятие, а относительное, и на каждом предприятии защищенность облачной части инфраструктуры сравнивают в первую очередь с внутренней. Развитие для проведения целевых атак инструментария, доступного на андеграундном рынке, привело к массовости сложных атак, и теперь “внутренняя” сеть предприятия уже не является синонимом слова “защищенная”. Все компоненты IT-инфраструктуры предприятия требуют сходных и очень серьезных подходов к безопасности, а размещена ли вычислительная мощность в собственном ЦОД или у облачного оператора, уже не так принципиально».

«Облачные» выводы

Итак, завершая цикл «облачных» статей, хотелось бы сделать несколько выводов и в первом из них процитировать слова Михаила Кондрашина, обращенные к банковским «безопасникам»: «Если выбирать ключевой вопрос, который стоит перед ИБ-подразделением финансовой организации в современных условиях, это обеспечение бесшовной интеграции облачных средств защиты с инструментами, используемыми внутри сети. Только инструменты ИБ, поддерживающие сквозное управление в трех основных типах платформ — физических, виртуальных и облачных — позволят не увеличивать сложность в обеспечении защиты предприятия».

В качестве второго вывода можно привести обращенные уже к отечественным бизнесменам слова Юрия Толстых, директора по работе с партнерами Oracle СНГ, который в статье для CNews «Oracle Cloud Machine: Публичное облако в ЦОД заказчика», выразил уверенность, что «российский бизнес наконец оставил позади предрассудки, связанные с облачными сервисами. Но на пути развития публичных облаков встало новое препятствие — законодательные требования, ограничивающие передачу и хранение персональных данных россиян собственными ЦОД операторов ПДн. Что делать продвинутым компаниям, которые хотят использовать все преимущества облаков? Выход нашла компания Oracle, предложив “встраивать” свое публичное облако внутрь периметра безопасности заказчика».

От редакции «Б.О» добавим: мировая практика показывает, что компании, специализирующиеся на облачных сервисах, чаще всего создают более качественную и безо­пасную инфраструктуру и сервисы, чем это может позволить себе большинство непрофильных организаций. Поэтому, чтобы не реализовались риски, описанные в самом начале материала, связанные с «бородатыми моджахедами», стоит обратить более пристальное внимание на облачные технологии и настроения финансовых директоров, красочно описанные в исследовании Oracle.