Интервью о банковской безопасности
На днях руководитель направления информационной безопасности компании ITGLOBAL.COM Александр Зубриков дал большое интервью порталу COMNEWS о том, как в последние годы менялось законодательство и сама сфера ИБ, применительно к банковскому делу.
По мнению эксперта, введение новых ГОСТ и положений зачастую отстает от реалий, что порождает конфликт между финансовыми организациями и регулятором. Многие банки долгое время занимались информационной безопасностью на бумаге, уделяя сфере слишком мало ресурсов, но поскольку им запретили проводить аудит самостоятельно — это моментально открыло ряд проблем, накапливающихся годами. Часть финансовых организаций оказались неспособны не только соблюдать требования регулятора, но и собственные правила, закрепленные во внутренней документации. Застав банки в неудобной ситуации, им пошли навстречу аудиторские организации, которые обещали разобраться в инфраструктуре клиентов без выезда, что на практике не всегда реально.
ГОСТ Р 57580 и Docker
Удивительная ситуация сложилась с одним из самых удачных нововведений ИБ ГОСТ Р 57580. Дело в том, что ГОСТ регламентировал только использование виртуальных машин, а об использовании Docker не распространялся. В связи с этим вопрос: как аудитору проводить оценку контейнеров? Чтобы прояснить ситуацию, нам пришлось сделать запрос в Центробанк, но ответ получился своеобразным.
Оказалось, что ЦБ в контексте информационной безопасности ставит знак равенства между двумя типами виртуализации — Docker-контейнерами и ВМ. Такой подход порождает новые вопросы. Например, если ГОСТ требует ограничивать доступ к гипервизору, то что считать серверной компонентой в случае с Docker? Кажется, что это намек на то, что каждый контейнер требуется запускать на отдельном хосте, но толковать можно по-разному. Подобные неточности плодят среди аудиторов субъективное мнение и дают возможность оценивать безопасность докеров, опираясь на личный опыт. Хорошо ли это в глобальном смысле? Вопрос со звездочкой.
Недавно мы провели вебинар о том, как подготовиться к оценке соответствия ГОСТ Р 57580 на практике, смотрите его по ссылке.
Банковская цифровизация
После недавней презентации «Сбербанка» многие задумались, а что вообще представляет собой современный банк? Если несколько лет назад на стадии формирования отдельные эксперты считали, что «Тинькофф» работает по паразитической модели, когда пользуется банкоматами других организаций, то сейчас его называют пионером цифровизации. Что изменилось? Почему банк новой формации — это больше ИТ-компания, чем очереди и отделения? Дело в том, что границы между банками, ИТ, ритейлом и финтехом становятся условными, как того требует дух времени и потенциал масштабирования.
Кажется, что процесс эволюции банка в ИТ-компанию вполне линеен: закрываешь офисы, выпускаешь мобильное приложение с чатом и поддержкой. На самом же деле, огромное количество проблем обнаруживается в поле информационной безопасности, поскольку вместе с преимуществами реформации, банки обретают и уязвимости ИТ-компаний. Что с этим делать, мы рассказали в недавнем посте корпоративного блога.