Артем Потапов: «Что и как защищать в финансовом секторе?»
Фото: пресс-служба Check Point

Артем Потапов: «Что и как защищать в финансовом секторе?»

1597

Обозреватель портала Банки.ру поговорил с Артемом ПОТАПОВЫМ, менеджером по работе с корпоративными клиентами компании Check Point Software Technologies (разработчик систем безопасности), о том, какие задачи, связанные с повышением уровня безопасности, сейчас наиболее актуальны для банковской сферы.

— Какие главные задачи ставят банки перед поставщиками систем безопасности?

— Таких ситуаций, когда у заказчиков одна-единственная задача, которую необходимо решить, не бывает. Приоритеты у всех банков разные и их много, но при этом можно выделить общие тенденции. Для финансового сектора, в частности, на одном из первых мест по актуальности сейчас стоит организация безопасного удаленного доступа сотрудников (как рядовых, так и руководителей) к корпоративным ресурсам. Этот вопрос волнует практически всех.

Актуальная проблема из другой области — сертификация на соответствие международным стандартам, например PCI DSS. Банки либо уже прошли сертификацию и что-то реализовали, либо проходят аудит в настоящее время и получают рекомендации: по разграничению доступа, внедрению систем DLP и т. п.

Есть отдельный спектр запросов, связанный с так называемыми условно модными направлениями, например виртуализация. Перевод ресурсов в виртуальную среду для сотрудников отдела безопасности банка — головная боль. Потому что грамотно реализовать систему разграничения доступа в виртуальной среде — неважно, в какой: построенной на решениях VMware или Microsoft, — непросто. Главная сложность — не в создании самой системы защиты, а в том, чтобы в любой момент можно было показать регулятору, что она существует и работает в полном соответствии с действующими требованиями, в том числе с выпущенными ФСТЭК много лет назад, когда о виртуализации еще никто и не думал.

— Есть ли задачи, связанные с тем, что популярность, в том числе и в корпоративном сегменте, набирают устройства от Apple?

— В последнее время отдельной задачей стала организация удаленного доступа не со стандартных ноутбуков, а с карманных консьюмерских устройств, таких как iPhone, iPad и тому подобных, которые не проходят по корпоративным стандартам у большинства банков. Защитить частный iPad сотрудника так же эффективно, как корпоративный ноутбук, невозможно. Если удаленный пользователь работает за корпоративным компьютером, мы можем установить на устройстве стандартное клиентское решение, которое осуществляет и антивирусную проверку, и контроль за использованием портов, и жесткий диск может зашифровать на случай утери ноутбука. В случае с КПК от произвольного производителя так поступить нельзя. Но минимум защиты обеспечить необходимо, в том числе оградить компанию от вирусов, которые могут попасть в корпоративную сеть с частного мобильного устройства.

— Как можно защищать произвольное мобильное устройство?

— Унифицированного продукта, который подошел бы для любой аппаратной и программной платформы, у Check Point сейчас нет. Для стандартных ПК с операционной системой Windows мы предлагаем решение Check Point Endpoint Security, включающее в себя персональный межсетевой экран, VPN для удаленного доступа, защиту от вредоносного ПО (антивирус и антишпионское ПО), контроль за запускаемыми приложениями, периферийными устройствами, шифрование жесткого диска ПК и т. п. В планах включить в продукт и DLP-функционал. Этот набор компонент не может быть установлен на произвольном мобильном устройстве. Но для устройств от Apple решение уже разработано. Следующим на очереди стоит решение для устройств на платформе Android. Это перспектива на вторую половину 2011 года. А для произвольного мобильного устройства пока что можно предоставить защиту в виде персонального межсетевого экрана и шифрованного VPN-соединения для безопасного удаленного доступа.

— У CheckPoint есть решение для организации изолированной рабочей среды на удаленном компьютере. Почему их нельзя использовать для всех видов устройств?

— С 2004 года Check Point выпускает продукт Connectra. Для него несколько лет назад была даже реализована возможность использования отечественной сертифицированной криптографии. Продукт позволяет организовать удаленный доступ с защищенным рабочим столом Secure Workspace, который создает изолированную рабочую среду. В случае с iPhone такой возможности нет, потому что программный компонент, активирующий защищенную среду, использует либо технологию ActiveX, либо Java. Процесс следующий: происходит соединение клиентского приложения Check Point Mobile с межсетевым экраном, установленным в центральном офисе компании. На межсетевом экране активирован программный блейд Mobile Access Blade, к которому могут и будут подключаться и клиенты смартфонов. Защищенный рабочий стол создается именно программным блейдом Mobile Access Blade. Если пользователь будет подключаться с планшетного устройства на платформе Windows, то проблем с созданием Secure Workspace не возникнет. В случае с Apple иная ситуация: другая операционная система, отсутствие поддержки технологий ActiveX, Java.

— Вернемся к теме виртуализации. Почему эта технология, казалось бы, предназначенная для централизации управления, создает айтишникам головную боль?

— В прошлом году компания Enterprise Strategy Group проводила опрос представителей служб информационной безопасности и информационных технологий. Порядка 80% опрошенных сказали, что основная проблема при использовании технологий виртуализации заключается в отсутствии знаний о том, как надо обезопасить виртуальную среду, как ее защитить. При этом половина опрошенных экспертов все равно планирует в 2011 году внедрять технологии виртуализации. В чем, собственно, проблема? Классическая теория защиты информации содержит пункты: организация защиты, управление защитой, контроль защиты. Если для организации и управления защитой у производителей есть технологии, то проблема ее контроля остается. Как контролировать реализацию функции защиты? Любой банк регулярно подвергается проверкам со стороны ФСТЭК, ФСБ и прочих регуляторов. Проверяющие приходят и спрашивают: «Как вы защищаете персональные данные в виртуальной среде? Какими средствами, где на них сертификаты?» А что в России сертифицировано для виртуальной среды? Хватит пальцев на двух руках, чтобы перечислить все решения. Их мало не только потому, что вендоры не хотят сертифицировать свою продукцию, но и потому, что сами регуляторы не знают, как оценивать соответствие продукта определенным требованиям.

При этом виртуализация все равно востребована. Хотя бы потому, что ИТ-бюджеты растут после кризиса медленно, а такие технологии позволяют развиваться с малыми затратами. Виртуализируются некоторые сервисы: служебные и файловые серверы, почта, серверы, обслуживающие веб-приложения, система управления базами данных. Но виртуализировать абсолютно все в банке нельзя.

— Что вы думаете о передаче функций по защите информации на аутсорсинг?

— В России есть такая практика. Но отдают на аутсорсинг, как правило, защиту периметра или внешние межсетевые экраны. Отдать внутренние межсетевые экраны маловероятно. Это означает передать всю информацию о себе на сторону.

— Социальные сети с точки зрения безопасности — добро или зло?

— В конце прошлого года мы уже объявляли о том, что будет представлен программный блейд Application Control для контроля Web 2.0 приложений и, в частности, социальных сетей. Предварительно мы создали базу этих самых приложений Check Point AppWiki, проранжировав их на предмет критичности для пользователей. Перед службой безопасности рано или поздно встает вопрос: кому разрешить или запретить доступ к той или иной социальной сети? При этом даже тем сотрудникам, у кого есть доступ к соцсети в силу служебных обязанностей, можно, например, отключить возможность использования игр. Такой «гранулированный» подход к защите. Мы постарались сделать его максимально удобным для человека, администрирующего работу сотрудников в социальных сетях.

— Есть ли возможность использовать изолированную рабочую среду (SecureWorkspace) для подключения к интернет-банкингу?

— Такую среду можно создавать двумя способами: программным — с помощью клиентского приложения Secure Workspace на компьютере пользователя и программного блейда, установленного в компании (в данном случае — банке), или аппаратным. В последнем случае используется USB-накопитель Check Point Abra — это та же защищенная рабочая среда, только офлайн. Шифрованный контейнер с возможностью организации канала удаленного доступа VPN, если он требуется. Если интернет-банк поддерживает возможность веб-доступа, то войти в него, естественно, можно из рабочей среды Check Point Abra, можно прописать соответствующие настройки и гарантировать, что подмены адреса интернет-банка при подключении не произойдет.

Но пока банки предоставляют такие флешки контракторам и аудиторам, чтобы корпоративная информация хранилась у них в зашифрованном виде и не оставалась на компьютерах, на которых работают эти сотрудники. Прежде чем предоставлять продукт Check Point Abra клиентам интернет-банка, надо решить, сколько они готовы заплатить за такую услугу. Одна флешка Abra стоит от 140 долларов. Но при желании банк может найти аппаратно-программное решение с более низкой ценой, специально предназначенное для клиентов систем интернет-банкинга.

Если говорить об изолированной рабочей среде, реализованной программным образом, то банки ее давно используют, применяя функционал Secure Workspace решения Connectra. Когда клиент заходит на сайт банка через портал Check Point Connectra, то есть на защищенный, изолированный сайт, он об этом даже не подозревает. Он просто работает с сайтом через браузер в защищенном режиме. Но банк ставит портал Connectra в первую очередь для того, чтобы обезопасить себя от внешнего вредоносного воздействия. Обезопасить клиента тоже необходимо, но эта задача более сложная, так как компьютер клиента не является собственностью банка и предъявлять требования к механизмам его защиты следует очень аккуратно. Можно потребовать от клиента использовать Secure Workspace в обязательном порядке, в связи с тем, что клиенту безопаснее заходить в интернет-банк из изолированной среды на его личном компьютере, созданной с помощью Secure Workspace. Одновременно можно просканировать и компьютер пользователя на присутствие вредоносного ПО с помощью технологий Connectra.

Однако далеко не каждому клиенту такой подход понравится. Это может быть расценено как попытка вмешательства в частную жизнь клиента или навязывание ему ненужного ПО. В нашей стране это еще не очень актуально, а на Западе к подобным вещам относятся трепетно.

Беседовал Леонид ЧУРИКОВ, Banki.ru