Comertbank: Investiția în angajați - baza securității informațiilor Ⓟ
Interviu cu Sergiu Nicolaev, Vicepreședinte al Comitetului de Conducere Comertbank. Interviu realizat de Pavel Zingan și pregătit cu sprijinul Xontech Systems.
Sergiu, bună ziua. Dacă nu mă greșesc, 2022 este anul aniversar al activităților dumneavoastră bancare. 20 de ani. Dar nu cred că ați fost implicat în securitatea informațiilor în toți acești 20 de ani? În 2002, probabil că nu exista acest termen?
Aveți dreptate. Am început să coordonez aceste aspecte ale muncii mai târziu, din 2015, când am fost numit în funcție, atunci am început să coordonez activitățile departamentul IT, iar securitatea informațională tocmai începuse să iasă în evidență ca o zonă separată de muncă. În bancă, o asemenea funcție, de ofițer de securitate a apărut, dacă nu mă înșel, în 2013.
Apropo, cum credeți, este nevoie de separarea departamentelor IT și de securitate a informațiilor? La urma urmei, se bazează pe aceeași bază de cunoștințe?
Cu siguranță este nevoie de această separare. Motivul nu constă doar în faptul că securitatea informațiilor, de-a lungul anilor, a devenit o zonă separată de cunoștințe. Cauza principală este că sarcinile acestor servicii sunt diferite și, pentru a evita un conflict de interese, a fost necesar să fie separate în structuri distincte.
Ați subliniat că securitatea informațiilor a devenit un domeniu separat de expertiză. Strategia dvs. este de a rezolva pe cont propriu toate problemele de securitate sau sunteți gata să cooperați cu companii profesioniste din acest domeniu?
În lumea modernă, nicio bancă, chiar și cea mai mare, nu rezolvă problemele de securitate a informațiilor de una singură. Specialiștii noștri trebuie să aibă o perspectivă largă și să monitorizeze constant tendințele de securitate. Și apoi sarcina lor este să selecteze parteneri profesioniști și de încredere în acest domeniu. Comertbank în acest sens, și nu este un secret, cooperează cu succes cu XONTECH SYSTEMS. Când cooperarea se dezvoltă de la solicitări unice la muncă comună permanentă, se formează și relații de încredere. Se întâmplă ca ei înșiși specialiștii XONTECH SYSTEMS să vină cu inițiativa anumitor soluții și, cel mai important, ei ne ajută la urmărirea și monitorizarea tendințelor care sunt în schimbare rapidă în domeniul securității informațiilor.
Și cum rămâne cu reglementarea muncii în domeniul securității informațiilor? Cât de activ este în acest sens, Regulatorul de stat?
În memoria mea, a existat o perioadă în care fiecare bancă decidea practic în mod independent cum să construiască activitatea de securitate a informațiilor. Acest lucru, desigur, nu ne-a ușurat munca. Deși anumite reglementări pot ridica semne de întrebare, abordarea profundă și competentă a reglementării muncii în domeniul securității de către Banca Națională a eficientizat fără îndoială piața. Acesta este cazul când nu există prea multe reguli. Mai mult, pe lângă regulamentul propriu-zis, Banca Națională răspunde prompt solicitărilor private ale băncilor în acest domeniu. Acum, cadrul legal moldovenesc în acest domeniu s-a apropiat cât se poate de mult de tendințele și standardele mondiale.
Ce soluții în domeniul securității informațiilor sunt acum must-have pentru bănci?
Voi încerca să enumăr. Implementarea sistemelor DLP (Data Loss Prevention). Este o soluție pentru a preveni scurgerea fișierelor confidențiale în afara rețelei companiei. Sistemele DLP protejează datele prin identificarea informațiilor sensibile și apoi folosind analiza profundă a conținutului detectează și previne posibilele scurgeri. Sistemele DLP analizează toate informațiile de intrare și de ieșire și putem spune că la ieșire acționează ca, am să mă exprim în cuvinte simple, sistemul “Nipel”. Adică, sistemul nu eliberează informații fără autorizație.
Când am intervievat XONTECH SYSTEMS, au vorbit și despre sistemul de clasificare a informațiilor și etichetarea vizuală a acestora. Acesta este inclus și în sistemele DLP?
Nu, aceasta este o aplicație diferită, Boldon James. Este un produs dezvoltat de britanici și este specializat în clasificarea datelor și soluții de corespondență securizată. Informațiile care circulă în bancă sunt clasificate în trei categorii, de la absolut confidențiale la publice, fiecărei categorii i se atribuie o culoare proprie, în funcție de conținutul informațiilor și pentru utilizatori este ușor să înțeleagă intuitiv nivelul de securitate și cine poate accesa aceste informații. Această soluție la fel ne-a fost oferită de către XONTECH SYSTEMS.
Fără de care alte sisteme nu poate astăzi exista o bancă modernă?
Sistemele MFA/2FA de la OneSpan pentru autentificarea angajaților băncii și a utilizatorilor externi. Nevoia în astfel de soluții a crescut dramatic pe timpul pandemiei, când mulți angajați lucrau de la distanță. Dar, deoarece acest regim de muncă va face întotdeauna parte din lumea contemporană, nevoia unui sistem de autentificare bifactorial și, ulterior, a unui sistem de autentificare multifactorial va crește.
Acesta e atunci când utilizatorului, pe lângă parolă, i se solicită informații suplimentare?
Cel mai simplu sistem de autentificare cu doi factori este atunci când introduci o parolă și primești un cod SMS pe telefon, pe care trebuie să-l folosești și pentru a confirma că tu ești cel care te conectezi. Este clar că sistemul multifactorial folosește mai multe „trepte” de acces. Fiecare pas următor crește semnificativ nivelul de securitate.
Dar pentest-uri ați făcut? Când partenerul dvs. testează în mod independent sistemul dvs. pentru identificarea posibilității de intrare neautorizată?
Studiile au arătat că atacurile cibernetice determină adesea soarta unei companii: 60% dintre companiile atacate ies din activitate după 6 luni. Ca atare, securitatea cibernetică este vitală pentru supraviețuirea oricărei companii. Prin urmare, pentestele sau testările de penetrare se recomandă a fi efectuate cu regularitate (cel puțin o dată pe an) pentru a asigura un management mai consistent al securității IT, identificând eventualele amenințări sau vulnerabilități. Am inițiat primul astfel de test anul trecut. El a oferit informații interesante și a conturat terenul de lucru necesar pentru a crește nivelul de securitate a informațiilor. Anul acesta, am planificat două teste de penetrare: unul pentru penetrare externă care vizează datele vizibile pe Internet, al doilea pentest pentru penetrarea în rețeaua băncii prin sistemele și firewall-urile din interior.
Care sunt planurile Comertbank în ceea ce privește activitatea de securitate a informațiilor?
Securitatea informațională urmează întotdeauna planurile generale de dezvoltare ale băncii. Acum intenționăm să modernizăm semnificativ soluțiile noastre de business banking. Luând în considerare faptul că anul viitor este un an de investiții serioase în dezvoltare de noi servicii, securitatea informațiilor va juca și ea un rol important și vom lucra în paralel pentru a ne asigura că noile soluții nu vor crea potențiale riscuri. În plus, nu uitați că securitatea informațiilor se bazează pe cunoștințele și obiceiurile comportamentului uman. Prin urmare, investim constant în formarea și instruirea angajaților, iar acum planificăm să desfășurăm un modul special de formare în securitatea informațiilor pentru toți angajații băncii, inclusiv pentru management.
Lumea se îndreaptă rapid către mediul digital și trebuie să ne conformăm, să fim pregătiți pentru această tendință. În acest sens, Consiliul Băncii și Comitetul de Conducere ia toate măsurile necesare pentru a asigura securitatea datelor, alocând resurse financiare necesare îndeplinirii acestei sarcini.