Для журнала «Банковское дело», №7: https://www.bankdelo.ru/magazine/pub/3453
В случае возникновений любых форс-мажорных обстоятельств даже у самых стабильных компаний с максимально налаженными и прозрачными бизнес-процессами существует риск потерять контроль над своей деятельностью. Финансовые кризисы, экономические санкции, угрозы военных конфликтов, падение цен на нефть и, как самый злободневный пример, режим карантина, связанного с коронавирусом, на который перешел весь мир: какие задачи ставят все эти события перед ИТ-департаментами финансовых организаций и какие дополнительные риски несут?
В условиях последней внештатной ситуации, во время вспышки коронавируса, всколыхнувшей весь мир, перед каждым работодателем встали трудные задачи: обеспечить безопасность своему бизнесу и, что гораздо важнее, своим работникам и клиентам. Для достижения этих целей все организации, а в первую очередь банки, призвали на помощь информационные технологии. События, связанные с распространением коронавирусной инфекции, продемонстрировали всему мировому сообществу, насколько важно иметь технические возможности изолировать бОльшую часть населения, чтобы не допустить увеличения масштабов эпидемии. Поэтому первое решение, которое справедливо было принято работодателями, — оперативно перевести максимально возможное количество сотрудников на удаленный режим работы. Может быть, со стороны это выглядит как довольно простая задача, однако многие финансовые организации столкнулись с разного рода проблемами в процессе обеспечения своим сотрудникам возможности работать из дома.
Стоит заметить, что в ходе описываемых событий банковские структуры оказались в следующей ситуации: попав в список предприятий жизнеобеспечения страны, банкам следовало оперативно принять решение о разделении всех сотрудников на группы: кто может работать удаленно и у кого такой возможности нет в силу специфики их задач: очень многие системы банка, особенно системы, связанные с проведением платежей, с информационной безопасностью, с финансовым комплаенсом, функционируют только во внутренних контурах банка и не имеют доступа к ним извне. Таким образом, департаментам информационных технологий и информационной безопасности предстояло перевести на “удаленку” одних работников и параллельно не снижать темпов в работах по обеспечению бесперебойного функционирования всех банковских систем. Да, сотрудников в коридорах банка стало меньше, а объем работ для ИТ увеличился.
Кстати, организация удаленного доступа к системам и информационным ресурсам стала не единственной горящей задачей для специалистов ИТ/ИБ банка. Следующий важный вопрос — наладить быструю и простую коммуникацию сотрудников, оказавшихся распределенными по своим домам. Все мы с вами замечали, что порой быстрее воспользоваться одним из популярных мессенджеров, чтобы задать коллеге какой-то вопрос и быстро получить ответ, чем написать письмо по корпоративной электронной почте. Некоторые банки, в том числе и одни из самых крупных в нашей стране, продолжают успешно внедрять корпоративные чаты и в свою ИТ-архитектуру, делая ставку на скорость коммуникации. Однако полностью исключить возможность утечки данных сложно, ведь солидное количество утечек происходит именно на стороне конечных пользователей, а полностью контролировать действия пользователей во время самоизоляции — почти невыполнимая задача, так же как и ограничить использование общедоступных, некорпоративных, мессенджеров в рабочих целях.
В ходе общения с нашими заказчиками-представителями банковской сферы мы выделили несколько проблем, с которыми столкнулись ИТ-департаменты банков в моменты перехода на “удаленку”
Поскольку никто не мог предположить, что ситуация с карантином зайдет настолько далеко, директивы о переходе части сотрудников банков на работу из дома принимались достаточно оперативно, что потребовало мобилизации трудовых ресурсов (системных инженеров, службы поддержки, инженеров безопасности) для реализации задач перехода на удаленный режим в максимально короткие сроки и с попутным решением всех вопросов, связанных с нюансами информационной безопасности. Кроме того, уже после перехода на домашнюю работу, возросла нагрузка на онлайн-сервисы всех финансовых организаций, что потребовало увеличить трудозатраты отделов технической поддержки, которые и в более спокойные времена испытывали острую нехватку кадров. Все эти события, само собой, повлияли на нагрузку штатных сотрудников банков, а введение режима удаленной работы прибавило лишней головной боли.
Как можно впредь решить такие проблемы?
На мой взгляд, оптимальный способ — балансировать и усиливать свою ИТ-команду аутсорсерами. Однозначно, что речи о полной замене штата на сотрудников компании-аутсорсера не идет, но в моменты пиковой загрузки штатных сотрудников банка, особенно в условиях тотальной нехватки высококвалифицированных кадров, помощь компетентных специалистов не будет лишней. Кроме того, частичное делегирование задач технической поддержки сторонней команде, специализирующейся на той или иной технологии, поможет оптимизировать расходы и избавить от необходимости постоянно подбирать персонал в команду и искать пути справиться с его “текучкой”. В таком случае, банку полезно иметь уже подготовленные рамочные соглашения с несколькими ИТ-компаниями, а также набор доступов к системам и готовые роли пользователей для сторонних интеграторов, заранее согласованные со службой ИБ, чтобы максимально оперативно, без лишних проволочек, можно было подключить сотрудников субподрядчиков к рабочему процессу. Для максимально эффективного контроля исполнения работ подрядчиком мы рекомендуем заранее составить документ SLA (Service Level Agreement, соглашение об уровне сервиса), в котором предусмотреть все параметры и метрики предоставляемых услуг, например, время приема в работу заявки на техническую поддержку после регистрации ее в системе Service Desk.
Далеко не все банки комплектуют рабочие места своих сотрудников ноутбуками, которые можно просто перенести в другую комнату или здание, многие делают выбор в пользу мощных рабочих станций с большими мониторами; даже если для служащих закупаются легкие ноутбуки, то также далеко не все банки санкционируют их вынос за пределы офиса банка. Аналогично не все сотрудники держат дома компьютеры достаточно мощные и удобные для полноценной офисной работы: многие обходятся в повседневной жизни только смартфонами и планшетами. Таким образом, переход на “удаленку” принес банкам новые денежные и временные затраты в виде необходимости закупить ноутбуки для сотрудников, не имеющих в личном распоряжении достаточно производительной техники. Отдельная история — покупка дополнительных лицензий на программное обеспечение: офисное, сетевое, специальное и т.д. По нашим оценкам, дополнительные расходы некоторых крупных банков могут составить до 6-7 миллионов рублей, не говоря уже о дополнительных трудозатратах на настройку техники и установку нужных программных продуктов. Универсального решения этой проблемы нет, решений много: от внедрения в рабочие процессы облачных платформ, к которым есть доступ с любого устройства, до рекомендации пересмотреть стандарты безопасности, о чем более детально — в следующем пункте.
Особенность работы в банках заключается в том, что, по возможности, вся деятельность ведется сотрудниками на территории офиса банка: это позволяет максимально контролировать весь рабочий процесс, а также использование информационных ресурсов с целью не допустить возможных утечек данных. Задачи информационной безопасности, приоритетные в банковской сфере, стали краеугольным камнем в вопросе разделения всех сотрудников банков на два лагеря: тех, кто может работать удаленно и кому нужно присутствовать на рабочем месте. Действительно, “удаленка” на период самоизоляции лишила инженеров информационной безопасности спокойствия: когда большей части пользователей нужно предоставить доступ к рабочим ресурсам, понятие “внутреннего контура” становится очень прозрачным. Осложняет ситуацию также тот факт, что, находясь дома, сотрудники точно будут отвлекаться на бытовые дела и не смогут оперативно отреагировать на возникающие угрозы, а, скорее всего, они их попросту не заметят. Отдельная история — те программные продукты, которые пользователи будут устанавливать на компьютеры, с которых ведется удаленная работа: среди них может быть вредоносное программное обеспечение, программы-шпионы, “теневое” ПО. То же самое касается и интернет-ресурсов, с которыми взаимодействуют сотрудники в отсутствие средств информационной безопасности, антивирусов и файрволлов, предусмотренных в банках.
С каких устройств коллеги будут подключаться к ресурсам банка — тоже весьма проблематично проконтролировать. С большой долей вероятности это будет персональный компьютер или планшет или даже смартфон, в лучшем случае — компьютер с подключением к VPN банка. Однако, судя по еженедельным отчетам компаний-лидеров в области информационной безопасности, злоумышленники не перестают находить новые и новые способы хищений данных с помощью всем привычных технологий.
Например, эксперты из Positive Technologies недавно опубликовали отчет об уязвимостях, связанных с ошибкой BlueKeep: такая ошибка безопасности позволяет получить доступ к компьютеру под управлением ОС Windows, доступному по протоколу удаленного рабочего стола (RDP). Количество машин, доступных по удаленному рабочему столу, по состоянию на конец марта 2020, составило около 115 000, из них около 10% уязвимы для BlueKeep.
В такой ситуации стоит задуматься о том, что стандартный вариант защиты внешнего контура становится менее актуальным и, возможно, необходимо переключиться на защиту самого ценного — данных, которые хранятся, как правило, в базах данных. Мы рекомендуем обратить особое внимание на встроенные или заранее интегрированные в СУБД средства защиты данных, такие как Database Firewall, вынесенные репозитории хранения логов, возможности маскирования, шифрования, защиты от просмотра пользователями с повышенными привилегиями и т.п. Как правило, такие средства предоставляются вендорами программного обеспечения: никто не знает устройство СУБД так хорошо, чтобы всесторонне защитить управляемые ею данные, как разработчик этой СУБД. Однако имеет смысл и обратить внимание на специализированные решения от независимых поставщиков ПО.
Однако не нужно делать вывод, что все обстоит так плохо, и подавляющее количество банков находятся в опасности: в банках с масштабируемой инфраструктурой и компетентными специалистами, где все делалось не на скорую руку, переход на “удаленку” произошел безболезненно. Действительно, по наблюдениям наших консультантов, тем банкам, которые еще несколько лет назад начали пересматривать свою ит-архитектуру и внедрять более гибкие методики и технологии, в этом году удалось минимизировать риски, связанные с информационной безопасностью в момент перехода “на удаленку”, а также обеспечить максимальную непрерывность своих бизнес-процессов.
Банальная проблема, свойственная в основном региональным банкам, — устаревшая инфраструктура, не предполагающая практически никаких возможностей работать с ней удаленно. Это самый маленький процент из всех проблем, так как банки обычно находятся, в буквальном смысле, на передовой ИТ и обладают целым спектром возможностей по автоматизации своих бизнес-процессов. Тем не менее, не подавляющее число банков идет в сторону цифровизации, что, само собой повлияло на оперативность перехода в режим удаленной работы. Устаревшее сетевое оборудование, программное обеспечение, которое уже не поддерживается вендорами, недостаточные каналы связи — все это делает возможность перехода на удаленный режим работы весьма проблематичным, если не невозможным.
Из сложившихся обстоятельств, несмотря на общий негативный фон происходящего, можно сделать много выводов. Например, тот факт, что немалому количеству банков стоит пересмотреть свое отношение к облачным технологиям, задуматься о построении единой экосистемы банка, а также переосмыслить стандарты безопасности, наконец, перестроить архитектуру в пользу более гибкой и масштабируемой.
Говоря об облачных технологиях, хочется подчеркнуть: архитектура, построенная на “облаках”, хоть еще и вызывает недоверие у руководителей департаментов ИТ и ИБ банков, уже зарекомендовала себя как путь к сокращению затрат на техническую поддержку и эксплуатацию ресурсов, упрощенному масштабированию; облачные платформы все чаще и чаще выступают в роли площадок для совместной работы команд, базирующихся не только в разных городах, но и в разных странах; причем речь идет об абсолютно разных областях деятельности. В банковской сфере еще циркулируют сомнения насчет безопасности данных, хранящихся в облаке, однако облачные провайдеры не устают опровергать эти сомнения не только постоянным внедрением новых средств защиты информации, но и растущим количеством клиентов, в том числе и из числа представителей крупного бизнеса.
Отдельный пункт для размышления — решение вопросов с персоналом: в условиях “рыночного голода” и повышенного спроса на опытных ИТ-специалистов, возможно, финансовым организациям действительно стоит задуматься об увеличении объема задач, передаваемого компаниям-аутсорсерам.
В любом случае, мы надеемся, что все вышеописанные проблемы, с которыми пришлось столкнуться как банкам, так и другим компаниям, станут благодатной почвой для новых идей, исследований и инновационных решений.
Наш менеджер свяжется в течение 2х часов
