Директор по управлению ИТ-стратегией Сбербанка России Мирча Михаеску в интервью изданию ZDNet опроверг слухи о том, что российские хакеры никогда не атакуют российские банки. “Мало того, что хакеры атакуют мой банк — они используют его как “песочницу”, чтобы опробовать новые и более мощные технологии для экспорта на Запад”, — рассказал он. С ростом и распространением облачных технологий правонарушители получили новые возможности для проведения самих атак, при этом продажа “хаков” делает эти атаки более изощрёнными — всё это является большой головной болью для ИБ-специалистов, отметил Михаеску.
Российские банки находятся в числе наиболее привлекательных объектов для хакеров, о чём, по словам специалиста, говорят многочисленные исследования фирм, занимающихся изучением области безопасности. “Хакеры прекрасно понимают, что, взломав нашу оборону, они смогут проникнуть и на другие объекты”, — пояснил Михаеску.
По его словам, Сбербанк очень часто становится жертвой так называемых атак нулевого дня, в том числе “очень необычных”, но эксперт не захотел раскрывать детали таких атак. Его опасения не напрасны ввиду того, что эти данные могут вооружить вирусописателей знанием методов и приемов, предпринимаемых банком для своей защиты.
Мирча Михаеску поделился ещё одной интересной деталью стратегии безопасности Сбербанка, заявив, что для борьбы с потенциальными злоумышленниками банк нанимает так называемых белых хакеров.
Ещё одна проблема, на которую, по его мнению, следует обратить внимание, это подключение банков к Сети: с одной стороны, это облегчило жизнь клиентам, но с другой — добавило работы службам ИБ банков. “Клиенты желают пользоваться облачными службами, они хотят, чтобы банковские сервисы работали как другие приложения, поэтому если мы собираемся распространять какое-то приложение, мы должны привести его к тому виду, чтобы клиент смог работать с ним на привычный манер. Это значит, что нам ещё предстоит много сделать, чтобы довести банковские сервисы до требуемого состояния”, — сказал Михаеску.
Ещё одна успешно используемая Сбербанком стратегия — перенос транзакций из публичного в частное, хорошо управляемое и контролируемое облако. В соответствии с этой схемой, чтобы получить доступ к сайту Сбербанка, клиенты делают запрос на проведение транзакций, используя приложение или браузер. При этом одна из наиболее важных частей схемы — обработка личной информации — происходит именно в частном облаке, инфраструктура которого является одной из наиболее защищенных в Европе. “Для того, чтобы получить доступ к данным, хакеры должны пройти через множество звеньев обороны, при этом не исключается вероятность того, что мы сможем в какой-то момент их поймать. Что касается конкретного клиента, то такие наши действия сопряжены с некоторым замедлением обслуживания, зато задержка может спасти его от потери денежных средств”, — уверен ИБ-специалист.
Банк обслуживает 80 млн. клиентов в России и в странах Восточной Европы. В штате учреждения 250 тыс. сотрудников, из них 15 тыс. — ИТ-специалисты. “У нас одна из лучших в мире команд по предотвращению хакерских атак”, — утверждает Михаеску.
О серьёзности намерений крупнейшего банка России в области ИТ говорит тот факт, что его правлением принято решение о создании венчурного фонда со стратегией инвестирования в высокотехнологические компании и проекты. “Мы вложили средства в несколько компаний из Европы, России и Израиля”, — сказал Михаеску, добавив, что в рамках Go4Europe — одной из самых престижных конференций в Израиле, которая затрагивает актуальные вопросы привлечения капитала, его банк наладил сотрудничество с несколькими израильскими компаниями в сфере обеспечения онлайн-безопасности. По его мнению, это сотрудничество поможет Сбербанку устранить некоторые пробелы в безопасности при управлении операциями на клиентских счетах.
Он также отметил, что ИТ-служба Сбербанка, которая насчитывает тысячи сотрудников, в ближайшие годы может быть количественно сокращена. “Это может произойти не из-за сокращения финансирования, а из-за изменений, которые происходят в ИТ-бизнесе. Облака меняют не только банковское дело или привычный шопинг, но и облик ИТ в целом, — сказал Михаеску. — ПО как услуга (SaaS), но только с поправкой на надлежащую степень безопасности, обеспечит то, что нужно пользователям, поэтому надобность в системных администраторах снизится — уже есть достаточно много инструментов, которые автоматизируют многие бизнес-процессы”.
С развитием и дальнейшей автоматизацией баз данных под нужды облачных служб может снизиться потребность в программистах, которые их обслуживают. Михаеску уверен, что та же участь постигнет и разработчиков ПО — на смену им придут автоматизированные облачные инструменты. “Потребность в ком-то, кто знает SQL наизусть, исчезнет, однако для талантливых и прилежных работников работа найдётся всегда”, — заключил он.