новини
Новини и уведомления
News image

Банка ДСК интегрира усилията за ИТ сигурност и съвместимост с регулативни изисквания

Надя КРЪСТЕВА

Колкото и модерни технологии да внедряваме, ние ги обричаме на пълен провал ако служителите не са запознати е техните възможности и обучени да ги използват и ако не осъществяваме контрол
Голямо предизвикателство във всяка съвременна организация днес е с ограничен човешки ресурс да се наблюдават и анализират все по-мащабните информационни потоци.
Броят на регулациите и изискванията на законодателството, които организациите трябва да спазват в своята дейност постоянно расте. През последните години това е една безспорна тенденция, а във финансовите институции тя е най-ясно изразена. Осигуряването на съвместимост с нормативната база (т.нар. Complience) се превръща във все по-комплексна задача. В силно регулирани сектори (какъвто е финансовият) организациите понякога трябва да следят спазването на няколко различни, но частично съвпадащи законодателни норми, а същевременно много от стандартите и регулациите, с които трябва да се осигури съответствие, са свързани със сигурността на информацията. На този фон, много организации по света консолидират дейностите свързани с осигуряване на съвместимост и безопасност. Успешно реализираните инициативи в това направление водят до спестяване на човешки ресурси и допринасят за оптимизиране на инфраструктурата за информационна сигурност. За аргументите в полза на този подход разговаряме с Калин Антонов, директор на дирекция "Съответствие и сигурност" в Банка ДСК, и Даниел Креков, ръководител на отдел "ИТ сигурност" към същата дирекция на банката.

CIO: Г-н Антонов, ръководената от Вас дирекция, съществува сравнително от скоро в този вид, в който с дейностите по съвместимост и сигурност е ангажиран един екип. Какви са предимствата на такава организация?
К.А.: Доколкото съм запознат с позиционирането на различните Звена, ангажирани с въпросите на съвместимостта и сигурността във финансовите институции у нас, конфигурацията, която е възприета в Банка ДСК е уникална. При нас в една дирекция са обединени управлението на съвместимостта с нормативните изисквания, сигурността и ИТ сигурността.
Опитваме се да използваме предимствата на тези 3 направления на работа, така че да реализираме максимално успешно задачите си.
Още при създаването на дирекцията в този й вид основна задача беше създаване на възможности за реализиране на информационна сигурност
В крайна сметка живеем във век, в който всичко е информация и тази информация трябва да бъде защитена.
Най-елементарното решение е достъпът до информацията да се ограничи - да бъде забранено използването и. Опитваме са да работим по друг начин - да класифицираме информацията, да определим нейната важност и ежедневна необходимост, и в рамките на тези групи да контролираме нейното използване в съответствие със законовите изисквания. От една страна, съществуват множество нормативни документи, закони, наредби и структури, които контролират съхраняването и използването на информацията. А от друга страна, информацията е ценна тогава, когато е своевременна и точна.
Информацията, с която банката разполага, като правило е точна, а създаването на възможностите за своевременно и правомерно използване в някаква степен трябва да се допълнят от невъзможностите за неправомерно използване. Част от нашата дейност е да създадем правила и практики за използване на информацията, които да съответстват на международните изисквания и стандарти, както и на тези в страната. Създаването на дирекция "Съответствие и сигурност" в този вид е обусловено и от преценката за необходимостта от консолидиране на дейности и осигуряване на съответствие със законите и регулациите. Моето убеждение е, че обединяването на функциите в областта на съответствието и сигурността е правилният подход при организирането на работа в наши дни.
CIO: Какви са основните проекти, по които дирекцията "Съвместимост и сигурност" работи напоследък?
К.А.: Един мащабен и дългосрочен проект, реализиран от Банка ДСК е въвеждането на стандарта за сигурност на картовите трансакции Payment Card Industry Data Security Standard (PCI DSS). Сертификацията no този стандарт налага да бъдат изпълнени редица изисквания, свързани със сигурността на оперирането с банковите карти и на информацията свързана с тях. Проектът стартира през 2011 година и към момента Банка ДСК е вече във финалната фаза. Предвид мащабите на банката считам, че доста бързо и безпроблемно отговорихме на изискванията на стандарта Очевидно и преди проекта за сертификация по PCI DSS специалистите на банката, ангажирани със сигурността на кар-товите трансакции са работили по темата с разбиране и с отчитане на тенденциите. Бъдещето е на сертифицираните служители, структури и процеси. Банка ДСК от години върви по този път и считам, че това говори в полза на институцията.
Банката осъществява и други нововъведения в организацията на информационните потоци. Като един от големите оператори на лични данни преминаваме и през периодични проверки за съответствие със Законовите изисквания. Последната такава проверка от страна на комисията за защита на личните данни премина през 2013 г. без ЗабелеЖки, което определено е постижение, като се отчита огромният обем на данни, обработвани в организацията.
Д.К.: Класифицирането на информацията е още един мащабен проект, който в Банка ДСК ще приключи през следващия месец. Целта е да бъдат актуализирани правилата и процесите определящи с каква информация трябва да работят служителите в Зависимост от различните длъжности и работни ангажименти в банката. На следващ етап задачата е интерпретирането на правилата в
DLP системата и регулярно наблюдение за спазването на тези правила, с което ще се постигне по-високо ниво на вътрешна сигурност.
От гледна точка на външната сигурност, след 15 години успешна експлоатация на FW Check Point, на дневен ред е въвеждането на допълнителна защитна стена за приложения (web application firewall) - т.е. технология, контролираща достъпа до или от приложения и услуги. Практиката показва, че външните (т.нар. generic) firewall-и не са достатъчни, за да защитят сайтовете на големи организации.
Също така големи организации като нашата разполагат с отлични технически средства, но за ефективното използване на тези инструменти е необходима висока квалификация на служителите, които работят с тях. От тази гледна точка всички служители трябва да бъдат много добре обучени, а това се отнася най-вече за сътрудниците в отдел ИТ сигурност, които трябва да са в състояние да преценяват правилно съвременните атаки.
Днес кибер атаките са ежедневие Трябва постоянно да се инвестира и в техническо оборудване, подпомагащо Защитата на информацията, а също така и в обучение.
К.А: Обучението е много важна част от нашата дейност. Колкото и модерни технологии да внедряваме, ние ги обричаме на пълен провал, ако служителите не са запознати с техните възможности и обучени да ги използват и ако не осъществяваме контрол. Тези два процеса са реализирани много добре в Банка ДСК. Всички служители преминават минимум 2 пъти в годината курс на обучение за работа в информационната и банкова среда, от гледна точка на правилата за съответствие и сигурност. Ръководителите преминават и допълнителни обучения. Всички нормативни документи са достъпни в корпоративната интранет, така че всеки служител може да направи справка при необходимост.
Същевременно дирекция "Съвместимост и сигурност" контролира както спазването на определените правила, така и доколко те се познават, като за целта се провеждат вътрешни тестове.
В резултат от всичко изброено, колегите стават все по-внимателни в своята работа с банкова информация, независимо дали става дума за комуникация с клиенти, с колеги или външни лица.
CIO: По какъв начин се вземат решенията $а въвеждане на нови информационни технологии в работата на дирекция "Съвместимост и сигурност"?
К.А: Дирекция "Съответствие и сигурност" не може да реализира сама за себе си задачите си, особено що се отнася до информационните технологии. В банката функционира "Съвет за информационна сигурност", в който участват всички директори, имащи отношение към банковата информация и информационните процеси в банката. Тази структура е създадена преди години, в отговор на изискванията на правилата за информационна сигурност на банката и за това време е доказала своята ефективност и работоспособност. Съветът заседава веднъж месечно и взема всички решения, които засягат политиките за информационна сигурност на организацията и нейното съответствие с изисквания поставени както на ниво банка, така и на ниво банкова група, и на ниво европейски изисквания.
Важно предимство е, че на този съвет се събират ръководители, всеки от които има отношение към информационните потоци, но от различни позиции. Някои от участниците имат опит предимно в сферата на улесняване на информационните потоци, други са фокусирани в противоположната сфера, свързана с ограничаване и регулиране на информационните потоци. Интересното е, че въпреки различните гледни точки, на практика винаги досега, макар и след спорове, сме изграждали единно становище, което сме прилагали.
CIO: Какви са функциите на отдел "ИТ сигурност" като част от дирекция "Съвместимост и сигурност"? К.А: По всичко личи, че оттук нататък, както е модерно да се казва, сме „обречени да качим в облака" обработката на информационната база на обществото и на отделните организации. Това отново поставя въпроса за сегментиране на информацията по критерии за нейната Значимост - трябва да прецизираме критериите за информацията, която ще обработваме в една по-слабо Защитена среда. Това е много важен въпрос за банките, тъй като повечето данни, с които те работят, са чувствителни. В тази връзка е необходима изключително добра комуникация между нашата дирекция, с нейните регулиращи и ограничаващи функции, и ИТ подразделението, което има за Задача непрекъснато осигуряване на информационните потоци и информационните услуги. От тази гледна точка мястото на звеното по ИТ сигурност в дирекция "Съвместимост и сигурност" се оказва предимство. Колегите от това звено се занимават не само с техническите нововъведения и не само с използване на наличните технически ресурси за защита на информацията, но и работят много активно във връзка с нормативната база, правилата за използване на информацията в банката и други подобни въпроси.
В качеството си на експерти по ИТ сигурност те извършват предварителни оценки и дават становища за съответствието на различни ИТ проекти с нормативни и други изисквания.
При започване на работа по дадена идея, независимо дали става дума за бизнес приложение или друг проект, сме изградили такъв начин на работа, че колегите от отдела по ИТ сигурност винаги се включват на експертно ниво от самото начало, както и колегите от съответствие. От самото начало се дава такава насока на работата, че проектът да бъде в унисон с изискванията за Законосъобразност и сигурност на информацията.
Следва да отбележа, че тъй като динамиката на ИТ инициативите в банката е много висока, то и натовареността на колегите от отдел "ИТ сигурност" в работата по становища за съответствие постоянно се увеличава. От друга страна, отделът по ИТ сигурност има ролята да допринася за изграждането на ИТ решения, които да бъдат приложими и полезни през следващите 10 и повече години. Използването на вече въведени за целите на сигурността системи е по-малката част от тяхната работа.
CIO: Г-н Креков, какви конкретни информационни решения подпомагат защитата на информацията в банката?
Д.К.: Не бих искал да се спирам върху всички средства използвани в Банка ДСК, но ще изброя някои от тях. Внедрена е DLP система на Symantec, която контролира и предотвратява изтичането на информация, както и система за управление на събития, свързани с информационната сигурност (SIEM) HP ArcSight. Използваме Next Generation Firewall на Check Point - решение, което е с разширени възможности спрямо традиционните Защитни стени. Има и допълнителни възможности за контрол на мрежово ниво и на ниво приложения.
На работните станции е инсталирана антивирусна система на Symantec от последно поколение, която има възможност да ограничава използването на устройства за външна памет - например има опция на системата, при която от външна памет може да се чете, но на такова не може да се записва и съответно да се изнася информация.
Използваме и специализирани соф-туери за откриване на най-слабото Звено. Всяка седмица провеждаме тестове за проникване в различни системи на банката.
Внедрихме системи за мрежов контрол и мрежова защита (т.нар. NAC и NAP) реализиращи стандарта 802.1Х. Това решение не допуска
Включване на чуждо устройство (например лаптоп) в корпоративната мрежа и сигнализира при подобни опити.
Въведена е и система за управление на отдалечени устройства като лаптопи и смартфони, така че при Загуба или кражба на такива устройства можем да гарантираме съхранението на информацията. Също така решението ни дава възможност за контрол на устройството.
CIO: Какви са основните предизвикателства във вашата работа към момента?
К.А: Един от съществените проблеми напоследък, който за щастие решаваме успешно, е противодействието на опити за измами при електронното банкиране. В наиионален и европейски мащаб все по-чести са опитите за неправомерно проникване в електронните акаунти на клиентите с цел кражба на пари. От първостепенна важност за всяка финансова институция е да не допусне разбиване на нейната платформа за извършване на платежни операции. Защото именно желанието да съхранят парите си по сигурен начин е довело хората до идеята за банката. Основното качество на банката е нейната надеждност. Ние работим усилено и реализираме това качество при електронните форми за разплащане.
Във връзка с противодействието на опитите за измами при електронните разплащания особено важно е това, че през последните 2 години всички банки разбраха, че въпреки конкуренцията им в предоставянето на финансови услуги, когато става дума за сигурността, финансовите институиии са партньори, които си оказват съдействие и споделят информация особено за нови методи на банкови измами и други подобни тенденции. Това разбиране се споделя от повечето хора в банковия сектор.
Д.К.: Голямо предизвикателство във всяка съвременна организация днес е с ограничен човешки ресурс да се наблюдават и анализират все пo-мащабните информационни потоци. За да се постигне това, са необходими съвременни системни решения за мониторинг и анализ на потока от информация. В Банка ДСК за тази цел са внедрени няколко системи, които взаимно се допълват. Основната система е HP ArcSight, която събира всички лого в е, провежда анализи и изпраща съобщения no e-mail при откриване на проблеми - това спестява времето и човешките ресурси, необходими за наблюдението и навременното идентифициране на евентуални пробиви и други нежелани ситуации във връзка с ИТ сигурността.
Друго основно предизвикателсто за нас е постигането на идеален баланс между сигурността и лекотата, с която клиентите използват нашите платформи. Стремим се да бъдем изключително защитени и в същото време това да не затруднява работата на клиентите с нашия сайт, с нашите системи за електронно и мобилно банкиране. Същият баланс търсим и по отношение на системите, които се използват от служителите на банката - целта е те да бъдат максимално защитени, без 9а се създават неудобства при използването на информационните системи.
CIO: Какви са основните проекти, по които ще работите в перспектива?
Д.К.: Планираме разширяване на възможностите на DLP системата с въвеждане на т.нар. SSL off-loader, за да можем да наблюдаваме криптирания трафик, излизащ от вътрешните мрежи на организаиията. В краткосрочна перспектива ще приключим внедряването на web application firewall, както и проекта по разширяване на възможностите на SIEM.
К. А.: В по-дъл-госрочна перспектива несъмнено ни очакват нови предизвикателства. В глобален мащаб намалява броят на бандитите, които нахлуват въоръжени в банковите офиси, за да ги ограбят, но рязко се увеличи броят на крадиите, които искат да "влязат" в банковите офиси през мрежата. Оттук нататък Задачата е да изработим ефективен модел за противодействие на банковите измами извършвани по електронен път. В тази сфера ще работим в сътрудничество с ИТ експертите и експертите по информационна сигурност от банката, както и извън нея.
Ще продължим да отделяме първостепенно внимание на обучението за безопасното поведение в офиса и в мрежата. За съжаление понякога наблюдаваме млади специалисти, постъпили току-що на работа, които във всяко отношение са отлично подготвени, но не осъзнават, че поведението в корпоративната мрежа на банката не може да бъде същото, както в социалните мрежи. Затова обучението на служителите ще остане във фокус в средносрочна и дългосрочна перспектива.
Сходни задачи си поставяме и по отношение на клиентите. Парадоксално е, но е факт, че когато хората изтеглят пари в брой, във всички случаи ги прибират на сигурно място, докато когато използват електронно банкиране потребителите често оставят отворена страницата на своя акаунт или оставят електронния си сертификат достъпен в мрежата. В тази връзка ще продължим да полагаме усилия и за повишаване на осведомеността на клиентите по въпросите на сигурността.

Още новини

Последни новини

Свържете се с нас

010 010

Запазете час

за консултация

Call center Call center

Обратна връзка

Ние ще се свържем с теб

012 012

Намерете клон

Вижте нашата мрежа от офиси и банкомати

chatbot icon