Юрий Лысенко: «Рынку не хватает зрелости и понимания заказчика»

— Юрий Николаевич, Банк Хоум Кредит является членом Home Credit Group, компании которой работают на финансовых рынках Центральной и Восточной Европы, а также Центральной Азии и Дальнего Востока. Осуществляет ли Ваше Управление взаимодействие со своими зарубежными коллегами, и в чем, на Ваш взгляд, специфика обеспечения ИБ на российском предприятии?
— Да, мы плотно взаимодействуем с коллегами из Группы. Они делятся своими наработками, совместно проводятся работы по повышению уровня информационной безопасности и разрабатываются планы развития системы управления.
Специфика российских компаний, на мой взгляд, заключается в реактивном подходе к решению задач. К сожалению, многие компании начинают использовать средства защиты только после того, как что-либо случилось.
— Развитие систем безопасности бизнеса происходит поэтапно. В России эксперты говорят о существовании первого этапа, когда в 90-е годы проблемы решались бандитскими разборками; второго, – наступившего в 2000-х годах и основанного на широких связях сотрудников в высоких инстанциях; и третьего, – ведущего к решению проблем интеллектуальными методами. Можете ли Вы согласиться с данными выводами применительно к банкам, и на каком этапе развития, на Ваш взгляд, сегодня находятся системы безопасности российских финансовых учреждений?
— я могу судить о развитии систем безопасности исключительно с точки зрения защиты информации. Поэтому я не могу с этим согласиться. В 90-е годы никто не думал об информационной безопасности, точнее под этим понятием подразумевалась исключительно техническая защита, в 2000 – стали применяться первые средства защиты – антивирусы, межсетевые экраны, и т.д. Сегодня это развитие ушло далеко вперед.
Ситуация с защитой информации в банках неоднородна. Крупные банки хорошо понимают необходимость вложений в информационную безопасность и выделяют на это средства, небольшие банки не могут позволить себе аналогичные затраты на ИБ. Это связано не только с дефицитом бюджета, но и с тем, что цена средств защиты практически не зависит от масштабов бизнеса. То есть стоимость обеспечения информационной безопасности мелкого регионального банка и федерального гиганта с широкой сетью офисов, может разниться лишь на 30–50%.
— В отчете Лаборатории Касперского, посвященном киберитогам 2011 г. и прогнозам на 2012 г., говорится, что корпоративные пользователи, как это ни парадоксально, защищены хуже, чем персональные, и более уязвимы даже для примитивных атак. Согласны ли Вы с этим утверждением и в чем причина такого положения дел?
— Один из самых важных моментов – это снижение роли человеческого фактора в информационной защищенности, которое возможно при развитии корпоративной культуры в этой области. К сожалению, данный процесс идет очень медленно. Часто сотрудники не задумываются о возможных проблемах, которые могут возникнуть при невыполнении или, более того, намеренном нарушении требований безопасности. И чем больше сотрудников работает в компании, тем ниже будет защита от человеческого фактора – самого слабого звена в системе. Но мы многое делаем в этом направлении: кроме разумного ограничения доступа к сторонним ресурсам, мы стараемся гибко реагировать на потребности пользователей и разъяснять политику банка в области информационной безопасности.
— Вы частый гость на конференциях и форумах, посвященных проблемам безопасности бизнеса. Насколько, по Вашему мнению, важно участие сотрудников компаний в подобных мероприятиях?
— К сожалению, большинство мероприятий носит чисто коммерческое назначение, где продавцы и производители систем и средств защиты рекламируют свои продукты, зачастую даже не вникая в требования потенциальных заказчиков. Очень мало выступлений про реальные внедрения, плюсы и минусы определенных продуктов и систем.
— Какие меры принимаются для предотвращения преступных действий со стороны штатных работников?
— Контроль, мониторинг, профилактическая работа, разделение полномочий, повышение уровня ответственности.
— Возможно ли при помощи технических решений защитить компанию от халатности, саботажа, внутренних хищений и т.д.?
— Полностью – нет. К сожалению, человеческий фактор всегда остается. Но уменьшить – возможно, существенно усложнив все вышеперечисленное.
— Какими критериями руководствуется Ваше Управление в выборе оборудования и кто отвечает за его закупку?
— Основной критерий – это удовлетворение требований стандартов информационной безопасности. То есть не лоскутная защита, а зонтик, который бы защищал все ресурсы. Кроме того, играют роль возможность масштабирования, простота внедрения, удобство использования, совокупная стоимость и, естественно, разумная стоимость.
— Какие задачи Вы поставили бы перед поставщиками оборудования?
— я думаю, что рынку не хватает зрелости и понимания заказчика. Поставщики, к сожалению, чаще навязывают собственные уже готовые продукты, не желая разрабатывать индивидуальные решения. Также хотелось бы больше прозрачности и открытости. Например, демонстрации реальных параметров нагрузки на оборудование и программное обеспечение, а не идеальные условия.
— Спасибо.