«У большинства банков Армении недостаточный уровень информационной безопасности»

Интервью генерального директора «Апага Текнолоджис» Мишеля Давудяна агенству Медиамакс

- 27-го апреля «Апага Текнолоджис» провела семинар для банков и других компаний финансового сектора на тему новых новых стандартов управления системами информационной безопасности ISO 27000. В ходе презентации было отмечено, что стандарты знаменуют собой новый этап в развитии финансовой системы Армении. Чем это обусловлено и в чем заключаются преимущества новых стандартов?

- Правительство Армении решило локализировать международные стандарты ISO/IEC 27000 и принять их в качестве национальных. Эти стандарты могут быть приняты любой компанией, но, в особенности, должны быть приняты во внимание банками и финансовыми институтами. Если мы хотим, чтобы наш банковский сектор был конкурентоспособен на национальном и международном уровне, нам необходимо принять эти стандарты, как наилучший путь защиты информации.

Эти стандарты были разработаны различными авторитетными компаниями, в числе которых HSBC, Royal Dutch Shell, Unilever и British Telecom. Это крупные компании, которые очень хорошо организованы и крайне осторожны в вопросах информационной безопасности.

Думаю, внедрение этих стандартов очень важно для Армении. Получив сертификацию ISO27001, у банков Армении появится множество преимуществ в кооперации с международной банковской системой. Как вы, наверно, знаете, армянские кредитные карты не принимаются во многих странах, даже будучи Visa и Mastercard. Зачастую армянской кредиткой невозможно оплатить покупку, к примеру, на eBay. Таким образом, как только международные банки узнают, что банки Армении соответствуют стандартам ISO27000, наряду с множеством преимуществ, наши кредитные карты будут приниматься во всех странах.

Когда компания хорошо организована, у вас нет необходимости делать одну и ту же вещь дважды. Принятие этих стандартов помогает компании оптимизировать и рационализировать свою работу и сократить расходы. Стандарты гибки, они не диктуют компании как именно действовать, а советуют ей соответствовать определенным правилам; компания может самостоятельно решить, отвечать или нет многим пунктам данных стандартов.

- Сколько банков и финансовых организаций Армении начали внедрять у себя новые стандарты информационной безопасности? В чем заключается роль «Апага Текнолоджис» в данном процессе?

- Стандарты еще никто не принял, но большая часть армянских банков уже на пути к их внедрению. Сначала мы предлагаем банкам проделать так называемый аудит информационной безопасности (Information Security Audit Snapshot - ISAS) – услугу по оценке ситуации, определяемой по пропорциональной шкале. Это дает верную картину текущего уровня информационной безопасности в компании. Мы исследуем не только их IT-инфраструктуру, но также другие области, ассоциирующиеся с информационной безопасностью: бизнес-планирование, физическая безопасность, безопасность трудовых ресурсов, управление доступом и т.д. Затем мы готовим отчет, в котором описываем текущую ситуацию, а также обозначиваем необходимые шаги для решения потенциальных проблем. Это необходимо для достижения сертификации ISO27001.

Большинство вопросов может быть решено компанией самостоятельно, но некоторые сложнее и для их решения необходима поддержка извне. Так, к примеру, если в результате ISAS мы определяем 100 шагов, необходимых для выполнения, то компания в состоянии самостоятельно проделать 70 из них, а остальные же 30 - с помощью консалтинга такой компании, как «Апага».

- Как вы в целом оцениваете уровень информационной безопасности в финансовом секторе Армении? Чем мы уступаем в данном вопросе финансовым секторам развитых стран?

- Мы провели исследования в нескольких армянских банках и, хотя я не могу раскрыть детали, скажу, что у большинства банков Армении недостаточный уровень информационной безопасности. Многие финансовые организации Армении не обладают средствами эффективной самозащиты и мониторинга. Причина в том, что у менеджмента компаний нет ясного понимания важности вопросов информационной безопасности. Она зачастую ассоциируется у менеджмента только с IT, в то время, как на самом деле информационная безопасность относится ко всем звеньям предприятия. Со временем банкам придется соотвестствовать стандартам ISO27000 и Центральный банк (ЦБ) Армении будет несомненно поощрять это, поскольку переход к новым стандартам облегчит регулятору контроль и оценку финансового сектора.

- Сколько стран уже полностью перешли на новые стандарты?

 - Наибольший процент компаний, внедривших у себя эти стандарты, находится в Японии, Индии, США и Европе. Но даже в Европе не каждая крупная компания имеет сертификат ISO27001, поскольку эти стандарты относительно новые. Полный процесс внедрения подразумевает глубокие организационные и культурные изменения в работе фирмы и может занять до 2-х лет.

Отмечу, что даже если компания не стремится получить сертификацию, это не означает, что она не должна внедрять у себя эти стандарты, поскольку они являются хорошим путеводителем к достижению организованности в работе.

- Как вы оцениваете армянский рынок по обеспечению информационной безопасности?

- Сегодня мы не можем дать оценку рынку, поскольку до сих пор львиная доля информационной безопасности в организациях обеспечивается «самодельными решениями». Это означает, что у компании есть собственное IT-подразделение, которое строит систему защиты доступа и изменяет ее правила вручную. Такой метод работы был допустим 10 лет назад. Сегодня он приемлем лишь для небольших компаний, но ни в коем случае для банков. Таким образом, компании, как Apaga, имеющие в своем штате европейских и армянских опытных сертифицированных консультантов, могут обеспечить банкам весь спектр услуг по обеспечению безопасного расширения бизнеса. 

- В Армении активно развивается рынок интернет-банковских услуг. Как это действует на рынок услуг по обеспечению информационной безопасности?

- В Армении в данном аспекте ситуация довольно интересна. Все банки хотят запустить интернет-банковские услуги. Многие уже сделали это, но не всегда с проведением четкого анализа с точки зрения безопасности. Для некоторых из банков это может привести к серьезным последствиям.

Рынок интернета в Армении переживает бурный рост. На рынке появились новые операторы, повышается качество, снижаются цены. Таким образом, у армянских интернет-ресурсов появляется намного больше местных и иностранных пользователей, а это приводит к росту рисков. 

За последние несколько лет мы стали свидетелями многих серьезных атак из Азербайджана и других мест, но, к сожалению, до сих пор ничего не было проделано для их предотвращения. Компании в большинстве продолжают защищать себя без профессионального содействия извне.

Наши сертифицированные консультанты оказывают ряд услуг, включая так называемое тестирование степени проникновения (penetration testing). Это представляет собой попытку взять контроль над системами клиента. Тестирование производится как изнутри компании, так и извне, в точности так, как это делают хакеры. Следует помнить, что 70% угроз исходит изнутри. В результате мы находим все уязвимости и даем клиенту детальные рекомендации. Это называется «этичное хакерство».

Таким образом, рынок для нас улучшается. Вместе с тем, рынок IT-безопасности нуждается в очень высоком уровне знаний и только настоящие профессионалы смогут выдержать конкуренцию. Наша компания, основанная мной 25 лет назад во Франции, обладает большими познаниями во всех областях информационной безопасности. Мы знаем новые угрозы. 

-  Возможен ли выход армянских компаний, предоставляющих услуги по информационной безопасности, на международный рынок?

- У меня получилось наоборот. Сперва я основал компанию во Франции, а затем в Бельгии. Но думаю, это вполне возможно. В Армении есть талантливые молодые специалисты, которых мы обучаем и намерены сделать из них консультантов по информационной безопасности международного уровня.