Секретный сервис |
Фото: ПАВЕЛ СМЕРТИН, "Ъ" |
Сергей Чекин, директор департамента информационной безопасности компании CyberPlat, считает, что его профессия должна охватывать не только технологию, но и психологию |
Узкий гостевой холл банка "Платина" (он владеет компанией CyberPlat; офисы двух фирм расположены в трех минутах ходьбы друг от друга) упирается в массивную металлическую дверь. Сергей Чекин, ни от кого не скрываясь, набирает свой персональный код на пульте, а затем располагает ладонь между металлическими штырями устройства биометрической идентификации. Секунда — и дверь открывается. "Конечно, для контроля доступа можно использовать и пластиковые карточки, но биометрия надежнее, ведь потерять руку сложнее",— шутит Сергей Чекин. На вопрос о прошлом он сдержанно отвечает: "Работал в структурах МВД". О своей нынешней деятельности он готов рассказать подробнее.
— Что входит в круг ваших профессиональных обязанностей?
— Я директор департамента информационных технологий в компании CyberPlat. Отвечаю за то, чтобы наши услуги были безопасными с технической и информационной точек зрения. Чтобы представить мою зону ответственности, надо знать основы этого бизнеса, так сказать, его алфавит. CyberPlat — это платежная система, то есть она увязывает взаимодействие очень многих контрагентов в единое целое, обеспечивает подлинность и прохождение платежей. Вот у вас, например, мобильный телефон какого оператора?
— "Би Лайн".
— Знаете, наверное, кругом в Москве висят эти вывески: "Би Лайн. МТС. Мегафон. Подключение. Пополнение счета". Заходите в любой сотовый салон, в филиал банка или в магазин аудиовидеотехники, отдаете деньги, и через пару минут они у вас "в телефоне". Практически у каждого метро по два-три сотовых дилера проводят платежи через CyberPlat. Это в среднем 30 операций каждую минуту. И за очень малое время — между тем, когда вы вносите деньги, и когда они оказываются на счете вашего оператора — происходит много интересного. Между дилерами, расчетным банком, "Би Лайном", МТС, "Мегафоном" через интернет, то есть в открытой и потенциально небезопасной среде, передается финансовая информация. При этом она должна быть полной, достоверной и закрытой от мошенников. Чтобы обеспечить все эти условия, в CyberPlat используется электронная подпись — ЭЦП, хотя технически правильно говорить "аналог собственноручной подписи", ЭЦП — лишь одно из ее технических воплощений. Контроль правильности операций с ЭЦП — одна из задач моего отдела.
— Как это происходит на практике?
— Здесь дело в логистике всей системы, в "бесшовности" взаимодействия отдельных частей. Технология ЭЦП позволяет сделать операцию неоспоримой, то есть мы должны доподлинно знать, кто отвечает за ту или иную транзакцию. В распоряжении моих сотрудников есть паспортные данные каждой девочки, которая принимает платежи. Если возникают какие-то случаи отказа — все платежи у нас перед глазами в реальном режиме времени,— это должно вызывать подозрение, и мы вынуждены сразу брать их под контроль. Если, допустим, сотрудник неправильно ввел код или в принимающей платежи организации просто сменился ключ электронной подписи — это одно дело. В этом случае мы немедленно связываемся с менеджерами и проясняем ситуацию. Другое дело, если происходит попытка применить неправильную цифровую подпись. Поэтому приходится регулярно ездить по офисам дилеров, проверять их. Хотя взлом электронной подписи экономически неэффективен: вам понадобится несколько миллионов долларов на мощные компьютеры для дешифровки, и все это ради того, чтобы положить $100 на счет оператора. Поэтому, как правило, все возможные неувязки происходят из-за линий связи.
— А если покупка происходит через интернет в электронном магазине?
— Здесь другая ситуация. Проблема в том, что в этом случае мы не видим покупателя, не можем точно распознать — он это или мошенник, который использует реквизиты его карточки. Чтобы отслеживать подозрительные операции, есть система фрод-мониторинга — это наша разработка, компьютерная аналитическая программа. Кроме того, сотрудники отдела информационной безопасности обязаны регулярно проверять все электронные магазины, подключенные к CyberPlat — действительно ли они торгуют тем, о чем заявляют. Если вдруг возникает какое-то подозрение, немедленно начинаются спецмеры.
— Что за спецмеры?
— Секрет. Могу лишь сказать, что мы тесно сотрудничаем с правоохранительными органами. Вообще, в России в коммерческих организациях стоит копнуть поглубже — и можно найти бывшего разведчика. Хотя говорят, что разведчики не бывают бывшими.
— А информационной безопасностью внутри CyberPlat тоже занимаетесь вы?
— Да.
— Расскажите про эту часть своей работы. Например, за какие нарушения информационной безопасности сотруднику CyberPlat могут объявить выговор?
— Есть внутренние правила, они регламентируются инструкциями, техническими положениями. Несоблюдение этих положений может привести к наказаниям.
— Вы контролируете интернет-трафик сотрудников?
— Это самая простая часть работы. Все знают, что есть специальные программы, которые отслеживают интернет-активность работников. И если объем пропускаемой информации вдруг резко растет, значит, кто-то занят не своим делом — например, скачивает музыкальные файлы. Программа указывает на компьютер этого сотрудника, и в его отношении применяются меры административного взыскания.
— Как вообще можно предотвратить утечку коммерческой информации из компании?
— Есть набор средств, опять же административных и технических, общеотраслевые стандарты защиты информации в банках и платежных системах. Распространение этого знания в широких массах, как вы понимаете, может компрометировать само понятие информационной безопасности. Могу только сказать, что у нас есть некая общая политика распространения доступа к данным в организации. Понятно, что доступ к ключевой информации предоставляется единицам. Это максимум два-три человека, как правило, владельцы и топ-менеджеры. Остальным сотрудникам эта информация просто не нужна по роду деятельности. Охрана основной информации (например, в CyberPlat это может быть база данных с номерами кредитных карт или записи финансового взаимодействия с контрагентами) должна обеспечиваться на самом высоком техническом уровне. Например, может быть введен двойной пароль, то есть, чтобы попасть в систему, необходимо присутствие сразу двух высокопоставленных менеджеров.
— Последнее преступление в сфере высоких технологий, которое у всех на слуху,— это утечка базы данных с номерами абонентов МТС. Как, по вашему мнению, это могло произойти?
— У меня нет информации о том, как это произошло, поэтому конкретного комментария здесь я дать не могу. Я же не знаю, как устроен биллинг внутри МТС, кто имеет доступ к их базам данных.
— Насколько я понимаю, в сферу вашей ответственности входит и работа с людьми.
— Да, какой бы ни была технология, всегда нужно учитывать человеческий фактор. Поэтому ответственный за информационную безопасность сотрудник должен быть еще и немного психологом, и немного менеджером по персоналу.
— Как вы проверяете сотрудников? На детекторе лжи?
— Ну, на детекторе лжи мы не проверяем, хотя я знаю компании, в которых это делают. У нас все достаточно стандартно — интервью, вопросы, анкетирование, психологический тест. Про свой отдел я могу сказать, что набираю только тех людей, которых хорошо знаю сам, или тех, кого рекомендуют люди, которым я доверяю. Связи позволяют поддерживать нормальный процесс ротации кадров.
— Согласны ли вы с утверждением, что до 90% полезной информации находится в открытом доступе?
— В принципе да. Но, если говорить о CyberPlat, надо учитывать еще и юридическую сторону. Вообще, работая с любой организацией, мы стараемся максимально упорядочить наши отношения, так сказать, сертифицировать их, чтобы потом принципиальных разногласий не возникало. Да, информацию о потенциальных партнерах — их финансовое положение, сделки и т. п.— мы берем в основном из открытых источников. Мы и сами публикуем свою статистическую информацию (общий оборот), чтобы повысить уровень доверия к компании.
— У вас напряженная работа?
— Да, это большая нагрузка. Работа связана с новыми технологиями — на этом строится весь бизнес. Постоянно приходится анализировать информацию, быть в курсе дел как внутри организации, так и на внешнем рынке. Я, например, прихожу на работу к 8 утра. Согласитесь, это несколько необычно для деловой Москвы, где жизнь начинается в среднем в 10 часов. Но я считаю, что у человека моей профессии постоянно должна быть свежая голова.
— Как снимаете стресс?
— Ну, если третьего нам сюда посадить, я покажу (смеется). По правде говоря, недавно возобновил занятия горными лыжами — лет двадцать не занимался. Стараюсь на выходных выезжать в "Волен", катаюсь там по два-три часа. Если дочка не может поехать со мной, выбираюсь один.
Коллеги и друзья мои тоже ездят. Один, например, ездил недавно кататься в Переделкино и видел там Путина, естественно, в сопровождении охраны. А мой друг был в "маске террориста"-- она хорошо от ветра защищает. Разумеется, президентские "бодигарды" напряглись. Но президент быстро оценил ситуацию: "Хорошая у вас шапочка, надо тоже такую купить". А приятель ему в ответ: "Да, и морду не морозит". Вот такие у нас шутки.