Информационная безопасность банковской деятельности. Второй SOC Сбербанка
BIS Journal №3(30)/2018
20 июля, 2018
Сергей Валуйских, Центр киберзащиты Сбербанка
Модернизацию Security Operation Centre Сбербанка в самом Сбербанке называют одним из крупнейших в Европе и самым масштабным в России проектом трансформации SOC. Речь идёт не только о технологических новшествах, но и о вещах фундаментальных: внедряется абсолютно новая процессная модель, вводится новая оргштатная структура и, самое главное, меняется профессиональное сознание людей, так или иначе участвующих в проекте.
На вопросы ведущего рубрики «SOCи России» Александра Бодрика о причинах и предпосылках этой инициативы, структуре и взаимодействии SOC 2.0 со смежными подразделениями отвечает управляющий директор – начальник центра киберзащиты Сбербанка Сергей Валуйских.
ИСТОРИЯ, СТРУКТУРА И ЗАДАЧИ
До последнего времени не вызывал сомнения тот факт, что SOC Сбербанка справляется со своими задачами и имеет запас прочности на несколько лет вперёд. Расскажите, пожалуйста, историю формирования SOC Сбербанка вообще и историю возникновения SOC 2.0 в частности?
— SOC в том или ином виде существует в банке давно, и пока Сбербанк был классическим банком, работающая в нём система кибербезопасности полностью соответствовала выдвигаемым требованиям.
Трансформация Сбербанка в серьезную и мощную технологическую компанию связанная с растущей диджитализацией, выходом на рынок цифровых услуг и созданием цифровых платформ, повлекла за собой необходимость перехода функции безопасности в новое качество. SOC, который до этого устраивал компанию, перестал отвечать на новые вызовы.
SOC 2.0 часто называют Intelligence-Driven SOC, однако чёткого определения не существует. Для кого-то это просто внедрение новых технологий, таких, как UBA (User Behavior Analytics). Для нас же это понятие выходит за рамки внешнего «тюнинга» и означает глубокую трансформацию на всех уровнях: в процессах, технологиях и, самое важное, в сознании людей.
Минимизация ущерба от масштабных инцидентов требует координации усилий многих подразделений. Какая структура у вашей службы кибербезопасности?
Как структурирован сам SOC? В чём отличие структур и функционального назначения SOC и SOC 2.0?
— SOC Сбербанка географически распределён. Основные подразделения расположены в Москве, но существуют ещё четыре региональных сервисных центра. Все они имеют чёткую структуру:
Круглосуточная дежурная смена отвечает за мониторинг событий кибербезопасности и реагирование на инциденты в режиме 24/7.
Отдел реагирования на инциденты кибербезопасности, в котором трудятся высококвалифицированные эксперты, подключается, когда компетенций дежурной службы оказывается недостаточно.
Отдел средств защиты администрирует все системы, стоящие «в разрыв», то есть непосредственно влияющие на предоставление сервисов банка, к примеру, межсетевые экраны.
Отдел мониторинга сопровождает все остальные средства и системы защиты, например, все системы поддержки процессов SOC, такие как SIEM, Ticketing, Reporting и многие другие.
Основное отличие SOC и SOC 2.0 с точки зрения оргштатной структуры — в наличии подразделения Cyber Threat Intelligence. Оно должно заменить реактивную модель SOC на проактивную: пресечь возможный инцидент до его возникновения.
Занимается ли служба кибербезопасности мониторингом доступности и эффективности бизнес-процессов силами SOC?
— Эффективность — нет, но бизнес-метрики мониторим. Обеспечение доступности сервисов — одна из задач cлужбы кибербезопасности. И если, скажем, среднестатистический показатель числа пользователей, использующих Сбербанк Онлайн, вдруг резко уменьшается, это может быть признаком снижения доступности. Другой пример — при защите от DDoS-атак мы постоянно отслеживаем метрики доступности атакуемых систем.
Развитые SOC часто идут по пути технического улучшения, например, форензики, реверс-инжиниринга и киберразведки. Какие из этих практик применяются в Сбербанке?
— Все. Киберразведкой занимается, в частности, подразделение Cyber Threat Intelligence. Реверс-инжинирингом — отдел реагирования. Кстати, реверс-инжиниринг активно применялся при разборе нашумевших вирусных эпидемий WannaCry, NotPetya, Bad Rabbit, и используется ежедневно при реагировании на фишинговые атаки. Форензика входит в задачи отдела расследований центра киберзащиты, который привлекается для сбора цифровых доказательств в случае крупных, резонансных инцидентов. Кроме этого, в составе центра киберзащиты работает команда Red Team. Она производит постоянную оценку защищенности систем банка, тестируя их на проникновение. Это важное направление, которое является, в том числе элементом SOC 2.0.
Входит ли в SOC служба фрод-мониторинга?
— Сейчас нет, но с внедрением модели Fusion Сentre дежурная служба фрод-мониторинга войдет в его состав. Сейчас же дежурная служба SOC и фрод-мониторинга активно сотрудничают.
Многие крупные корпорации при создании SOC выносят операционное ядро в регионы, надеясь снизить затраты и получить доступ к менее конкурентным, чем московский, рынкам труда. Как распределяются по регионам подразделения вашего SOC?
— Как я уже отметил, SOC географически распределён. Частично это действительно связано с некоторой экономией, но это не единственная причина такого решения. В Москве часто приходится иметь дело с чем-то глобальным, а в регионах дефицит информации стимулирует желание разобраться в предмете детальнее.
На базе региональных SOC мы создаем центры компетенций, каждый из которых отвечает за определенную зону защиты (к примеру, периметр сети) и является уникальным подразделением в структуре SOC.
ТЕХНОЛОГИЧЕСКОЕ ОБЕСПЕЧЕНИЕ SOC
Сбербанк известен высокой степенью автоматизации SOC. Какие ключевые системы вы бы выделили? Чем в этом смысле отличается SOC 2.0?
— Применительно к SOC я бы выделил, в первую очередь, системы поддержки процессов SOC. Прежде всего, Ticketing System и Reporting System. Они полностью внедрены в SOC. Также сейчас мы активно внедряем Threat Intelligence Platform и Incident Response Platform — системы, которых не было в SOC и которые являются неотъемлемой частью SOC 2.0.
Главной проблемой баз данных управления конфигурации (Configuration Management Database) обычно является их быстро устаревающее наполнение. Как эта проблема решается у вас?
— Проблема присуща всем системам CMDB, особенно в компаниях с развитой инфраструктурой. Мы используем ту же CMDB, что и в IT. Уровень её актуальности достаточно высок и для её поддержания в IT выделено целое подразделение. Чтобы наполнение не устаревало, необходимо соблюдать своего рода «гигиенический» IT-минимум: каждый сотрудник как владелец определенного ресурса должен следовать инструкции и поддерживать свои записи в базе в актуальном состоянии. Это должно войти в привычку: внёс изменения — сделал запись. Иначе никакой отдел не поможет.
Для служб кибербезопасности характерна проблема приоритетности задач по доработке Service Desk для IT над задачами кибербезопасности. Вы используете общий с IT Service Desk или отдельный?
— Для работы с инцидентами кибербезопасности мы используем свою тикетинг- систему, о которой я уже говорил. Почему свою? В рамках проекта модернизации SOC в условиях сжатых сроков и необходимости автоматизации многих процессов было необходимо динамично её дорабатывать. Это очень сложно, когда вы не являетесь владельцем системы. Кроме того, в силу специфики, доступ к нашей информации должен быть ограничен для остальных сотрудников. В одном решении сложно соблюсти все условия, поэтому пока используем своё. Возможно, в будущем, если мы найдем продукт, который удовлетворит требованиям обоих подразделений, ИБ и IT, в том числе по разграничению прав доступа, мы сможем использовать общее решение.
Ведёте ли вы разработку ПО для потребностей SOC?
— Да. Как я уже говорил, Сбербанк — высокотехнологичная компания, и это касается и кибербезопасности. У нас есть команды разработчиков, которые занимаются только нашим специализированным ПО.
Используются ли решения на базе Open Source?
— Да, как основу для ряда решений мы используем компоненты открытого программного обеспечения. В дальнейшем мы конечно их кастомизируем, но как база они активно используются.
Как вы решаете проблему контроля регионов, учитывая слабые каналы связи там?
— Все подразделения банка работают онлайн с централизованными IT-системами, поэтому проблемы каналов связи у нас нет.
ПРОЦЕССЫ РАБОТЫ SOC
Как распределяются полномочия в SOC в рамках мониторинга угроз?
— Основная нагрузка выпадает на дежурную смену, которая состоит из трёх линий. На первой линии проводится, собственно, мониторинг угроз. Анализируется подозрение на инцидент на предмет ложного срабатывания и, в случае реальной угрозы, заводится инцидент и передается на вторую линию. Вторая линия занимается категоризацией и маршрутизацией инцидентов. Нужно правильно определить приоритет и направить его в соответствующую группу реагирования. Зачастую инцидент происходит на стыке групп реагирования, и важно понять, какая из групп должна взять инцидент в работу. Третья линия непосредственно реагирует на инцидент.
Какой ролевой модели работы вы придерживаетесь? Изменится ли она с появлением SOC 2.0?
— Помимо этих трёх линий есть определенная модель эскалации инцидента, когда подключаются более квалифицированные специалисты, руководство. Есть дополнительные роли, связанные с Threat Intelligence и Use Case Management, работающие с проактивной компонентой реагирования. Именно последнее, на мой взгляд, и является признаком SOC 2.0 с точки зрения ролей.
Какие основные критерии влияют на решение о критичности инцидента?
— У нас разработана политика реагирования на инциденты. Есть матрицы принятия решений как по приоритетам, так и по эскалациям. Критериев много. Основные из них связаны с ущербом — потенциальным или реальным. Пока влияние потенциальное, мы работаем в нижнем диапазоне приоритетов (низкий, средний, высокий). При реальном влиянии на сервис банка приоритет синхронизируется с приоритетом соответствующего ИТ-инцидента. В случае реального влияния возможен переход в верхний диапазон приоритетов (очень важно, критический, широкомасштабный).
Насколько у вас высок уровень формализации процессов?
— Все процессы в SOC подробно расписаны и формализованы. Все действия сотрудников тоже стандартизованы: заводится инцидент, фиксируется время и действия. Это важно, в том числе для оценки операционных показателей работы SOC и сбора статистики для принятия управленческих решений, корректировки деятельности, повышения эффективности.
Сейчас очень популярна тема обмена информацией (Data Sharing). Происходит ли у вас такой обмен?
— Обязательно. После прошлогодних мощных атак все поняли: только объединив усилия, можно эффективно противостоять угрозам, и информационный голод — самое страшное в таких обстоятельствах. Реагируя на тот или иной инцидент, в отчёте по угрозе мы формируем открытую и закрытую части. Открытая часть может использоваться для распространения. Мы подписали соглашения по взаимодействию со многими организациями, чтобы обмениваться информацией.
О КАДРАХ И НОУ-ХАУ
Как в SOC решается кадровый вопрос? Чем мотивируете, удерживаете людей, как развиваете потенциал сотрудников?
— Проблема дефицита технических специалистов стоит довольно остро, особенно для крупных подразделений кибербезопасности. Но если человек к нам попадает, Сбербанку есть чем его удержать — интересные проекты и задачи сами по себе неплохо мотивируют. Кроме того, у нас предусмотрена программа обучения и сертификации специалистов, причём обязательная. Сбербанк заключил соглашения с несколькими крупными вузами — это один из источников поиска сотрудников среди молодых специалистов.
Как происходит набор людей для SOC 2.0?
— В SOC 2. 0 используются уникальные технологии, пока не очень распространенные в России, поэтому в основном мы используем собственные кадровые ресурсы. Кроме того, мы сотрудничаем с крупными производителями решений, в том числе в части обучения сотрудников.
Какие ноу-хау, присущие только Сбербанку, используются в работе SOC и SOC 2.0?
— У нас есть ряд уникальных проектов, в том числе в области искусственного интеллекта и обработки больших данных, но на сегодняшний день основное ноу-хау — это люди. В прошлом году команда кибербезопасности создала очень серьезную, проработанную до мелочей процессную модель. В ходе работы над ней изменилась профессиональная культура команды. Мы считаем это важным достижением, которое повлияет на наше развитие в будущем.
Стать автором BIS Journal
День работника сбербанка россии в 2018 году 🔥
В России существует много прекрасных и значимых праздников. Большинство из них запоминаются надолго. У сотрудников Сбербанка тоже есть свой профессиональный праздник. Его празднование приходится на 12 ноября.
Начало этому дню было положено 19 лет назад в момент открытия первого Сбербанка в России. Изначально образование такого учреждения было рассчитано на небогатый уровень граждан страны. Слои населения, которые являлись клиентами банка, могли накопить на счёте определённую сумму денежных средств для своего дальнейшего существования. Таким образом, вложения приносили хороший доход своим владельцам. Для дальнейшего развития системы использовался оборот имеющихся денежных средств в совокупности на всех счетах банка. Вследствие этого банковская система получает мощный скачок в своём развитии. Появляется практика займов у банка на неотложные нужды. Любому вкладчику могли пополнить личный лицевой счет под определённую процентную ставку. Начинает формироваться огромное количество схем, используемых в банковском деле.
Дата 12 ноября имеет и историческое значение. 176 лет назад был подписан Указ об образовании сберегательных касс.
На сегодня Сбербанк является главным элементом финансовой системы нашей страны. Структура банка постоянно меняется: добавляются новые элементы, преобразуя старые и неэффективные. Сбербанк выступает самым крупным банком России. Численность работников данной организации достигает 270000 человек. В банковском деле Сбербанк играет огромнейшую роль. На сегодня банк предоставляет своим клиентам прекрасные возможности по управлению своими финансами. Это забота не только о своих имеющихся активах, но и бережное отношение к денежным средствам населения.
Любой значимый праздник затрагивает не только сотрудников, которые непосредственно с ним связаны, но и другие слои населения. Банковские сотрудники очень позитивные и открытые люди. Целью профессии банкиров является предложение новых банковских продуктов населению и для её реализации банк проводит различные мероприятия, в т.ч. всевозможные акции, конкурсы, розыгрыши.
Чтобы праздник запомнился, на этот день можно придумать нечто оригинальное. Например, отпраздновать его в определённом стиле. Каждый работник сможет поучаствовать в этом действии и проявить недюжинную смекалку и свою оригинальную фантазию. Можно устроить праздник в ретро стиле, стиле 20-х годов допустим: музыка чарльстона, милые наряды, основывающиеся на коротких платьицах, идеалы стройности, тонкости, грации и красоты. Такое проведение всегда останется в моде и не потеряет своей актуальности даже через века. Прошлое, как память о том, что никто не забыт, ничто не забыто. Провести праздник в соответствии с долгой историей, в нарядной и торжественной обстановке, с конкурсами и другими развлекательными мероприятиями, в большом кругу коллег и друзей, всегда способных поддержать и протянуть руку помощи.
Можно устроить вечеринку на природе, за городом. Организовать пикник с играми на свежем воздухе и весёлыми конкурсами. Такие мероприятия способствуют раскрепощению и неформальному общению, лучшему взаимопониманию руководства со своими подчинёнными.
Бытует мнение, что очень непросто подобрать в этот день презент сотруднику госучреждения. На самом деле это не так. Почти все банковские работники люди достаточно простые и приятные в общении. Они могут позволить себе совершенно простые вещи, которые использует каждый из нас в своей повседневной жизни. Но могут быть и совершенно особенные подарки с учётом личных индивидуальных вкусов каждого. Особенно, если любимый человек работает в этой структуре. Можно остановиться, например, на выборе оригинального ювелирного украшения.
Если подарок выбирается коллеге, можно выбрать что-то, что он постоянно будет использовать, допустим, на оригинальной кружке, которая будет поднимать ему настроение весь день.
В общем, выбор очень разнообразен, но главное – это, конечно же, оказанное в этот день внимание.
С праздником, уважаемые сотрудники Сбербанка России!
СБЕРБАНК РОССИИ ПАО-АДР: Вся информация и новости | СБЕР | US80585Y3080
|
Сбербанк: банковский гигант в тени санкций (OTCMKTS:SBRCY)
Введение
В этом анализе я представляю инвестиционный тезис для российского банковского гиганта Сбербанка (OTCPK:SBRCY), который, несмотря на его сильные экономические основы и доминирующее положение на рынке в России, торгуется с непропорциональным дисконтом к его внутренней стоимости. Этот дисконт является результатом санкций, наложенных на российскую экономику и ее банковский сектор. Я считаю, что это дает возможность владеть банком с характеристиками рва, который торгуется с дисконтом более 70% к его внутренней стоимости и 9% валовой дивидендной доходности в текущих ценах.
Обзор бизнеса
Сбербанк — крупнейший банк в России с международным франчайзингом более чем в 22 странах мира. Бизнес банка строится на трех основных столпах:
- традиционные розничные банковские услуги
- финансовые услуги (страхование, управление активами и брокерские услуги)
- прочие нефинансовые направления деятельности (инициативы в области электронной коммерции и Яндекс-маркета)
Что делает Сбербанк настолько доминирующей является его сильная позиция, особенно в традиционной розничной торговле и бизнесе финансовых услуг. Чтобы дать вам представление о доминировании Сбербанка, скажу, что ему принадлежит более 30% рынка активов российского банковского сектора, ему принадлежит примерно 45% депозитов физических лиц в стране, он предоставляет 41% потребительских кредитов и 34% корпоративных кредитов. Несмотря на рыночное положение Сбербанка, его акции потеряли более 50%, так как геополитическая напряженность между США и Россией привела к введению санкций против российской экономики.
Источник: seeking alpha
Конкуренция в российском банковском сектореПрежде чем перейти непосредственно к оценке SBRCY, стоит взглянуть на позицию банка на российском рынке. Прежде всего, российскому правительству принадлежит 50% акций банка, что является одновременно и благословением, и проклятием. С одной стороны, многие розничные клиенты воспринимают SBRCY как гарантию стабильности, особенно в трудные времена, что помогает привлекать депозиты и увеличивать долю рынка, когда будущее кажется неопределенным. С другой стороны, для многих западных фондов инвесторов SBRCY слишком тесно связан с российским правительством, что удерживает их от значительного увеличения доли в акционерном капитале.
В российском банковском секторе доминируют пять крупных банков, которые прямо или косвенно принадлежат российскому правительству, однако Сбербанк занимает среди них самые сильные позиции. Способность Сбербанка увеличить свою долю на рынке, особенно в традиционном розничном бизнесе, видна с обеих сторон его баланса, что позволяет получать прибыль как от депозитов, так и от предоставленных кредитов.
Источник: Десятилетие 2008-2017 гг. в российском банковском секторе: тенденции и факторы
Из приведенных выше графиков видно, что Сбербанк может увеличить свою долю рынка как по депозитам, так и по предоставленным кредитам, при ограниченном влиянии западных санкций, которые действуют с 2015 года.
Этому способствуют два основных фактора тенденция. Одна из них — отзыв лицензий в российском банковском секторе у нескольких более мелких банков и миграция клиентов в более безопасные банки. С 2013 года количество действующих банков в России сократилось вдвое с 1092 до 517. Этот шаг помог пяти крупнейшим учреждениям укрепить свои позиции на рынке, а Сбербанк стал одним из крупнейших бенефициаров.
Другой фактор также связан со снижением конкуренции и описывается индексом Герфиндаля-Хиршмана (HHI), который измеряет концентрацию рынка. Исходя из этого показателя, концентрация российского банковского сектора находится в диапазоне умеренной концентрации (1000 – 1800) и в 2017 г. составляла 1200. Для сравнения, по данным ЕЦБ, HHI для еврозоны в 2017 г. 113. Разница поразительно велика и многое говорит о структуре конкуренции на российском рынке.
Источник: Десятилетие банковского сектора России 2008-2017 гг.: Тенденции и факторы
Операционная эффективность и высокие финансовые результатыБлагоприятная операционная среда и эффективность затрат оказывают положительное влияние на прибыльность Сбербанка и его операционную эффективность. Чтобы сравнить Сбербанк с его глобальными аналогами, я изучил его способность достигать высокой рентабельности собственного капитала (ROE) и эффективность затрат, измеряемую отношением затрат к доходам (коэффициент CI).
Глобальные банки в течение последних 10 лет изо всех сил пытались значительно сократить свои базы расходов. За этой тенденцией стоит несколько структурных факторов, таких как более высокие затраты на регулирование, повышенные требования к технологическим инновациям или растущая конкуренция со стороны финтех-компаний. Как видно на графике ниже, среднее соотношение затрат к доходам для глобальных розничных банков находится в диапазоне от 50% до 70%. В то же время Сбербанк может регулярно достигать отношения затрат к доходам ниже 50% с прогнозом на 2019 год достижения CIR менее 35%.
Источник: Ernest and Young: глобальный банковский прогноз на 2018 год
Источник: годовые отчеты
Такая низкая базовая стоимость по сравнению с конкурентами объясняется несколькими причинами. Наиболее важными из них являются экономия за счет масштаба, которая растет с увеличением доли рынка, инициативы по рационализации сети филиалов и количества штатных сотрудников, а также уделение особого внимания сокращению затрат. Кроме того, цель Сбербанка улучшить процессы бэк-офиса за счет цифровизации и искусственного интеллекта постепенно приносит свои плоды.
Аналогичная картина и по рентабельности. Высокая эффективность затрат приводит к высокой рентабельности собственного капитала, как основного показателя прибыльности в банковском секторе. Способность Сбербанка добиваться высокой рентабельности собственного капитала еще более значительна, если сравнивать его с глобальными аналогами. Ни для кого не секрет, что после глобальных финансовых кризисов многие розничные банки не смогли получить прибыль на собственный капитал выше их стоимости собственного капитала, которая составляет примерно 10% для глобальных розничных банков. Приведенный ниже график подтверждает, что за указанный период было только два года, когда банки создавали прибыль выше стоимости собственного капитала.
Источник: Ernest and Young: глобальный банковский прогноз на 2018 год
Принимая во внимание тонкости российского рынка, я подсчитал, что стоимость собственного капитала Сбербанка составляет ок. 11%, что составляет всего один год, когда Сбербанк не создавал ценности для своих акционеров. Положительным фактом является то, что Сбербанк заработал такую высокую доходность даже во времена международных санкций, падения цен на нефть и оттока иностранного капитала из российской экономики.
Источник: годовые отчеты
Оценка
При оценке Сбербанка я использовал модель свободного денежного потока к собственному капиталу для прогнозируемого периода в следующие пять лет, а затем модель роста Гордона для последнего года. Я строю свои предположения на основе прогноза на 2019–2020 годы, представленного на Дне аналитиков Сбербанка в декабре этого года. Другие входные данные были получены из терминала Bloomberg. Входные данные после 2020 года являются моими собственными. В таблице ниже я резюмирую допущения, использованные при оценке.
С учетом вышеупомянутых предположений внутренняя стоимость компании должна составлять приблизительно 19 долларов США.за акцию, а это значит, что в текущих ценах они недооценены более чем на 70%. Используя интервал 15%, который представляет собой диапазон, в котором внутренняя стоимость может колебаться в зависимости от рыночного шума, внутренняя стоимость должна торговаться где-то в диапазоне от 16,5 до 22 долларов.