Юрий Лысенко,
начальник Управления информационной безопасности
ОАО «Хоум Кредит Банк».
2005 - 2007 MBA - General Management,
Российский Государственный Университет Управления.
Диплом с отличием.
1990 - 1995 Военный институт правительственной связи.
Магистр.
Имеет более 20 сертификатов по ИБ.


Начальник Управления информационной безопасности Home Credit Bank Юрий Лысенко рассказал журналу «Безопасность: Информационное обозрение» о специфике обеспечения ИБ в России, важности снижения влияния человеческого фактора и коммерческом назначении профессиональных конференций.

- Юрий Николаевич, Банк Хоум Кредит является членом Home Credit Group, компании которой работают на финансовых рынках Центральной и Восточной Европы, а также Центральной Азии и Дальнего Востока. Осуществляет ли Ваше Управление взаимодействие со своими зарубежными коллегами, и в чем, на Ваш взгляд, специфика обеспечения ИБ на российском предприятии?
- Да, мы плотно взаимодействуем с коллегами из Группы. Они делятся своими наработками, совместно проводятся работы по повышению уровня информационной безопасности и разрабатываются планы развития системы управления.

Специфика российских компаний, на мой взгляд, заключается в реактивном подходе к решению задач. К сожалению, многие компании начинают использовать средства защиты только после того, как что-либо случилось.

- Развитие систем безопасности бизнеса происходит поэтапно. В России эксперты говорят о существовании первого этапа, когда в 90-е годы проблемы решались бандитскими разборками; второго, – наступившего в 2000-х годах и основанного на широких связях сотрудников в высоких инстанциях; и третьего, – ведущего к решению проблем интеллектуальными методами. Можете ли Вы согласиться с данными выводами применительно к банкам, и на каком этапе развития, на Ваш взгляд, сегодня находятся системы безопасности российских финансовых учреждений?
- Я могу судить о развитии систем безопасности исключительно с точки зрения защиты информации. Поэтому я не могу с этим согласиться. В 90-е годы никто не думал об информационной безопасности, точнее под этим понятием подразумевалась исключительно техническая защита, в 2000 – стали применяться первые средства защиты – антивирусы, межсетевые экраны, и т.д. Сегодня это развитие ушло далеко вперед.

Ситуация с защитой информации в банках неоднородна. Крупные банки хорошо понимают необходимость вложений в информационную безопасность и выделяют на это средства, небольшие банки не могут позволить себе аналогичные затраты на ИБ. Это связано не только с дефицитом бюджета, но и с тем, что цена средств защиты практически не зависит от масштабов бизнеса. То есть стоимость обеспечения информационной безопасности мелкого регионального банка и федерального гиганта с широкой сетью офисов, может разниться лишь на 30–50%.

- В отчете Лаборатории Касперского, посвященном киберитогам 2011 г. и прогнозам на 2012 г., говорится, что корпоративные пользователи, как это ни парадоксально, защищены хуже, чем персональные, и более уязвимы даже для примитивных атак. Согласны ли Вы с этим утверждением и в чем причина такого положения дел?
- Один из самых важных моментов – это снижение роли человеческого фактора в информационной защищенности, который возможен при развитии корпоративной культуры в этой области. К сожалению, данный процесс идет очень медленно. Часто сотрудники не задумываются о возможных проблемах, которые могут возникнуть при невыполнении или, более того, намеренном нарушении требований безопасности. И чем больше сотрудников работает в компании, тем ниже будет защита от человеческого фактора – самого слабого звена в системе. Но мы многое делаем в этом направлении: кроме разумного ограничения доступа к сторонним ресурсам, мы стараемся гибко реагировать на потребности пользователей и разъяснять политику банка в области информационной безопасности.

- Вы частый гость на конференциях и форумах, посвященных проблемам безопасности бизнеса. Насколько, по Вашему мнению, важно участие сотрудников компаний в подобных мероприятиях?
- К сожалению, большинство мероприятий носит чисто коммерческое назначение, где продавцы и производители систем и средств защиты рекламируют свои продукты, зачастую даже не вникая в требования потенциальных заказчиков. Очень мало выступлений про реальные внедрения, плюсы и минусы определенных продуктов и систем.

- Какие меры принимаются для предотвращения преступных действий со стороны штатных работников?
- Контроль, мониторинг, профилактическая работа, разделение полномочий, повышение уровня ответственности.

- Возможно ли при помощи технических решений защитить компанию от халатности, саботажа, внутренних хищений и т.д.?
- Полностью – нет. К сожалению, человеческий фактор всегда остается. Но уменьшить – возможно, существенно усложнив все вышеперечисленное.

- Какими критериями руководствуется Ваше Управление в выборе оборудования и кто отвечает за его закупку?
- Основной критерий – это удовлетворение требований стандартов информационной безопасности. То есть не лоскутная защита, а зонтик, который бы защищал все ресурсы. Кроме того, играют роль возможность масштабирования, простота внедрения, удобство использования, совокупная стоимость и, естественно, разумная стоимость.

- Какие задачи Вы поставили бы перед поставщиками оборудования?
- Я думаю, что рынку не хватает зрелости и понимания заказчика. Поставщики, к сожалению, чаще навязывают собственные уже готовые продукты, не желая разрабатывать индивидуальные решения. Также хотелось бы больше прозрачности и открытости. Например, демонстрации реальных параметров нагрузки на оборудование и программное обеспечение, а не идеальные условия.

- Спасибо.

Подготовила Адель Соколова