Согласно недавно опубликованным данным компании Pricewaterhouse Coopers, источниками кибератак в финансовом мире в 44% случаев являются собственные, а в 28% бывшие сотрудники банка. Хакеры заняли почетное третье место с 26%, а финальную позицию в опросе заняли конкуренты с 20%. Иными словами, хакеры не являются основным источником угроз для финансовых организаций.

Сотрудники — вот главная причина регулярных инцидентов с информационной безопасностью в финансово-кредитной сфере. Но сегодня мне бы хотелось коснуться очень узкой прослойки финансовых работников, а именно сотрудников служб информационной безопасности (отделов защиты информации), которые в последнее время все чаще и чаще пополняют когорту увольняемых в первую очередь банковских специалистов.

Все мы видим, что происходит в российской экономике: покупательная способность населения падает, промышленность тоже растет не так, как предполагают в Минфине и в Минэкономразвития. Банки начинают терять клиентов и денежные потоки скудеют. А тут еще и главный финансовый регулятор, борющийся с банками, занимающимися сомнительными сделками, и отзывающий лицензии пачками.

В таких условиях банки активнее увольняют персонал. Среди моих коллег и друзей уже немало тех, кто был вынужден написать заявление по собственному желанию. На одном из недавних мероприятий даже звучала цифра 25% от общей численности банковских служащих в 2015 году. В первом квартале этого года цифра сокращаемых должностей тоже нерадужна — около 20%.

Кого банк сокращает в первую очередь? Тех, кто, по мнению руководства, не приносит прямых доходов. И безопасники — одна из тех категорий, которая первой и попадает «под нож». Ведь продемонстрировать свою ценность или value, как говорят иностранцы, представитель службы ИБ может далеко не всегда. Клиентов он не привлекает и даже наоборот, всячески препятствует управлению по работе с физлицами привлекать новых, и очень часто подозрительных и потенциально опасных клиентов, которые не смогут выплатить взятые кредиты. С клиентами он не работает. В кассе не сидит и денег не выдает. И даже инкассацией, то есть защитой материальных ценностей, занимаются совсем другие люди. Заниматься отражением атак? Сомнительная ценность, так как надо еще доказать, что атаки могли привести (именно в сослагательном наклонении) к ущербу для банка. Мониторингом репутации в интернете и предотвращением хищений со счетов клиентов занимаются далеко не все службы ИБ. Вот и получается, что безопасник — первый кандидат на сокращение в наше непростое время.

И вот тут-то и кроется основная засада для банка. Как сказал в одной беседе уволенный из банка коллега: «На темную сторону ЦБ склоняет нас…» И это действительно так. Представитель службы информационной безопасности, что руководитель, что его подчиненные, очень хорошо знают обо всех слабых местах своих, да и, не будем лукавить, чужих банков тоже, включая Банк России. Они прекрасно осведомлены о методах, которыми пользуются мошенники и киберпреступники для кражи денег у клиентов банка. И тут их выбрасывают на улицу…

Что им делать? Один мой коллега, бывший руководитель службы ИБ банка, пишет, что найти работу сейчас очень тяжело: «Открыты только инженерные вакансии. Чуть выше уже битком. Причем профессионализм играет в минус, т. к. брать человека с опытом и знаниями на низшие должности народ боится». Другой ему вторит: «Я стоял из-за Эльвиры три месяца на бирже. Сисадмины — 13–20 тысяч рублей. А сейчас и админов, и нас в разы больше». То есть те, кто призван защищать активы банка от преступных посягательств, выкидываются в первую очередь и подолгу не могут найти себе работу, соответствующую их навыкам и опыту. Что им остается?

Кто-то, кого уволили раньше, еще на заре кризиса и волны отзыва лицензий, смогли найти себе работу в другом банке. Другие нашли себя в интеграторах, предлагающих услуги в области ИБ. Третьи встали на биржи труда и ждут открытых вакансий по своему или смежному профилю. Четвертые переориентируются. Нет, не в управдомы. Кто-то уходит в ИТ, кто-то в совсем другие отрасли экономики — промышленность, телекоммуникации, энергетику и т. д. А пятые…

Есть и те, кто встают на другую сторону, на сторону тех, от кого они раньше защищались. Они знают внутреннюю кухню банковской ИБ и банковских процессов, понимая все уязвимости и точки приложения сил злоумышленников. Им предлагают нормальные деньги, что отличается от условий в банках. Многие коллеги по вопросу своего финансового довольствия резко высказываются относительно своих работодателей: «А люди, проработавшие в этой сфере больше 10 лет, получают в три раза меньше кредитчиков и привлеченцев», или: «Они жалеют деньги на нормального ибэшника».

В преступном сообществе все по-другому. Да, это рискованное мероприятие, грозящее реальными уголовными сроками. Но соблазн так велик… Особенно для молодежи. Пока о каких-то серьезных и тем более массовых переходах с одной стороны баррикад на другую не известно. Многие безопасники, отдавшие своей работе не один, не два, и даже не пять лет, даже не задумываются о том, чтобы встать на темную сторону. «Пока порядочность не позволяет. Имя ибэшника мне дороже». Пока… Вот это «пока» и пугает. Что будет, когда уволенному специалисту по банковской ИБ, будет нечего есть, а на него с укором будут смотреть жена и дети? Предсказать последствия трудно. Многие специалисты отмечают, что «уволенные ИБ-специалисты — это бомба замедленного действия»: «Пока они трудоустраиваются в другие организации, все хорошо. Но если надолго останутся без зарплаты, сами понимаете… Есть факты, что хакеры, атакующие платежную инфраструктуру, хорошо осведомлены о банковских бизнес-процессах. Откуда они у хакеров, можно догадываться».

Как мне кажется, ни руководство финансовых организаций, ни HR-специалисты просто не понимают той опасности, которая может проявиться при увольнении специалиста и тем более руководителя своей службы информационной безопасности. Если уж и увольнять специалиста по ИБ, то грамотно — с нормальным выходным пособием, а то и помощью в трудоустройстве. Иначе это плохо обернется — «пусть экономят, а потом плачут, что у них лимоны увели на Каймановы». Понятно, что принимающие решения об увольнении люди рассматривают преимущественно краткосрочные задачи, но тем и отличается грамотный руководитель от неофита, что может просчитывать последствия своих поступков и принятых решений.

В конце концов совсем скоро Банк России установит новые обязательные требования по аттестации специалистов по информационной безопасности. Об этом недавно заявил первый зампред Банка России Швецов. И вот тогда придется кусать локти по уволенным безопасникам. Ведь всем известен факт, что удержать клиента или работника гораздо проще и дешевле, чем нанимать нового. Уволив сегодня безопасника, знающего и умеющего так много, в будущем придется заплатить вдвойне. И с точки зрения найма нового специалиста по ИБ, в соответствие с требованиями отраслевого регулятора, и с точки зрения потенциального перехода уволенного безопасника на «темную сторону». Так стоит ли тогда увольнять его?..

АЛЕКСЕЙ ЛУКАЦКИЙ
эксперт по информационной безопасности

www.bankir.ru