Аналитика и комментарии

25 ноября 2019

Петр ЕФИМОВ (Информзащита): «Информационная безопасность должна трансформироваться быстрее основного бизнеса»

Какие вызовы ставит современный мир перед банковскими службами информационной безопасности, почему киберрискам придается все большее значение, и отчего происходят громкие утечки данных в банках? Об этом NBJ беседовал с генеральным директором АО НИП «Информзащита» Петром Ефимовым.

NBJ: Петр Валентинович, в прессе все чаще появляются сообщения об утечках данных в банковских структурах. Возникает ощущение, что ситуация с кибербезопасностью в банковской отрасли находится на катастрофическом уровне, так ли это?

П. Ефимов: Если отвлечься от аналитических отчетов производителей различных продуктов для кибербезопасности и заголовков новостных сайтов и посмотреть сухую статистику того же Центрального Банка, то мы увидим другую картину. Во-первых, количество успешных атак на банки снижается, а во-вторых, уровень несанкционированных операций с использованием платежных карт (0,0018%) примерно в 3 раза ниже установленного Европейской службой банковского надзора норматива  (0,005%).

Так что, на мой взгляд, ситуация с кибербезопасностью скорее постепенно улучшается. Те же утечки данных, о которых так громко говорит пресса, связаны не с проникновением хакеров или изощренными компьютерными атаками, а скорее всего с недобросовестным персоналом, штатно допущенным к таким данным. Я думаю, что немалую роль в широком распространении информации о подобных утечках сыграло желание получить «горячие» новости, а не реальный масштаб бедствия. Но это не означает, что можно расслабиться и успокоиться. Эти положительные данные являются плодом усилий банков в вопросах защиты информации.

NBJ: Тогда хотелось бы понимать, какие тенденции и вызовы вы видите в банковской отрасли, которые могут оказать реальное влияние на вопросы обеспечения информационной безопасности?

П. Ефимов: Вы знаете, мы живем в удивительное время. Мог ли я еще десять лет назад предположить, что имея только счет в банке и мобильный телефон, я смогу в мгновение ока совершать тысячу взаимодействий с внешним миром, начиная с оплаты счета в ресторане и заканчивая инвестированием на фондовом рынке и общением с врачами? Все мы являемся свидетелями беспрецедентной цифровой трансформации экономики, и банковский сектор находится на первом рубеже этой революции. Здесь сошлись два движущих фактора: с одной стороны, запросы на новые цифровые продукты от входящей в активную фазу экономической жизни молодежи и, с другой, –  желание осуществить качественный переход в экономике руководства страны и отрасли.

Мы можем наблюдать, как изменяется западный банковский сектор в связи с адаптацией таких директив, как PSD2 и концепции Bank-as-a-Service, появлением различных финтех компаний. Мы видим инициативы Центрального Банка Российской Федерации по построению технологической инфраструктуры цифровой трансформации. Я думаю, что скорость развития и адаптации новых технологий и есть основной тренд, который бросает вызов не только функции информационной безопасности в банке, но и самому банковскому бизнесу.

NBJ:Каковы основные вызовы для служб информационной безопасности современного банка?

П. Ефимов: Во-первых, в силу трендов на цифровую трансформацию, уже упомянутых мною, информационная безопасность должна изменяться быстрее основного бизнеса, для того чтобы выступать не в качестве запретительно-ограничительной службы, висящей гирей на проектах новых цифровых продуктов, а помощником и центром компетенции по выравниванию уровня рисков с необходимой функциональностью. Для этого сотрудники служб информационной безопасности должны понимать весь стек современных технологий не хуже разработчиков и DevOps’ов. К сожалению, нам иногда приходится наблюдать, как традиционная ИБ просто не способна общаться на одном языке с продуктовыми командами инновационных проектов, столкнувшись не со штатным банковским служащим, а с программистом из коворкинга, работающего на «маке», раз в две недели выдающего релиз, который разворачивают в среде контейнеризации какого-нибудь облака в рамках концепции «инфраструктура-как-код». А на подходе искусственный интеллект, роботизация, дополненная реальность.

Во-вторых, сейчас рынок ИБ испытывает острейшую нехватку квалифицированных кадров. С укрупнением и выходом на рынок новых больших специализированных игроков, конкуренция за персонал крайне возросла.

В-третьих, мы сейчас наблюдаем смещение акцентов от бумажной безопасности к защите от реальных киберугроз, что еще больше повышает требования к квалификации и знаниям сотрудников. Ну и нельзя забывать о все более усиливающемся регулировании, в рамках которого зачастую даже просто понять перечень требований всех регуляторов, актуальных для организации, очень непросто. Опять хочу заметить, что вероятнее всего, для многих заказчиков в скором времени единственным выходом будет отдавать такие активности специализированным поставщикам сервисов.

NBJ: Что вы можете сказать о роли информационной безопасности в процессе управления рисками в банке?

П. Ефимов: Для любой банковской организации в первую очередь актуальны ключевые риски, связанные с финансовыми потерями частных лиц и организаций, нарушением операционной надежности и непрерывности оказания финансовых услуг, какими-то системными кризисами, вызванными кибератаками. Хочу заметить, что встраивание именно рисков информационной безопасности в общий процесс управления рисками организации – крайне сложное и кропотливое дело. К сожалению, мы видим очень большую разницу и в методах, и в реализации этого процесса у наших заказчиков. Часто риски в информационной безопасности оцениваются «для галочки» – выполнить требования внешних регуляторов. Распространено также мнение: зачем рассчитывать риски, нам и так всё понятно. И, наконец, некоторые доходят до собственно расчётов, однако лишь для того, чтобы доказать необходимость покупки и внедрения чего бы то ни было. В таком случае расчёты так же неинформативны, потому что делаются с подгонкой под необходимый результат. Но ситуация, на мой взгляд, начинает выправляться. Мы сейчас можем наблюдать активную регуляторную деятельность по интеграции показателей киберрисков в общую систему риск-менеджмента банка в частности и показателей устойчивости финансовой системы Российской Федерации в целом.

Еще раз хочу напомнить, что процесс анализа рисков – это не одноразовая активность, выполненная по требованию регулятора или для обоснования бюджета. Это именно итеративный процесс, связанный с непрерывным анализом, оценкой эффективности, корректировкой методик и полученных результатов, требующий высокой квалификации и ресурсов. Я думаю, что рано или поздно и этот процесс превратится в сервис, который будут предоставлять банкам специализированные организации, подобно нашей, позволив банкам концентрироваться на своих ключевых продуктах.

NBJ:Вы консультируете многие крупные банки. Есть ли какие-то проблемы, которые встречаются у большинства из них?

П. Ефимов: Мы очень часто видим проблему внутренней несогласованности. Управление рисками в банках идёт с двух сторон. Бизнес смотрит сверху: какая деятельность и какую прибыль приносит, и что для этой деятельности опасно. Службы безопасности смотрят снизу вверх, исследуя уязвимости. И взгляды эти, почему-то, так и не встречаются, и не возникает понимания, как совместить выявленные уязвимости с бизнес-рисками.

Мы проводили аудит в одном из банков и обнаружили, что «безопасники» понятия не имеют о том, как именно в их банке работают с ценными бумагами. Они просто поставили компьютеры, настроили шифрование согласно требованиям бирж… и всё. А банк половину доходов получал от торговли ценными бумагами. Если бы эта деятельность остановилась на день, то потери были бы больше, чем если бы на несколько дней встала вся остальная инфраструктура.

Обратная сторона – когда бизнес учитывает требования рынка к услугам больше, чем требования к уровню их безопасности. Это хорошо видно на примере выпуска новых приложений: приложения разрабатываются сейчас очень быстро, этого требует рынок. Бизнес торопится.

По-хорошему, перед выпуском приложения на рынок нужно создать методику испытаний, пригласить пентестеров (специалистов, которые проводят испытания, моделируя нападение злоумышленников, ища слабые места в системе), – и это серьёзно увеличит срок выпуска приложения. Всем этим могут пожертвовать в угоду скорости.

Есть ещё один важный нюанс. Внутренние службы информационной безопасности, как правило, субъективны. Оценивают риски, исходя из своего экспертного и жизненного опыта, и не переводят оценку рисков в цифры, рассуждают на уровне «это нам нужно, это не нужно».

NBJ:Есть ли какие-то универсальные рекомендации, которые вы могли бы дать руководителям банковских структур?

П. Ефимов: Хотим мы этого или нет, но роль киберрисков в общей структуре рисков организации будет все более возрастать, просто в силу тотальной цифровизации бизнеса. Потенциальные потери от реализации киберугроз также будут увеличиваться. Все это приведет к росту затрат на самостоятельное обеспечение защиты от киберугроз из-за усложнения продуктов, платформ и технологий. Поэтому, во-первых, я бы порекомендовал безопасности выстроить партнерские отношения со специализированными в области информационной безопасности организациями.

Во-вторых, помните, что обеспечение кибербезопасности становится сквозной задачей для всех подразделений. Все бизнес-процессы в компании должны быть построены с привлечением экспертов по информационной безопасности. Процессы управления рисками должны быть органически встроены в процессы управления организацией, а их результаты должны учитываться на стратегическом уровне.

И последняя рекомендация. Не бойтесь привлекать профессионалов. Лучше сосредоточиться на основном продукте, отдав непрофильные активности поставщикам сервисных услуг, а не пытаться в одиночку выплыть в этом бурном море.

Беседовал: Станислав Комаров.

Полностью материал опубликован в ноябрьском номере печатной версии Национального банковского журнала.

Поделиться:
 

Возврат к списку