В одном из номеров NBJ за текущий год было опубликовано интервью заместителя начальника отдела Управления «К» МВД России Александра ВУРАСКО «Управление «К» на страже компьютерной безопасности». Одна из тем, поднятых в рамках этого интервью, касалась эффективности обмена информацией об инцидентах в сфере ИБ между банками и регулятором рынка в лице Банка России. В связи с этим Александр Вураско высказал следующее предложение: 

«Мы видим, что ряд банков действительно очень плотно взаимодействует с FinCert, ряд банков делает это от случая к случаю, а ряд финансово-кредитных организаций вообще не пользуется этим инструментом. Поэтому у нас с Банком России родилась такая идея: возможно, имело бы смысл разработать законопроект, в соответствии с которым банки были бы обязаны отчитываться перед FinCert. С одной стороны, конечно, речь идет о том, чтобы перевести добровольный механизм в механизм принуждения. А с другой стороны, чем больше проходит времени, тем лучше участники рынка понимают, что FinCert – это очень оперативный организм, который помогает быстро реагировать на угрозы в сфере ИБ, аккумулировать информацию о рисках в этой сфере, описывать типовые сценарии атак и т.д.»

NBJ обратился к участникам банковского рынка с вопросом, как они оценивают текущую эффективность процесса обмена информацией об инцидентах в сфере ИБ между банками и регулятором рынка и как они относятся к предложению закрепить такой обмен на законодательном уровне, тем самым сделав его обязательным для финансово-кредитных организаций. 

 

РОСГОССТРАХ БАНК 

Артем Гонта,
директор департамента экономической 
и информационной защиты бизнеса 

Если рассматривать все типы инцидентов ИБ, то информации о них может быть очень много, и она не будет нести в себе практической пользы для других участников банковского сообщества, так как подавляющее большинство типов инцидентов ИБ являются общими и встречаются повсеместно. Также, если банки будут обязаны отчитываться перед FinCert, остро встанет вопрос обеспечения конфиденциальности персональных данных клиентов и работников, банковской и коммерческой тайны. Например, используемые средства и методы обеспечения информационной безопасности в большинстве кредитных организаций являются сведениями, составляющими коммерческую тайну, так как знание таких средств позволяет спланировать и осуществить целенаправленную атаку на информационные системы и сервисы банка. То есть все конфиденциальные сведения из передаваемой информации должны предварительно убираться, а это приведет к существенному обобщению и понижению ее практической ценности.

Поэтому без четкого определения объема и типа предоставляемой информации делать такой обмен обязательным, на наш взгляд, преждевременно. Более того, согласно указанию Банка России № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств», все банки уже обязаны ежемесячно предоставлять в ЦБ сведения о выявленных инцидентах ИБ при осуществлении переводов денежных средств.

 

СДМ-Банк

Олег Илюхин, 
заместитель председателя правления, директор департамента информационных технологий 

На мой взгляд, законодательно закрепить обязанность банков передавать информацию об инцидентах в сфере ИБ в FinCert необходимо. При этом надо четко провести грань между информацией, которая подлежит обмену, и другой информацией, которая составляет банковскую тайну, поскольку банки не имеют права без требований регулятора обнародовать такого рода сведения. 
Также нужно объяснять, что за раскрытие информации об инцидентах банки будут поощрять, или хотя бы что это не повлечет никаких негативных последствий. Также необходимо будет принять меры, чтобы эта информация не уходила дальше специализированных подразделений банков, иначе ее распространение неизбежно повлечет за собой репутационные риски банка, раскрывшего информацию, а в худшем случае – и негатив ко всей банковской системе.

В случае организации такого обмена можно будет собирать и классифицировать информацию об атаках и способах атак на расчетные подразделения банков, на системы ДБО, на сеть банка, а также данные о мошеннических операциях, например по пластиковым картам. Подобная информация будет служить подспорьем службе ИБ при совершенствовании систем защиты.
Сейчас подобного рода обмен организован на базе FinCert в добровольном режиме. Когда банки стоят перед выбором, отправлять или нет, то получается, что информацию не отправляют, либо зачастую служба ИБ действует на свой страх и риск, делая это без согласования с руководством. Поэтому и нужно организовать этот обмен сверху, с помощью регулятора, действуя при этом крайне аккуратно.

 

Быстроденьги

Кирилл Кибалко, 
директор по информационным технологиям 

Несомненно, обмен информацией об инцидентах в сфере ИБ необходим. При таких инцидентах кредитные учреждения сталкиваются не с единичными хакерами, а с организованными преступными группировками. Это целые сообщества, которые вырабатывают стратегии и способы хищения, обмениваются информацией между собой. 

Нет ни одной финансовой компании, которая бы не подвергалась таким информационным атакам. МФО «Быстроденьги» не исключение: мы регулярно фиксируем DDoS-атаки, направленные на приостановку деятельности компании. За 2015 год наши специалисты предотвратили 96 таких посягательств и еще порядка 30 атак с использованием шпионского программного обеспечения, направленных на кражу информации, составляющей коммерческую тайну. 

С учетом этого я думаю, что банкам и МФО стоит делиться опытом, учиться друг у друга и, как я уже сказал, обмениваться информацией с регулятором рынка в лице Банка России, например по пластиковым картам. 

 

Златкомбанк

Александр Виноградов,
начальник управления ИБ 

Любой обмен информацией преследует или должен преследовать определенные цели. Характер целей определяет требования к процессу обмена информацией, включая требования к ее содержанию. Например, для целей общей оценки объемов ущерба может быть достаточно информации о сумме похищенных/заблокированных на чужом счете средств, для целей выявления в собственном банке аналогичной атаки – данных о настройке средств мониторинга и контроля. А для целей выявления, противодействия и недопущения каких-то атак впредь нужна полная информация: кто, что, где, когда, как, что в результате и куда ушло и пр. (может включать до пяти-шести листов структурированных стандартных данных на каждый инцидент). 

В этой связи беспредметное (неконкретное) обсуждение темы обмена информацией об инцидентах в сфере информационной безопасности для банков не несет содержательного смысла. При этом следует учитывать, что любая информация об инциденте безопасности в каком-либо из банков может быть использована конкурентами недобросовестным образом, например для антирекламы: антиреклама запрещена, но за руку здесь не поймаешь. Поэтому любой обмен информацией должен осуществляться с соблюдением мер анонимности, а возможно, и псевдонимности, но здесь не обойтись без третьей доверенной стороны. А теперь давайте подумаем: можно ли в имеющихся обстоятельствах говорить о некоем обязательном обмене, когда по указанным позициям еще нет полной ясности, хотя есть основания надеяться, что она начнет формироваться (FinСеrt и т.п.).

 

Связь-Банк

Сергей Курочкин,
заместитель директора департамента безопасности 

Наш банк сотрудничает с FinCert, который на регулярной основе предоставляет отчеты по угрозам безопасности, и мы вносим изменения в политику безопасности согласно рекомендациям Центра. Со своей стороны, в случае обнаружения новых угроз мы предоставляем о них информацию и комментарии о способах противодействия.

Мы считаем это сотрудничество продуктивным, так как отчеты FinCert позволяют нам устранять уязвимости и предотвращать потери данных до возникновения инцидента в наших системах. При обнаружении нами каких-либо угроз FinCert проводит комплексное исследование и отправляет запросы разработчикам ПО для устранения уязвимости, например запросы к разработчикам антивирусных систем о выпуске сигнатур обнаружения выявленного вирусного кода.

Если говорить о законодательном закреплении обязаннос-ти банков передавать информацию в FinCert, то лично я считаю такое развитие событий желательным и уверен, что в этом случае сотрудничество между Центром и банками может стать более эффективным.

 

ФК «Открытие»

Вячеслав Касимов,
заместитель директора по безопасности банка

Наш банк сотрудничает с FinCert. Мы регулярно получаем от Центра информацию об инцидентах в кредитной сфере и, безусловно, будем передавать информацию об инцидентах в случае их возникновения. Если кого-либо интересует наша оценка эффективности такого сотрудничества, то мы по собственному опыту считаем его достаточно продуктивным. 

Что же касается законодательного закрепления обязанности банков передавать информацию в FinCert и того, повысит ли это эффективность сотрудничества между ним и банками, то мой ответ – нет. В таком закреплении нет необходимости, поскольку, на наш взгляд, взаимодействие между финансово-кредитными организациями и FinCert является и на сегодняшний день вполне успешным.

 

МТИ-Банк

Александр Вильдман, 
советник председателя правления

Обмен информацией, конечно, весьма полезен, только делать его обязательным бессмысленно. К сожалению, позиция регулятора такова, что любая информация об инциденте приведет к негативу как минимум в сфере рисков. Причем не важно, что произошло, своевременно ли выявили угрозу, предотвратили негативные последствия или нет. В такой ситуации банки будут вынужденно скрывать информацию и сообщать только о том, что скрыть просто нереально. Если регулятор изменит позицию и введет какие-то поощрительные баллы за предотвращение инцидентов, информирование об угрозах и способах защиты, тогда обязательный обмен будет эффективным.