Аналитика и комментарии

13 февраля 2017

Кибербезопасность: только технические меры или системный подход?

Киберпреступность – это совершенно новый вызов, с которым банкам теперь приходится сталкиваться постоянно, и нет ничего удивительного в том, что экспертам и специалистам в области информационных технологий и информационной безопасности приходится пересматривать свой подход к проблеме обеспечения ИБ. Периодически озвучиваются и достаточно радикальные предложения: например, запретить банкам, которые не в состоянии адекватно защититься, осуществлять некоторые виды электронных операций или «разделить» банки по категориям в зависимости от того, насколько эффективно они обеспечивают информационную защиту. NBJ предложил экспертам ответить на вопрос, что, с их точки зрения, нужно сделать для повышения уровня информзащиты не только в отдельных банках, но и по сектору в целом.

В рамках своего выступления на FINOPOLIS-2016 Александр Савенков, бывший тогда заместителем министра внутренних дел, заявил: «При выдаче лицензии банковской организации мы должны понимать, насколько эффективно она решает проблемы своей информационной безопасности. Я считаю, что тут возможно введение различных категорий. Нужно строжайше запретить оказание электронных услуг теми банками, которые не совершенствуют свою систему ИБ. Вы не хотите тратиться на ее укрепление? Почему за это должны платить клиенты?»

Еще один вопрос, на который обратил внимание Александр Савенков, – выдача банковских карт. «Мы видим, что массированная их выдача приводит к тому, что доля карт используется для обналичивания, – констатировал Александр Савенков. – Мне представляется, что мы недостаточно регулируем и осознаем эти риски, так же как и недостаточно осознаем пока весь масштаб угрозы. Мы говорим в основном о банках, но киберпреступность представляет не меньшую угрозу и для других сфер экономики, и для инфраструктурных объектов». 

Данные заявления прозвучали достаточно сенсационно. Прокомментировать их NBJ предложил руководителям профильных служб и управлений в российских банках. 

 

Сбербанк России

Сергей Лебедь,  
руководитель службы кибербезопасности  

Последние годы мы видим стремительную диджитализацию в стране – количество карт, обслуживаемых Сбербанком в 2015 году, достигло 118 млн штук, 99% всех транзакций юридические лица выполнили через интернет-банк, рост P2P-переводов между частными клиентами за год составил 200% и достиг внушительной цифры – 2,8 трлн рублей. Центральный банк также фиксирует массовый перевод финансовой отрасли в «цифру», и к 2018 году доля всех продуктов и услуг, доступных в электронном виде, составит 85%, активно развивается программа электронного правительства (включая такие сервисы, как Система межведомственного электронного документооборота – МЭДО, Система межведомственного электронного взаимодействия – СМЭВ, Единая система идентификации и аутентификации – ЕСИА и т. п.). 

Естественно, что все это актуализирует вопросы обеспечения информационной защиты, и еще более актуальными их делают действия хакеров. Мы видим, что они способны привести к материальному ущербу и парализовать работу корпораций, банков, государственных служб и систем. В 2015 году ЦБ РФ зафиксировал 32,5 тыс. попыток проведения несанкционированных операций в системах ДБО на общую сумму 5,13 млрд рублей. Комитет по финансовым рынкам и кредитным организациям Торгово-промышленной палаты РФ в своей статистике сообщает об ущербе от хакерских атак на банки в 2016 году в размере 2,87 млрд рублей. Масштаб проблемы заставил правоохранительные органы задуматься. Мы знаем, что треть украденных средств преступники инвестируют в разработку новых киберсредств нападений – в уязвимости, трояны, ПО для скрытого удаленного управления компьютером, DDoS-атаки и др. Самым распространенным методом кибермошенничества стала социальная инженерия, против которой бессильны самые незащищенные слои населения. На сегодняшний день на ее долю приходится 45% всех актов кибермошенничества, на втором месте (25%) находятся мошенничества, совершаемые с помощью вредоносного программного обеспечения.

При этом стоит отметить, что законодательством России не установлена ответственность за фишинг и спам, не выделен такой состав преступления, как «кража с банковского счета». Максимальное наказание за кражу данных – до семи лет лишения свободы и штраф до 500 тыс. рублей. Если не переломить ситуацию, то уже через два года потери от киберугроз увеличатся в четыре раза и превысят 1,5 трлн рублей. Поэтому эксперты сходятся во мнении, что для адекватного противостояния киберпреступности нужны совершенствование законодательства и совместные активные действия частного бизнеса, правоохранительных органов и регуляторов.

Нужно ли с учетом всего происходящего вводить ранжирование банков с точки зрения ИБ? Споры об этом идут уже не первый год. Если выбрать путь открытой конкуренции, то банки будут проходить ранжирование по степени обеспечения ими информационной безопасности. При этом должна действовать взвешенная разумность и четкая, объективная и понятная оценка защищенности банка. Клиенты смогут выбирать, какой банк подходит под их требования.

 

Банк «Открытие»

Вячеслав Касимов, 
исполнительный директор по информационной безопасности 

Повышение внимания к проблемам обеспечения информационной безопасности, к сожалению, носит реактивный характер, но оно неизбежно должно было произойти. Причина проста: количество случаев кибермошенничества и ущерб от них из года в год растет в геометрической прогрессии. Преступные группировки уже давно организованы как очень качественный и высокодоходный бизнес. 
Если говорить о тех предложениях, которые сейчас озвучиваются, – в частности, о том, что банки следует ранжировать по степени их защищенности, – то мы готовы к реализации данной инициативы, поскольку защитой финансов занимаемся давно и достаточно эффективно. Но необходимым условием является проведение совместно с банками работы по созданию соответствующей системы оценки.

 

Банк СОЮЗ 

Сергей Потанин
начальник управления информационной безопасности

В последнее время наблюдается лавинообразный рост электронного мошенничества. Естественно, есть стандарты ЦБ РФ, которых банки стараются придерживаться, и да, это повышает уровень безопасности, но, к сожалению, не решает полностью проблему с обеспечением безопасности организации.

Что касается ранжирования, то я не вижу в этом смысла, потому что косвенное ранжирование у нас и так уже есть (далеко не все банки получают государственную помощь). При ранжировании всегда будет возникать вопрос: «А судьи кто?». Есть риск, что в решении может появиться коррупционная составляющая. Тот же вопрос возникает и по второй инициативе: кто будет оценивать и принимать решения по ограничению функционала? Ведь это решение будет напрямую влиять на электронный бизнес организации. Кроме того, это предложение противоречит самому развитию дистанционного электронного бизнеса, поэтому не может даже рассматриваться.

Сейчас развитие дистанционного банковского обслуживания (ДБО) является самым перспективным направлением. На данный момент при использовании действующих механизмов безопасности в существующих системах ДБО ни один банк не может обеспечить адекватную защиту персональных данных и средств клиентов. Тем не менее все эти системы работают. Просто организации принимают на себя риски при ведении этого электронного бизнеса. К сожалению, на все используемые механизмы безопасности в системах ДБО либо существуют реальные атаки, либо есть теоретическая возможность разработки такой атаки.

Для достижения надлежащего уровня безопасности в системах ДБО необходимо не ограничивать функционал, а просто изменить или дополнить существующие механизмы безопасности новыми дополнительными компонентами.

 

Росгосстрах Банк

Александр Попов,
заместитель директора департамента 
экономической и информационной защиты бизнеса  

Мы не согласны с данными инициативами. Во-первых, банкам должны предоставить возможность самостоятельно определять качество оказываемых услуг. Это связано с тем, что любые внедряемые меры информационной безопасности усложняют действующие бизнес-процессы, увеличивают издержки и снижают гибкость организации. При этом банк никогда не проявит халатность в этом вопросе, это невыгодно ему самому, поэтому техническая защита кредитной организации обычно значительно выше, чем того требует регулятор. Чтобы удерживать занятые позиции, крупным игрокам необходимо повышать уровень безопасности, надежности и качества предоставляемых услуг, чтобы оставаться привлекательными в глазах клиентов.

Во-вторых, большинство инцидентов, связанных с несанкционированным списанием денежных средств со счетов клиентов (физических, юридических лиц и индивидуальных предпринимателей), являются следствием слабой защищенности самих клиентов, а не обслуживающих их банков. Попытка перенести ответственность с клиента на банк окажет медвежью услугу всей отрасли: клиенты поймут, что вообще могут не обращать внимания на собственную защищенность, если отвечать и компенсировать убытки все равно будет их банк. Ограничивать те или иные электронные операции также неправильно, так как клиент должен сам взвешивать риски и выбирать для себя ту или иную кредитную организацию.

Другой вопрос в том, что банки должны предоставлять потенциальным клиентам достоверные сведения о своем уровне информационной безопасности. Наличие сертификатов соответствия отраслевым стандартам будет огромным плюсом при принятии клиентом решения.

 

Банк «Александровский»

Евгений Артюхин,  
начальник отдела информационной безопасности  

Давно пора ввести ГОСТ по национальной информационной безопасности. Уверен, что этот стандарт даст дополнительный толчок для совершенствования защиты информации в банках, как в свое время такой толчок дали требования обязательного исполнения 382-П Банка России («О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств») и 152-ФЗ («О персональных данных»). 
Что касается предложения ранжировать банки по уровню выполнения стандартов информационной безопасности, то лично я его поддерживаю. Если мы отслеживаем позиции банков в рейтинге по финансовым показателям, почему бы не обратить внимание и на место банка по уровню ИБ. Я считаю это логичным решением. Чем больше банк вкладывает в защиту информации, тем он более надежен, а значит, тем более широкий функционал электронных операций он может осуществлять.

 

Банк Ренессанс Кредит

Дмитрий Стуров, 
исполнительный директор, 
начальник управления информационной безопасности 

Данная тема уже достаточно давно находится в фокусе внимания регуляторов и правоохранительных органов. Это повышенное внимание к ней говорит о том, что вопросы информационной безопасности получили адекватную оценку.

Необходимо обеспечить условия, чтобы банки сами стремились внедрять стандарты и проходить оценку соответствия. Но необязательно это делать, устанавливая жесткие регуляторные требования. Ранжирование банков нецелесообразно вовсе, поскольку точная оценка зависит от многих факторов, в том числе и от субъективных. Тем не менее организации, получившие высокий балл, на мой взгляд, стоит каким-то образом выделять.

Что касается предложения об ограничении банков по определенным видам операций в случае низкой информзащиты, то данная инициатива вызывает множество вопросов. В настоящий момент нет четких и абсолютно объективных критериев оценки адекватности защиты. Кроме того, кто будет проводить данную оценку и в каком формате? 

 

Поделиться:
 

Возврат к списку