За все годы проведения форум стал ключевым мероприятием по вопросам обеспечения информационной безопасности в организациях кредитно-финансовой сферы нашей страны. Форум проводится при официальной поддержке Банка России, ФСБ России, ФСТЭК России и Роскомнадзора. В этом году в нем приняли участие свыше 500 представителей уполномоченных федеральных органов исполнительной и законодательной власти, высшего руководства Банка России, крупнейших банков и других финансовых организаций, а также отечественных и зарубежных компаний, предоставляющих услуги по обеспечению информационной безопасности. 

САМЫЕ ЗЛОБОДНЕВНЫЕ ВОПРОСЫ ИБ

В рамках форума в течение нескольких дней руководители служб безопасности банков непосредственно общались с представителями отраслевых регуляторов – Банка России, ФСБ России, ФСТЭК России, МВД России и Роскомнадзора, которые рассказали участникам рынка о предъявляемых требованиях, результатах контрольно-надзорной деятельности, законодательных актах.

Программа форума, которую составляет Банк России, всегда учитывает актуальность и злободневность вопросов обеспечения информационной безопасности и противодействия кибератакам на финансовом рынке.

В этом году в рамках форума прошли дискуссионная панель «Информационная безопасность как неотъемлемая часть цифровой экономики», дискуссия «Новый ландшафт развития информационной безопасности», сессии «Обеспечение киберустойчивости организаций финансовой сферы. Подходы и практика реализации», «Аутсорсинг информационной безопасности», «Противодействие кибератакам в финансовой сфере», «Актуальные вопросы нормативного правового регулирования ИБ в финансовой сфере», «Проблемы доверия к идентификации и аутентификации в финансовой сфере. Удаленная и мобильная электронная подпись. Вопросы использования ЕСИА в финансовой сфере», «Финансовая организация как объект критической информационной инфраструктуры», «Банковский фрод. Что противопоставить?» и множество других интересных и чрезвычайно актуальных круглых столов, мастер-классов и дебатов.

Следует отметить, что итоги работы форума всегда имеют важное практическое значение и ложатся в основу нормативных документов регулятора. В этом году особое внимание на форуме было уделено вопросам взаимодействия финансовых организаций с регулятором и соответствия требованиям обязательных нормативных документов.

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ КАК ЧАСТЬ ЦИФРОВОЙ ЭКОНОМИКИ

Первый день Уральского форума открылся дискуссионной панелью «Информационная безопасность как неотъемлемая часть цифровой экономики России» с участием заместителя председателя Банка России Дмитрия Скобелкина, председателя правительства Республики Башкортостан Рустэма Марданова, заместителя руководителя Федерального агентства связи Романа Шередина (Россвязь), исполнительного вице-президента Ассоциации российских банков Эльмана Мехтиева, вице-президента Ассоциации «Россия» Алексея Войлукова и исполняющего обязанности директора направления «Информационная безопасность» АНО «Цифровая экономика» Георгия Грицая. Модератором дискуссии выступила президент группы компаний InfoWatch, соучредитель «Лаборатории Касперского» Наталья Касперская.

Участники обсудили актуальные тенденции цифровой трансформации экономики, основные приоритеты и перспективы реализации базовых направлений программы «Цифровая экономика Российской Федерации».

«Защищенность, устойчивая работа системы информационной безопасности имеет стратегическое значение. Утечка электронных документов может обернуться очень тяжкими последствиями для всех», – заявил заместитель председателя Банка России Дмитрий Скобелкин. Согласно данным, которые он предоставил участникам форума, в целом за 2017 год было зафиксировано не менее 21 волны атак преступной группы «Кобальт Страйк». Атакам подверглись в общей сложности более 240 российских кредитных организаций. Только 11 нападений оказались успешными. Сумма хищений денежных средств превысила 1,156 млрд рублей.

Дмитрий Скобелкин, курирующий вопросы безопасности в рамках действующей структуры регулятора, объявил о решении ЦБ РФ создать новый департамент по информационной безопасности, который будет являться центром компетенций в области киберустойчивости финансовых организаций. Заместитель председателя Банка России выделил два блока задач, которые будут поставлены перед новой структурой. Во-первых, защита участников финансового рынка от действующей киберпреступности. Во-вторых, обеспечение комплекса мер по защите от хакеров пользователей вновь разрабатываемых цифровых финансовых технологий.

Наряду с этим в текущем году Банк России в рамках технического комитета по стандартизации планирует разработать проекты национальных стандартов, которые будут определять общие подходы обеспечения информационной безопасности, подходы к управлению рисками реализации информационных угроз, требования и меры в организации управления инцидентами информационной безопасности.

В 2018 году регулятор также планирует ввести в действие стандарт, определяющий технические форматы электронных сообщений для информирования Банка России о выявленных инцидентах. На базе этого стандарта в 2019 году будет введен национальный стандарт по методике оценки соответствия защиты информации финансовых организаций (с 1 июля 2019 года). Этот национальный стандарт будет определять методику защиты информации в организациях финансово-кредитной сферы.

БАНКИ НЕ БУДУТ ПРЕДОСТАВЛЯТЬ УСЛУГИ СВЯЗИ

Такой точки зрения придерживается заместитель руководителя Россвязи Роман Шередин. В ходе своего выступления на форуме он сказал: «Если мы говорим о деятельности операторов связи и банков, то она будет все равно разная и будет иметь границы. Если мы говорим о процессе слияния и поглощения активов, когда некая структура будет оказывать и услуги связи, и финансовые услуги «в одном флаконе», то банкам сейчас неинтересно подключение услуг связи потребителем, им интересны сопутствующие услуги. Я считаю, что не будет никогда, чтобы классический банк занимался услугами связи, а мобильный оператор был банком».

ЦИФРОВАЯ ТРАНСФОРМАЦИЯ – СУЩЕСТВЕННЫЙ КУЛЬТУРНЫЙ СДВИГ

Президент группы компаний (ГК) InfoWatch Наталья Касперская в роли модератора данной дискуссионной панели обращалась с различными вопросами к участникам обсуждения.

«Поскольку мы присутствуем на банковском форуме, то задам вопрос, думали ли банки над тем, чтобы помочь в финансировании цифровой экономики, или пусть все финансирует государство?» – с таким вопросом Наталья Касперская обратилась к Эльману Мехтиеву (АРБ). «Я больше верю в успех цифровой экономики, если не будет государственного финансирования», – так прозвучал ответ. Эльман Мехтиев высказал свою точку зрения по данному вопросу: «У нас основная проблема не в том, где найти деньги, а в том, что цифровая трансформация, как и любая трансформация, – это существенный культурный сдвиг. Ты должен признать, что твой банк, который был успешным 20 лет, не будет больше таким, потому что и экономика, и технологии поменялись. Поэтому те, кто вкладывает большие деньги и идет поодиночке, де факто оказываются там же, где и те, кто вообще ничего не вкладывал. Мое личное мнение, что все – и крупные, и малые, и средние банки – находятся в одинаковой ситуации. Выиграет тот, кто раньше поменяется. Я не вижу здесь рисков для малых и средних банков. Наоборот, я вижу опасности для крупных банков, которые говорят, что все сделают сами, потому что это сделанное они хотят трактовать и использовать исключительно как свое конкурентное преимущество».

«Если говорить про конкретные суммы, то один крупный банк только для того, чтобы подключиться к государственным системам, готов профинансировать проекты на 2 млрд рублей. Никто никогда вам не скажет, сколько будет стоить цифровая трансформация в деньгах, а тем более во времени. Это большие суммы, легче их одолеть, если идти вместе», – отметил Эльман Мехтиев.

ТРАНСГРАНИЧНАЯ ПРЕСТУПНОСТЬ ТРЕБУЕТ ТРАНСГРАНИЧНОГО ВЗАИМОДЕЙСТВИЯ

Банк России будет обмениваться с центральными банками стран Евразийского экономического союза (ЕАЭС) информацией о рисках и угрозах безопасности в кредитно-финансовой сфере. Об этом рассказал на форуме заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев.

«Преступность трансгранична, и, если вариант преступления возникает на территории РФ, это совершенно не значит, что он не может проявиться на территории Беларуси. Мы сейчас уже в ходе нашей работы видим факты компрометации банков других стран и стараемся их предупредить», – отметил Артем Сычев.

Данный обмен должен создать такие условия, в которых злоумышленникам было бы некомфортно работать на территории стран ЕАЭС. Если количество атак сократится, преступники вынуждены будут уйти из ЕАЭС в другие юрисдикции. Для борьбы с их деятельностью в других странах необходимо развивать международное сотрудничество. 

Подписание соответствующего соглашения российским регулятором с центробанками Армении, Белоруссии, Казахстана и Киргизии должно произойти через три месяца. По крайней мере, на это рассчитывает Банк России.

«Председатели всех национальных банков посчитали необходимым и крайне важным этот обмен. Это не просто согласие, это коллективное мнение, что обмен просто необходим в современных условиях», – подчеркнул Артем Сычев.

УВЕДОМЛЕНИЕ О КОМПЬЮТЕРНЫХ АТАКАХ СТАНЕТ ОБЯЗАТЕЛЬНЫМ

«Банки будут обязаны уведомлять о компьютерных атаках и их технических характеристиках», – об этом в рамках своего выступления на форуме заявил заместитель начальника Управления методологии и стандартизации информационной безопасности ГУБиЗИ Банка России Андрей Выборнов.

Основная задача «Финсерт» – это оперативное информирование банков о возможных атаках и их технических характеристиках, чтобы банки могли подготовиться к таким нападениям. Именно поэтому в Положение 382-П внесен момент обязательного уведомления финансово-кредитными организациями Банка России о компьютерных атаках.

Еще одна из задач Банка России состоит в том, чтобы обеспечить финансово-кредитным организациям возможность гибко подходить к оценке рисков систем обеспечения защиты информации и кибербезопасности. Эта логика была заложена в основу нового ГОСТа Р 57580.1, который вышел в 2017 году. И показатели этого ГОСТа должны входить в оценку информационного риска банков.

«Также я хочу отметить, что нами проводится большая законотворческая работа. Сейчас в Госдуме на рассмотрении находится законопроект, в котором есть три основные позиции, которые мы хотим закрепить законодательно, – подчеркнул Андрей Выборнов. – Это легализация антифрода, так как законодательно противодействие атакам не закреплено. В рамках этой позиции банки смогут проводить анализ переводов денежных средств и запрашивать у клиентов дополнительные подтверждения по сомнительным транзакциям.

Вторая – это легализация обмена информацией в рамках «Финсерт». И третья – расширение полномочий Банка России по управлению информацией. И это касается не только перевода денежных средств, но и всех операций, осуществляемых всеми поднадзорными ЦБ РФ субъектами финансового рынка».

По мнению Андрея Выборнова, тренд современного времени – это атаки с помощью социальной инженерии: «На наш взгляд, все, что нужно реализовать банку, чтобы обеспечить защиту потребителя финансовых услуг, – это мониторинг транзакций, установление лимитов и подтверждение платежей».

Еще один важный вопрос – оценка соответствия кредитно-финансовых организаций требованиям по обеспечению защиты информации. Регулятор заинтересован в том, чтобы получать актуальную информацию об уровне защищенности кредитных организаций, и в ЦБ РФ убедились, что самооценка в этом случае неэффективна. «Сейчас мы рассматриваем применение внешнего аудита и оценки качества проведения аудита, – подчеркнул Андрей Выборнов. – Мы планируем контролировать работу аудиторов путем создания широкого «пула» внешних аудиторов и оценки их квалификации».

«Также хочу обратить ваше внимание, что нам важно знать расходы финансово-кредитных организаций в связи с тем ущербом, которые наносят им атаки, – акцентировал внимание аудитории Андрей Выборнов. – Эти цифры нам нужны для того, чтобы оценить риски кредитной организации. Например, банк понес убытки в рамках атаки на канал ДБО или нападения на счета клиентов или инфраструктуру банка. От этого зависит, на что нам надо обращать внимание».

ПРОБЛЕМЫ УДАЛЕННОЙ ИДЕНТИФИКАЦИИ

Немало дискуссий на Уральском форуме было посвящено вопросам удаленной идентификации.

Напомним, что принятие 482-ФЗ регламентирует основные положения по работе удаленной идентификации в банковском секторе. Российская система удаленной идентификации состоит из двух факторов. Первый – это система идентификации и аутентификации и второй – это биометрическая система.

В настоящее время, по словам заместителя директора департамента финансовых технологий Банка России Ивана Зимина, работа строится на двух факторах: изображение лица и голос. Однако планируется развивать и расширять систему, добавлять другие факторы и рассматривать иные виды биометрии. При этом остались вопросы, связанные с технологией: как будет работать система, как она будет интегрирована с другими системами в банке.

Еще одна задача – это создание мобильного приложения, которое должно быть удобнодля пользователя, подчеркнул эксперт.

«Хочу также сказать, что мы не планируем ограничивать перечень финансово-кредитных организаций, которые смогут проводить удаленную идентификацию, но тем не менее не все банки смогут это делать», – добавил Иван Зимин.

«До момента, пока биометрические технологии не достигли своего развития, идентификация клиента всегда начиналась с физического документа (паспорта). Поэтому удаленная идентификация – это, как мне кажется, движение к электронному паспорту, – высказал свою точку зрения на проблему эксперт управления цифровой трансформации Банка ВТБ Алексей Чубарь. – Подчеркну, что с точки зрения ВТБ это абсолютно правильный вектор, но на этом пути не будет легкой победы. С июля 2018 года клиент сможет прийти в банк и обратиться за услугой подачи своего биометрического профиля. Эта задача требует от банков определенных усилий и соблюдения нескольких условий. Мы пытались протестировать и снять биометрию клиента в среднестатистическом офисе банка, и оказалось, что это требует профильного оборудования, нужного освещения, уровня шума ниже определенного уровня, в общем, специального оснащения места, где будет проходить идентификация. Например, обычного освещения, при котором всем комфортно работать, недостаточно для качественного видео и фото. Так как мы ожидаем, что с июля 2018 года сбор биометрических данных может уже начаться, работу по подготовке надо проводить сейчас».

Система удаленной идентификации клиентов банков будет распознавать человека не только благодаря биометрическому слепку лица и голоса, но и проверке на движение, заявил в своем выступлении директор по цифровой идентичности компании «Ростелеком» Иван Беров.

«Голос и лицо позволяют нам добавить новый фактор под названием liveness. Мы будем генерировать динамический текст и добавлять различные нейронные сети и технические инструменты, позволяющие детектировать живого человека», – объяснил спикер. Предполагается, что клиент никогда заранее не будет знать, какая характеристика потребуется в конкретный момент времени. Получается, для того чтобы взломать всю систему, злоумышленнику нужно будет взломать одновременно все модули liveness.

«Можно достаточно легко сэмулировать любой биометрический признак. Комбинация различных модальностей плюс дополнительное использование характеристик, например подмигивание, прикосновение к мочке уха и т.д., являются безусловными помощниками в этом вопросе», – считает эксперт Ростелекома.

ОБЗОР ОТ FINCERT

По данным Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере «Финсерт» Банка России, объем средств, которые злоумышленники пытались вывести со счетов банков и их клиентов, превысил 3,8 млрд рублей. Из них 1,1 млрд рублей составил ущерб самих банков, чуть менее 1 млрд рублей – хищения со счетов физлиц, еще 800 млн рублей хакеры вывели со счетов российских компаний.

«Нисходящие тренды по объемам несанкционированных операций как с использованием платежных карт, так и со счетов юридических лиц сигнализируют о переориентации злоумышленников с дистанционных платежных сервисов на информационную инфраструктуру операторов по переводу денежных средств и операторов услуг платежной инфраструктуры», – говорится в обзоре, подготовленном «Финсерт».

По данным «Финсерт», из 577 финансовых организаций, предоставляющих в ЦБ РФ отчетность о киберинцидентах, 17 проинформировали регулятора о понесенном ими ущербе от действий злоумышленников.

ЦБ РФ планирует повысить раскрываемость данных о кибератаках на банки в том числе с помощью автоматизированной системы обмена информацией, которая будет создана «Финсерт» к концу текущего года.