Аналитика и комментарии

13 марта 2020

Без автоматизации невозможно обеспечить эффективную информационную безопаcность: мнения экcпертов

Изменение подходов к обеспечению информационной безопасности как со стороны регулятора и законодателей, так и со стороны банков – неизбежное явление, поскольку меняется характер угроз, методы воздействия злоумышленников, и это требует адекватного реагирования со стороны банковского сообщества. Хочется надеяться, что и клиенты становятся более грамотными в вопросах собственной защиты. Хотя именно они по-прежнему остаются самым слабым звеном ИБ. При этом банковские эксперты уверены: необходимость внедрения и использования действенной автоматизации процессов обеспечения ИБ не подлежит сомнению.

Гайки закручены

За последние два года повысились требования законодательства и регуляторов к обеспечению информационной безопасности, а в банках больше внимания стало уделяться этим вопросам, считает директор департамента информационной безопасности банка «Открытие» Владимир Журавлев.

С 1 января 2018 года вступил в действие федеральный закон от 26 июля 2017 г. №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», вышло

Постановление Правительства Российской Федерации от 08.02.2018 №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры…», принят целый ряд нормативных актов регуляторов (ФСБ России, ФСТЭК России), накладывающих достаточно жесткие требования на банки.

Введен в действие ГОСТ 57580.1-2017. Банк России выпустил ряд положений (№ 672-П, №683-П, №684-П), в результате чего выполнение требований ГОСТ 57580.1-2017 стало для банков обязательным, и это выполнение должно подтверждаться внешними аудитами.

«В последние годы прослеживается тенденция, о чем постоянно говорит и сам регулятор, распространения «сверху» риск-ориентированного подхода к обеспечению информационной безопасности в кредитно-финансовой сфере, – отмечает Генеральный директор ГК «ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ» Руслан Рахметов. – Реализуется это через требования и надзорные меры, результаты которых напрямую будут влиять на экономические показатели поднадзорной организации, что находит отражение в действующих нормативно-правовых актах, а также в опубликованных проектах актов. Естественно, такая тенденция затрагивает всю экосистему. При этом Центральный банк постоянно подчеркивает, что в приоритете для него – консультативный надзор, а не карательный. В конечном итоге, данные тенденции приведут к повышению реального уровня информационной безопасности и сокращению расходов бизнеса на «бумажный» комплаенс».

«Регулятор стал брать больше информации для будущей нормативной документации из западных стандартов, но подход остался прежним: «мы написали – исполняйте», и копирование требований безопасности с западных стандартов – это не изменение подхода, – считает руководитель службы информационной безопасности Абсолют Банка Руслан Ложкин. – Ключевым и позитивным изменением является вовлечение сообщества безопасности на этапе создания подзаконных актов. Также нужно отметить шаги Банка России в сторону создания единых ситуационных центров, таких как FinCERT, ГосСОПКА, без которых невозможно реагировать на риски реального времени».

Серьезно подходы не поменялись, законодатели и банкиры по-прежнему уделяют большое внимание развитию информационной безопасности в финансовой сфере в том числе, высказывает свое мнение руководитель службы безопасности РГС Банка Валерий Антонов. Что касается клиентов, то уровень их осведомленности растет, клиенты все чаще наравне с удобством и функциональностью интересуются безопасностью сервиса, говорит эксперт.

Глобальный спрос на повышение уровня киберзащищенности существует, и данная тенденция сохраняется не только последние два года, считает начальник Управления информационной безопасности МТС Банка Павел Назаров: «Этому способствуют как различные публикации в СМИ на тему киберзащищенности, так и развитие цифровизации − уход в цифру. Многие граждане опасаются за свои личные данные, особенно касающиеся финансов. Регулятор со своей стороны ужесточает требования к информационной безопасности, бизнес преследует свои цели − развиваться и получать прибыль, а клиенты, в свою очередь, повышают уровень грамотности в отношении защиты своих данных и становятся еще более требовательными. А банк балансирует между интересами бизнеса, клиентами и нормативами ЦБ».

Руководитель направления ИБ компании Bell Integrator Алексей Майоров полагает, что подход регулятора к ИБ финансовых организаций только ужесточается, и дает свою оценку данным процессам: «Гайки закручены так, что уже даже становится сложно соответствовать. Службы ИБ в настоящее время только и занимаются тем, что выполняют эти требования, вместо того, чтобы заниматься реальной информационной безопасностью с точки зрения мониторинга событий, отслеживания инцидентов и т.д. А если учесть, что большая часть поднадзорных организаций – это средние и малые банки, они вообще не могут себе позволить использовать ни собственные силы, ни аутсорсинговых специалистов для соблюдения всех норм ИБ. Поэтому пока ничего хорошего из этого не выходит. Столько всего надо сделать, столько бумаг создать и предоставить Центробанку… И это только по основным требованиям. Выполнение всех требований несет за собой очень большие финансовые затраты как с точки зрения покупки и развертывания системы, так и с точки зрения поддержки. Ведь мало купить ПО, надо еще назначить ответственного за эти средства, того, кто будет мониторить, отслеживать инциденты и события, решать проблемы. В 80 % организаций просто нет денег на это. Приведу пример. Вышел новый закон или требование. Какая-то поднадзорная организация запланировала на следующий год себе бюджет на его реализацию (ведь все компании живут по бюджетам). А ЦБ взял и ввел еще какое-то новое требование. Все хватаются за голову: а где взять еще 10 млн руб., чтобы его реализовать. Забюджетировать же не успели…».

Новый ГОСТ как эволюция семейства отраслевых стандартов СТО БР

По мнению многих экспертов, после введения в действие ГОСТ 57580.1-2017 жизнь в крупных банках не сильно

изменилась, поскольку они и до этого выполняли требования Комплекса стандартов Банка России СТО БР ИББС, положения которого в значительной степени соответствуют ГОСТ 57580.1-2017.

Так, по словам Владимира Журавлева, в действующих в банке «Открытие» системе и процессах обеспечения информационной безопасности в связи с введением в действие ГОСТ 57580.1-2017 ничего менять не придется. Вероятно, придется проводить мероприятия по сертификации прикладного ПО. При этом в связи с введением ИБ ГОСТ Р57580.1-2017 обосновывать затраты на ИБ проще не стало, говорит директор департамента информационной безопасности банка «Открытие».

Жизнь банков никак не изменилась, повседневная работа подразделений комплаенса продолжается, считает Павел Назаров (МТС Банк). МТС Банк является участником ТК 122 ЦБ по направлению «Безопасность финансовых (банковских) операций». В 2019 годы в банке провели предварительный аудит по ГОСТ, чтобы выявить сильные места и зоны развития в 2020 году.

«С принятием любого нового регуляторного нормативного акта или стандарта всегда возникает непростой вопрос баланса дополнительных затрат в связи с необходимостью выполнения требований регулятора, – отмечает начальник Управления информационной безопасности МТС Банка. – Банком России давно обсуждается тема, что в случае недостижения минимального уровня соответствия будут применяться санкции в виде увеличения объема по формированию обязательных резервов. Вероятно, внесение новых поправок и требований станет более значимым фактором для обоснования дополнительных затрат на информационную безопасность в кредитных организациях».

ГОСТ Р57580.1-2017 – это эволюция семейства отраслевых стандартов СТО БР, поэтому больших изменений в жизни банков не произошло, считает Валерий Антонов (РГС Банк). «Думаю, когда ГОСТ станет обязательным в 2021 году, с обоснованием затрат, действительно, будет чуть проще», – подчеркивает эксперт.

ГОСТ будет влиять на принятие решений, отмечает Руслан Ложкин (Абсолют Банк), но подчеркивает, что ГОСТ не означает глобальной перестройки концепции безопасности банка. «Перестройка концепции нужна там, где до сих пор затраты на безопасность ассоциируются исключительно с требованиями регулятора. Крупные банки давно ушли от такого подхода».

Абсолют Банк идет по пути глобальной цифровизации и отвечает требованиям современной информационной безопасности. «ГОСТ позволит нам перейти к реализации проектов, которые откладывались ранее», – рассказывает руководитель службы информационной безопасности Абсолют Банка.

Понятно, что в каждой организации положение дел обстоит по-разному, потому что перечень существующих средств ИБ у всех различается. «Если для соответствия новому ГОСТу чего-то не хватает, то придется внедрять. Если все имеется в наличии, то ничего делать не придется. Однако приходится учитывать то, что даже если собственный бюджет маленький, количество работающих сотрудников небольшое, никто не снимает задачи описать и выполнить требования, заполнить все формы, – подчеркивает Алексей Майоров (компания Bell Integrator). – А следовательно, под это часто приходится нанимать отдельного специалиста и нести дополнительные затраты. При этом, так или иначе, в любой компании бюджет на ИБ ограничен, запланирован заранее, и тратить более запланированного никто не хочет. И добиться финансирования на ИБ под силу разве что специалисту, который на языке бизнеса может рассказать, для чего это нужно и какую пользу принесет. Многое зависит и от руководства. Если специалист по ИБ и руководство находят общий язык и взаимопонимание, соответственно, и затраты обосновываются легко. Если же нет, то хоть какой ГОСТ напиши, бюджет под него обосновать затруднительно».

По словам Руслана Рахметова (ГК «ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ»), кроме требований ГОСТ, также существует множество других требований Банка России по информационной безопасности, но обосновать затраты на их выполнение очень трудно из-за сложности определения в денежном эквиваленте предотвращенного потенциального ущерба. «Однако ситуация скоро изменится, – уверен эксперт, – т.к. в соответствии с проектом положения Банка России об управлении операционным риском и последними выступлениями представителей регулятора, невыполнение требований информационной безопасности напрямую будет влиять на размер резервов. При этом схема расчета будет прозрачная для всех участников, что позволит организациям просчитать экономическую эффективность инвестиций в информационную безопасность. Появление нового норматива не облегчает жизнь, но с инструментом автоконтроля требований ИБ новые требования могут имплементироваться практически прозрачно и контролироваться автоматически. Финансовый ГОСТ входит в пул стандартов, контролируемых автоматически в Security Vision».

Действенная автоматизация необходима

С необходимостью автоматизации процессов, которые обеспечивают киберзащиту банка, неизбежно сталкивается любая организация. Практически все эксперты сходятся во мнении, что такая автоматизация важна и нужна.

Без автоматизации невозможно обеспечить эффективное управление процессами обеспечения информационной безопасности, уверен Владимир Журавлев (Банк «Открытие»).

По мнению Руслана Ложкина (Абсолют Банк), действенная автоматизация предполагает «переход на омниканальную платформу реагирования на риски безопасности, изменение квалификации «безопасника», который должен владеть скриптовыми языками, уметь менять логику работы сервиса, а не быть только оператором по нажатию кнопок. Это также уход от закрытых средств безопасности, «черных ящиков», в сторону открытых API и продуктов c открытым кодом. По сути, сейчас нужны только модули первичного взаимодействия (коннекторы) и сигнатуры распознавания событий (корреляторы), которые можно встраивать куда угодно, получая то или иное средство защиты, что на порядок дешевле. Тратить деньги стоит на создание собственных платформ безопасности и ситуационных центров, адаптированных под бизнес-модель компании, которые реально решают ее проблемы».

Алексей Майоров (компания Bell Integrator) считает, что необходимость автоматизации процессов ИБ зависит от масштаба компании: «Одно дело – Сбербанк, в котором тысячи информационных систем и масса сотрудников, которых надо контролировать, отслеживать инциденты и т.д. Здесь, конечно, автоматизация просто необходима, и ее возможность даже не отрицается. Контролировать ИБ будет проще, быстрее, оперативнее. С другой стороны, если это маленький банк, в котором 50 сотрудников (а таких в РФ – 80 %). Здесь, конечно, об автоматизации речь не идет. Такие банки чаще всего берут в аренду процессинг более крупных банков».

«В целом же, автоматизация – это хорошо, – отмечает руководитель направления ИБ компании Bell Integrator, – потому что большое количество ИБ-событий надо коррелировать между собой, устанавливать взаимосвязь между ними. Поскольку само по себе событие ничего не значит, а вот когда оно взаимосвязано с чем-то, по нему сделан вывод, то тогда от него и бывает толк».

Автоматизация жизненно необходима, это конкурентное преимущество, считает Руслан Рахметов (ГК «ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ»): «Автоматизация и, как следствие, оперативный контроль состояния информационной безопасности обеспечивают устойчивое функционирование и развитие бизнеса. Все продукты Security Vision направлены именно на это».

Директор по продуктам и инновациям VR_Bank Михаил Петров говорит о том, что его организация, будучи финтех-компанией, каждый день стремится автоматизировать любые процессы, которые позволят снизить стоимость сервиса для клиентов: «Безусловно, за последнее время мы значительно продвинулись в плане регуляторной политики, но говорить об упрощении или удешевлении пока преждевременно. Надо понимать, что цифровой мир приносит что-то новое каждый день, и это, в свою очередь, предполагает оперативные изменения внутренних процессов. Как или каким способом компания будет реагировать на эти вещи, зависит только от ее зрелости и понимания будущего, а оно совсем рядом. Машинное обучение, роботизация и искусственный интеллект уже близко, и очень скоро мы увидим это собственными глазами».

Любой процесс ИБ, который может быть автоматизирован, должен быть автоматизирован, уверен Валерий Антонов (РГС Банк): «Большим количеством процессов, контролей и метрик ИБ, при нынешнем темпе развития бизнеса и ИТ, невозможно управлять вручную».

Внедрять автоматизацию возможно разными методами и с различным уровнем затрат, высказывает свою точку зрения на проблему Павел Назаров (МТС Банк): «Многое можно сделать простыми скриптами и open-source (программное обеспечение с открытым исходным кодом), для этого не обязательно приобретать дорогостоящие системы. Но в любом случае, необходимость внедрения и использования действенной автоматизации не подлежит сомнению».

Автоматизация Compliance

Возникает еще один вопрос: способно ли внедрение соответствующих решений по автоматизации Compliance-процессов решить проблему постоянного контроля рисков ИБ и соответствия требованиям, упростить и удешевить прохождение аудитов и т.д.?

Алексей Майоров (компания Bell Integrator) считает, что здесь не все так однозначно: «Да, с одной стороны, удешевит, упростит и решит. Станет гораздо проще. Сегодня на рынке существуют специализированные компании, которые занимаются разработкой ПО для автоматизации Compliance-процессов и приведения к соответствию требованиям и стандартам. Такое ПО выдает владельцу уже фактически готовую документацию, следовательно, избавляет от необходимости выполнять это вручную и тратить время. С другой стороны, документы, как правило, все объемные, с множеством условий, факторов, данных, которые надо ввести. Одна ошибка может повлечь за собой неправильный результат. Поэтому в процессе должен участвовать обученный человек, и он должен быть погружен в него полностью, понимать, что вводит и как. И это процесс тоже нелегкий».

Автоматизация Compliance-процес-сов должна упростить и удешевить контроль состояния информационной безопасности внутри банка, считает Владимир Журавлев (Банк «Открытие»). «Что касается внешних аудитов, то пока непонятно, как это может повлиять на их упрощение и удешевление», – высказывает эксперт свою точку зрения.

Compliance – это набор статических требований без учета динамики, без адаптации к деятельности коммерческой организации, без учета рисков реального времени, возникающих в организации, – говорит Руслан Ложкин (Абсолют Банк). «Автоматизация процесса решит проблему сompliance, но не решит полностью проблему рисков ИБ, поскольку она гораздо шире. Автоматизация Compliance-процессов, безусловно, удешевит прохождение аудита, и, в некотором смысле, сведет на нет потребность в привлечении аудитора», – полагает эксперт.

Безусловно, автоматизация и унификация соответствующих решений по автоматизации Compliance-процессов ИБ частично решит проблему постоянного контроля рисков ИБ, упростит и удешевит прохождение аудитов, поможет правильно расставлять приоритеты при реагировании на проблемы, – уверен Валерий Антонов (РГС Банк).

«Не открою страшной тайны, но GRC системы давно используются во всем мире. Есть системы enterprise уровня, есть open-source. Мы используем решения как первого, так и второго уровня, – рассказывает о своем опыте Павел Назаров (МТС Банк). – Это значительно упрощает взаимодействие с аудиторами. Теперь большинство проверок сводится к предоставлению пары десятков дашбордов (способ визуального представления данных, сгруппированных по смыслу на одном экране для более легкого визуального восприятия информации), файлов конфигураций и нескольких отчетов».

По мнению Руслана Рахметова (ГК «ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ»), последовательное внедрение соответствующих решений (от SOC к IRP/SOAR, от IRP/ SOAR к auto-SGRC) не только значительно упростит и систематизирует работу подразделений информационной безопасности, но и минимизирует риски предприятия в целом. Более того, многие процессы вручную просто нереализуемы (например, постоянный контроль состояния инфраструктуры). Естественно, сотрудники организаций могут писать какие-нибудь скрипты, создавать программное обеспечение для частичной автоматизации, но тут требуются комплексный подход и использование отраслевого опыта, подчеркивает эксперт. 

Текст: Оксана Дяченко

Материал также опубликован в печатной версии Национального банковского журнала (№189, март).

 

Поделиться:
 

Возврат к списку