4595
Кибербезопасность в финансах 2023. Что показал февраль?
Мероприятие — преемник знаменитой Магнитки — переехало из своей традиционной локации — Магнитогорска — в Екатеринбург. Справедливости ради отметим, что в этом году речь идет скорее даже не о переезде, а о раздвоении форума. Дело в том, что в Магнитогорске с 27 февраля по 1 марта 2023 года запланировано еще одно ИБ-мероприятие — «Цифровая устойчивость и информационная безопасность России», нацеленное преимущественно на небанковские структуры.
При этом по сравнению с предыдущими годами Уральский форум заметно изменил формат — с преимущественно неофициально-кулуарного на более строгий официозный. Это было заметно как по особо представительному составу спикеров, включая команду ЦБ во главе с председателем Банка России Эльвирой Набиуллиной, так и по масштабу рассматриваемых тем, включая анонсирование стратегического документа — «Основных направлений развития информационной безопасности кредитно-финансовой сферы» на ближайшие три года. В оживленных дискуссиях (происходящих, впрочем, преимущественно в президиуме) приняли участие представители федеральных органов власти, крупнейших банков и небанковских финансовых организаций, финтех-структур и, конечно же, эксперты ведущих компаний в области защиты информации.
Семь трендов 2022–2023
Итак, что показал Уральский форум 2023? Вот лишь несколько ключевых трендов:
Во-первых, 2022-й — год, в который реализовались все риски, которые только могли реализоваться.
Во-вторых, киберпреступники продемонстрировали в 2022 году переход от количества к качеству. Количество, впрочем, тоже не «пострадало»: за последний год количество только DDoS-атак выросло в 8 раз.
В-третьих, наиболее актуальными угрозами становятся атаки через третьи стороны — т. е. атаки со стороны менее защищенных, чем банки, партнеров, а также банковский персонал.
В-четвертых, среди ключевых факторов риска — массовый переход на дистанционную работу, дефицит кадров и массовый же уход вендоров решений ИБ с российского рынка.
В-пятых, злоумышленники стали публично заявлять об успешных атаках, в то время как раньше начинали с приватного требования «выкупа», тем самым делая ущерб репутации бизнес-структуры неизбежным.
В-шестых, такие инициативы Банка России, как проведение киберполигонов, способствуют «боевой слаженности» между участниками рынка и госструктурами при отражении различного рода кибератак.
И наконец, в-седьмых: кибербезопасность бесполезна без риск-ориентированного аудита. Потому что тот самый редкий случай, когда ИБ «не нужна», — это ситуация, при которой организацией были инвестированы существенные средства в решения, позволяющие устранить лишь отдельные не слишком значительные риски, не обеспечивая информационную безопасность структуры в целом.
Киберриски. Застраховано — значит защищено?
Что касается активно обсуждаемого в ходе форума страхования киберрисков, то, как показал Уральский форум, этот рынок в России заметно отстает от реалий времени (не более 7 млн долл. США при объеме мирового от 7,5 млрд до 10 млрд долл.). Причин несколько, основная — отсутствие прозрачности самого рынка. Нет открытой статистики как по киберинцидентам, так и по страховым выплатам, мало информации по возможным комбинациям в рамках комплексных полисов и т. п., притом что цены на такого рода страховые услуги резко возросли на фоне драматического роста атак. Неудивительно, что в этих условиях киберриски страхуют только самые благополучные участники российского рынка, уже реализовавшие максимум технологических мер защиты.
Социальная инженерия. Страховать или не страховать ущерб?
Как нетрудно догадаться, одной из самых обсуждаемых тем стала социальная инженерия, в том числе в самом своем радикальном проявлении — формате телефонного мошенничества. Ущерб физлиц от этого вида преступлений продолжает расти, а у участников рынка до сих пор нет однозначного мнения, страховать его или нет. И это несмотря на то, что потеря денег с тех или иных электронных носителей остается практически единственным риском, который интересен страхователю — физическому лицу.
Судя по всему, страховать потери такого рода банкам все же придется. Как отметила в ходе пленарной сессии Уральского форум глава Банка России Эльвира Набиуллина, банки должны отвечать перед клиентами за их потери от мошенничества в любом случае, потому что человек гораздо более беззащитен перед преступниками, чем банк, оснащенный всеми современными технологическими средствами противодействия. Поэтому закон о возмещении средств физлицам, ставшим жертвами мошенников, и дающий клиенту два дня на обдумывание совершенного денежного перевода, должен также предусматривать ответственность банков за перевод денежных средств клиентов на счета, контролируемые преступниками. Неслучайно уже в мае 2023-го Сбер введет услугу, с помощью которой начнет возвращать клиентам переведенные на счета предполагаемых мошенников средства.
ЦБ: киберустойчивость на трех китах?
В целом, по данным Банка России, объем операций без согласия клиента в 2022 году вырос на 4% по сравнению с 2021 годом и достиг 14 млрд рублей. При этом каждая вторая мошенническая операция пришлась на социальную инженерию.
На этом фоне регулятор анонсировал широкий комплекс мер по защите потребителя, включая персональную ответственность банковских менеджеров за потери населения от фрода.
При этом основными направлениями деятельности регулятора в области ИБ на ближайший трехлетний период были названы:
- защита потребителей и повышение их доверия к кредитно-финансовым структурам;
- достижение технологического суверенитета;
- управление киберрисками и контроль операционной надежности.
Защита ПнД: пора выйти из тени?
На фоне происходящего особое внимание рынок уделяет сегодня вопросам защиты персональных данных клиентов. Что касается государства, то оно реализует в этом направлении целый ряд мер — как законодательного, так и инфраструктурного характера. Основной принцип здесь напоминает слоган известной рекламы налоговой службы: «Пора выйти из тени, передав данные об атаках регулятору». Так, например, недавнее внесение изменений в Закон о персональных данных обязывает операторов ПнД информировать ФОИВ обо всех случаях утечки данных. Речь идет о взаимодействии с порядка 7 млн структур, поэтому его планируется сделать максимально простым и прозрачным.
Мобильные операторы против телефонного мошенничества?
Как показал Уральский форум 2023, несмотря на привычные упреки, российские мобильные операторы (по крайней мере крупнейшие, представители которых участвовали в дискуссии) заинтересованы в противодействии телефонному мошенничеству не меньше банков. Более того, большая четверка уже создала общий верифицированный контур, с помощью которого успешно противостоит мошенникам.
При этом окончательно проблему телефонного мошенничества может решить только единая система верификации вызовов с вовлечением регуляторов и крупнейших участников рынка телекома с их технологиями и инфраструктурой. Например, система, которая начнет работать с марта 2023 года, обеспечивает контроль оператора связи за личностью абонента, способствуя созданию единой верифицированной базы абонентов.
А система «Антифрод» позволяет сделать в режиме реального времени запрос оператору, абонент которого якобы осуществляет данный вызов. В настоящее время к ней подключены четыре крупнейших российских оператора мобильной связи, между которыми осуществляется верификация вызовов. Ожидается, что до конца 2023 года к системе подключатся все российские операторы мобильной связи. Тем более что операторы, которые откажутся подключаться к системе, согласно закону просто не смогут продолжать свою деятельность на территории России.
Фишинг — только работа на опережение?
Особое внимание было уделено участниками Уральского форума борьбе с фишинговыми сайтами. С одной стороны, в настоящее время существует эффективный механизм блокировки нарушающих закон сайтов. Только в 2022 году было удалено 2300 материалов и заблокировано 8100 сайтов, что в 2,5 раза превышает результаты 2021 года. С другой –эффективность противодействия фишингу измеряется не числом заблокированных ресурсов, а объемом потерь и количеством пострадавших от этого вида преступлений. И судя по происходящему, проблема продолжает усугубляться.
Да, в 2022 году доля фишинговых ресурсов в Рунете упала до 15%, сократившись в четыре раза, поэтому определенный прогресс здесь все же наблюдается, однако процесс нужно ускорять. Например, снизив срок жизни фишингового сайта до двух дней, можно исключить выдачу ссылок на них в поисковых ресурсах. В идеале такие ссылки должны остаться исключительно в личной переписке пользователей в мессенджерах. Но к этому нам еще предстоит прийти.
Подробнее об итогах Уральского форума «Кибербезопасность в финансах» читайте в материале этого номера!
Среди ряда других актуальных тем вопросы кибербезопасности и киберустойчивости будут обсуждаться в ходе Международного ПЛАС-Форума «ПЛАС-Форум „Digital Kyrgyzstan“», который пройдет в Бишкеке уже 15 марта 2023 года. До встречи на нашем мероприятии!
