16 августа 2016, 15:13
Количество просмотров 238

Артем Сычёв: «Банк России будет уходить от практики самооценки банков в вопросах операционных рисков»

     Артем Сычёв,    заместитель начальника Главного управления безопасности и защиты информации Банка России    В прошлом номере «ПЛАСа»...
Артем Сычёв: «Банк России будет уходить от практики самооценки банков в вопросах операционных рисков»



ПЛАС: Сегодня после каждой атаки на банки, принесшей масштабный урон, принято сетовать на некомпетентность сотрудников департамента ИБ. Насколько в действительности сложным является вопрос кадров в этой сфере?

А. Сычёв: Проблема кадров – одна из наиболее серьезных проблем обеспечения информационной безопасности в банков­ской сфере. Она заключается не только в том, что банкам сегодня по­-прежнему не­просто найти необходимых специалистов и укомплектовать ими свой штат. 
Как из­вестно, служба ИБ требует наличия ши­рокого спектра профессионалов – от без­опасников­ юристов, которые способны грамотно сформировать нормативную базу и отразить в ней вопросы обеспече­ния безопасности, в том числе в рамках договорных отношений, до безопасни­ков­ инженеров, реализующих разрабо­танную стратегию безопасности на уров­не ИТ-инфраструктуры, и т. д. 
Однако при этом особенно сложно найти специали­ста по ИБ, который мог бы разговаривать на одном языке с бизнесом. А ведь только это условие может гарантировать, что потребности банка в тех или иных шагах в области информационной безопасности будут услышаны лицами, принимающи­ми непосредственное решение о финан­сировании такого рода инициатив. 
Без­опасник должен максимально объективно обосновывать свои пожелания, оперируя понятными бизнесу величинами в виде уровня риска и объема возможных потерь, размеров штрафов за несоответствие тре­бованиям регулятора, анализа статистики случаев мошенничества и т. д. В противном случае все усилия департамента ИБ по повышению защищенности банка будут восприниматься в штыки руководством бизнес­ подразделений. С результатами такого отсутствия взаимопонимания ко­манде FinCERT приходится сталкиваться регулярно. 

ПЛАС: Чем может помочь здесь кредитным организациям Банк России? 

А. Сычёв: У регулятора есть определен­ные решения, которые могут выступать существенным подспорьем для банков в решении такого рода сложных вопросов. В качестве примера здесь можно привести наши «Рекомендации в области стандар­тизации по ресурсному обеспечению». В этом документе даются конкретные со­веты относительно численности и состава персонала команды, отвечающей в банке за вопросы ИБ, размеров необходимых инвестиций, включая зарплатный фонд, принципов управления и учета эффектив­ности и т.д. В свое время этот документ даже успел подвергнуться жесткой кри­тике со стороны банковского сообщества. Однако, когда речь идет о его конкретных применениях, практика последних лет показывает, что эти рекомендации могут быть весьма эффективны. 
Артем Сычёв: «Банк России будет уходить от практики самооценки банков в вопросах операционных рисков» - рис.1
Необходимо найти специалиста по ИБ, умеющего разговаривать на одном языке с бизнесом, иначе все усилия по повышению защищенности банка будут восприниматься в штыки руководством бизнес-подразделений

Также в настоящее время мы гото­вим перечень рекомендаций в области стандартизации по квалификационным требованиям к персоналу в сфере финансовой безопасности, который уже активно обсуждаем в рамках Первого подкомитета ТК122 «Стандарты финансо­вых операций», в состав которого входят кредитные и некредитные финансовые организации, а также организации, ока­зывающие профессиональные услуги в области обеспечения информационной безопасности.

Таким образом, мы активно работаем в направлении решения кадровых про­блем в сфере ИБ, и я уверен, что резуль­таты не заставят себя ждать.


Мы готовим рекомендации по стандартизации квали­фикационных требований к персоналу в сфере финан­совой безопасности



ПЛАС: Так или иначе, речь идет пока именно о рекомендациях – Банк России остается в этих вопросах верен своей практике не прибегать без крайней необходимости к ужесточению требований. А что вы могли бы сказать в отношении практики, когда банк самостоятельно оценивает свое соответствие тем или иным нормативам Центрального банка в отношении ИБ – планируется ли от нее отказаться?

А. Сычёв: Совершенно верно. Каждый банк строит свою работу, руководствуясь, с одной стороны, строгими нормативами регулятора, а с другой – рекомендациями, следовать которым или нет, а если следо­вать, то в какой мере, он решает самостоятельно. Мы не сторонники режима ручного управления и стремимся ограничиваться мерами рекомендательного характера везде, где это только целесообразно.
Что же касается упомянутой вами практи­ки самооценки ситуации с ИБ, то в перспективе мы планируем от нее уйти. Мы видим, что зачастую такой подход оказывается на­стоящей профанацией. Посудите сами: ни один из банков, впоследствии потерявший в результате действий мошенников десятки и сотни миллионов рублей, не поставил в листке самооценки отметку «плохо»! 

ПЛАС: Какие меры воздействия на банки с низким уровнем информационной безопасности планирует применять Банк России?

А. Сычёв: Сам принцип остается преж­ним – он соответствует принципам, зало­женным в документах Базельского комите­та. В случае низкой оценки эффективности работы конкретного банка с операционны­ми рисками Банком России выносится тре­бование об увеличении данной кредитной организацией либо своих резервов для компенсации возможных потерь от мошен­ничества, либо – уставного капитала. 
Ка­кой из этих вариантов предпочтительнее и каковы должны быть суммы такого рода отчислений, пока обсуждается, но ключе­вой принцип воздействия на участников рынка, не желающих повышать уровень ИБ, в целом очевиден и носит сугубо фи­нансовый характер. В принципе, если говорить о суммах, то они легко просчиты­ваемы и должны прямо коррелироваться с рисками. Как я уже отмечал, сегодня речь идет о среднедневном остатке по кор­счету банка – если кредитная организация не желает соответствовать требованиям регулятора в плане обеспечения ИБ, то, по логике, именно на такую сумму она должна быть готова увеличить свой капитал. 

ПЛАС: Как идет работа над проектом закона о противодействии незаконным переводам денежных средств? 

А. Сычёв: В настоящее время данный законопроект рассматривается в Минфи­не, в ближайшее время он будет разослан на согласование в профильные ведомства, а затем – вынесен на обсуждение в пра­вительство и Госдуму. Думаю, что данный процесс может получить некоторое ускоре­ние в связи с результатами недавнего со­вещания у премьер­-министра РФ Дмитрия Медведева по вопросам информационной безопасности в финансово­-кредитной сфере. 

ПЛАС: На фоне планируемого к концу 2016 года массового выпуска карты «Мир» ожидается переход к использованию отечественных средств криптозащиты. Какова готовность участников рынка к этому процессу?

А. Сычёв: В настоящее время вместе с нашими коллегами из ФСБ и участни­ками рынка идет отработка стандартов информационной безопасности, которые будут применяться в ПС «Мир». 
Речь идет о внедрении принятых международных стандартов с использованием отечествен­ных криптоалгоритмов. Как только этот мо­мент будет окончательно отработан, можно будет говорить о каких­-либо конкретных шагах практической реализации задачи. Сегодня же мы находимся на стадии под­готовки соответствующих спецификаций. 

ПЛАС: По оценкам экспертов, рекомендации Банка России по обеспечению информационной безопасности организаций банковской системы, которые начали действовать с 1 мая 2016 года, оказались весьма своевременны. В частности, документ подробно рассматривает все аспекты данного направления вплоть до конкретных критериев мониторинга и настроек системы. 
Ряду участников рынка такая конкретика в открытом документе представляется даже несколько рискованной. На их взгляд, данными рекомендациями могут воспользоваться не только банки, но и преступное сообщество, приняв их к сведению и сделав для себя соответствующие выводы. Ваше мнение по этому поводу? 

А. Сычёв: Как показывает практика, пре­ступники изучают любые рекомендации, находящиеся как в открытом, так и в огра­ниченном доступе, причем изучают чуть ли не внимательнее, чем сами специалисты по информационной безопасности в бан­ках. Ярким примером здесь может служить атака на банки, выполненная в виде оче­редной рассылки FinCERT и вызвавшая ре­зонанс в банковском сообществе и в СМИ. 

Читайте также:

В последнее время мы наблюдаем активные попытки вербовки преступниками банковских специалистов



Вопреки сообщениям в прессе, фальши­вая рассылка была осуществлена не по адресам участников FinCERT, но по базе так называемого Клуба антидропперов. Эта атака в числе прочего продемонстри­ровала, что злоумышленники более чем внимательно читают все наши рассылки. Это следует в том числе из скрупулезно скопированной в фальшивых письмах стилистики и вводных данных, что позво­лило ввести в заблуждение из более 400 банков, ставших целями атаки, и вне­дрить в их системах вредоносный вирус. Одновременно перед нами наглядный пример надлежащего уровня подготовки «специалистов по ИБ».
Возвращаясь на этом фоне к вопро­су о риске использования рекомендаций Банка России преступным сообществом, можно заявить со всей ответственностью: придавать таким документам статус осо­бой закрытости совершенно бесполезно. 
Преступники прекрасно осведомлены обо всем, что в них содержится, и поэтому наша задача – не столько скрыть такую информа­цию от злоумышленников (они и так знают гораздо больше), сколько донести ее до банковских специалистов по ИБ. 
Кроме того, у безопасников всегда остается так называемый люфт применения тех или иных мер безопасности – что именно из на­ших рекомендаций реализует на практике конкретный банк, преступники все равно не будут знать. Если, конечно, в ситуацию не внесет свои коррективы инсайд.

ПЛАС: Какие наиболее актуальные и критичные угрозы информационной безопасности в банковском секторе вы могли бы назвать – сегодня и на ближайшее будущее? Какое место среди них отводится инсайду?

А. Сычёв: В настоящий момент я не вижу поводов выделять инсайд в качестве одной из ключевых угроз информационной безо­пасности банков. С точки зрения финансо­вых потерь, инсайд гораздо более актуален сегодня в плане угроз экономической безопасности, включая неправомерную выдачу кредитов, махинации в области возврата банку заемных средств и т.д. В части ИБ как таковой значение этого фактора сегод­ня не слишком велико. 

В то же время ситуация может изме­ниться – нельзя не отметить, что в по­следнее время мы наблюдаем активные попытки вербовки банковских специалис­тов со стороны преступного сообщества. Как правило, в зону внимания злоумыш­ленников попадают лица, представляющие экономический блок, которые в силу своих должностных полномочий могут влиять на принятие в банке тех или иных решений, в том числе в области ИБ.

Если же говорить о тех новых угрозах ин­формационной безопасности, которые уже успели продемонстрировать себя в каче­стве критичных, то здесь стоит упомянуть прежде всего несанкционированный пере­хват управления устройством как таковым (сервером, компьютером АРМ КБР и т.д.) и, соответственно, получение преступ­никами полного контроля информации, которая поступает и, что еще более важно, исходит из этого устройства. В результате становятся возможными любые подмены и перенаправления информации и, как следствие, – многомиллионные хищения средств с корсчета банка. Сегодня это ос­новной тренд, который будет в дальнейшем только набирать обороты.


Артем Сычёв: «Банк России будет уходить от практики самооценки банков в вопросах операционных рисков» - рис.2
С распространением Интернета вещей риск могут представлять практически любые домашние устройства, будь то холодильник, стиральная машина или интеллектуальная система освещения
В качестве источника принципиально новых угроз можно рассматривать по­всеместное распространение «Интернета вещей». Так, если сегодня защите комму­никационных устройств, используемых для совершения платежа, будь то смартфон, планшет или стационарный компьютер, уделяется все больше внимания, то в бли­жайшее время мишенями для преступников могут оказаться гаджеты, используемые как промежуточные звенья осуществле­ния финансовых транзакций – домашние роутеры, телевизоры и т.д. 

С распростра­нением «Интернета вещей» их круг могут пополнить практически любые домашние устройства, будь то холодильник, стираль­ная машина или интеллектуальная система освещения, которые могут «помнить», например, номер банковской карты владельца, как сегодня ее уже может «пом­нить» телевизор. Активность преступников достаточно быстро сместится именно в эту сторону, что вызовет серьезные проблемы в области ИБ в целом и защиты финансов в частности, учитывая резко возросшие объемы инфраструктуры, которую при­дется защищать. И эту проблему нам еще только предстоит решать. 

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube