16 августа 2016,
15:13
241
Артем Сычёв: «Банк России будет уходить от практики самооценки банков в вопросах операционных рисков»
Артем Сычёв, заместитель начальника Главного управления безопасности и защиты информации Банка России В прошлом номере «ПЛАСа»...
ПЛАС: Сегодня после каждой атаки на банки, принесшей масштабный урон, принято сетовать на некомпетентность сотрудников департамента ИБ. Насколько в действительности сложным является вопрос кадров в этой сфере?
А. Сычёв: Проблема кадров – одна из наиболее серьезных проблем обеспечения информационной безопасности в банковской сфере. Она заключается не только в том, что банкам сегодня по-прежнему непросто найти необходимых специалистов и укомплектовать ими свой штат.
Как известно, служба ИБ требует наличия широкого спектра профессионалов – от безопасников юристов, которые способны грамотно сформировать нормативную базу и отразить в ней вопросы обеспечения безопасности, в том числе в рамках договорных отношений, до безопасников инженеров, реализующих разработанную стратегию безопасности на уровне ИТ-инфраструктуры, и т. д.
Однако при этом особенно сложно найти специалиста по ИБ, который мог бы разговаривать на одном языке с бизнесом. А ведь только это условие может гарантировать, что потребности банка в тех или иных шагах в области информационной безопасности будут услышаны лицами, принимающими непосредственное решение о финансировании такого рода инициатив.
Безопасник должен максимально объективно обосновывать свои пожелания, оперируя понятными бизнесу величинами в виде уровня риска и объема возможных потерь, размеров штрафов за несоответствие требованиям регулятора, анализа статистики случаев мошенничества и т. д. В противном случае все усилия департамента ИБ по повышению защищенности банка будут восприниматься в штыки руководством бизнес подразделений. С результатами такого отсутствия взаимопонимания команде FinCERT приходится сталкиваться регулярно.
ПЛАС: Чем может помочь здесь кредитным организациям Банк России?
А. Сычёв: У регулятора есть определенные решения, которые могут выступать существенным подспорьем для банков в решении такого рода сложных вопросов. В качестве примера здесь можно привести наши «Рекомендации в области стандартизации по ресурсному обеспечению». В этом документе даются конкретные советы относительно численности и состава персонала команды, отвечающей в банке за вопросы ИБ, размеров необходимых инвестиций, включая зарплатный фонд, принципов управления и учета эффективности и т.д. В свое время этот документ даже успел подвергнуться жесткой критике со стороны банковского сообщества. Однако, когда речь идет о его конкретных применениях, практика последних лет показывает, что эти рекомендации могут быть весьма эффективны.
Необходимо найти специалиста по ИБ, умеющего разговаривать на одном языке с бизнесом, иначе все усилия по повышению защищенности банка будут восприниматься в штыки руководством бизнес-подразделений |
Также в настоящее время мы готовим перечень рекомендаций в области стандартизации по квалификационным требованиям к персоналу в сфере финансовой безопасности, который уже активно обсуждаем в рамках Первого подкомитета ТК122 «Стандарты финансовых операций», в состав которого входят кредитные и некредитные финансовые организации, а также организации, оказывающие профессиональные услуги в области обеспечения информационной безопасности.
Таким образом, мы активно работаем в направлении решения кадровых проблем в сфере ИБ, и я уверен, что результаты не заставят себя ждать.
Мы готовим рекомендации по стандартизации квалификационных требований к персоналу в сфере финансовой безопасности
ПЛАС: Так или иначе, речь идет пока именно о рекомендациях – Банк России остается в этих вопросах верен своей практике не прибегать без крайней необходимости к ужесточению требований. А что вы могли бы сказать в отношении практики, когда банк самостоятельно оценивает свое соответствие тем или иным нормативам Центрального банка в отношении ИБ – планируется ли от нее отказаться?
А. Сычёв: Совершенно верно. Каждый банк строит свою работу, руководствуясь, с одной стороны, строгими нормативами регулятора, а с другой – рекомендациями, следовать которым или нет, а если следовать, то в какой мере, он решает самостоятельно. Мы не сторонники режима ручного управления и стремимся ограничиваться мерами рекомендательного характера везде, где это только целесообразно.
Что же касается упомянутой вами практики самооценки ситуации с ИБ, то в перспективе мы планируем от нее уйти. Мы видим, что зачастую такой подход оказывается настоящей профанацией. Посудите сами: ни один из банков, впоследствии потерявший в результате действий мошенников десятки и сотни миллионов рублей, не поставил в листке самооценки отметку «плохо»!
ПЛАС: Какие меры воздействия на банки с низким уровнем информационной безопасности планирует применять Банк России?
А. Сычёв: Сам принцип остается прежним – он соответствует принципам, заложенным в документах Базельского комитета. В случае низкой оценки эффективности работы конкретного банка с операционными рисками Банком России выносится требование об увеличении данной кредитной организацией либо своих резервов для компенсации возможных потерь от мошенничества, либо – уставного капитала.
Какой из этих вариантов предпочтительнее и каковы должны быть суммы такого рода отчислений, пока обсуждается, но ключевой принцип воздействия на участников рынка, не желающих повышать уровень ИБ, в целом очевиден и носит сугубо финансовый характер. В принципе, если говорить о суммах, то они легко просчитываемы и должны прямо коррелироваться с рисками. Как я уже отмечал, сегодня речь идет о среднедневном остатке по корсчету банка – если кредитная организация не желает соответствовать требованиям регулятора в плане обеспечения ИБ, то, по логике, именно на такую сумму она должна быть готова увеличить свой капитал.
ПЛАС: Как идет работа над проектом закона о противодействии незаконным переводам денежных средств?
А. Сычёв: В настоящее время данный законопроект рассматривается в Минфине, в ближайшее время он будет разослан на согласование в профильные ведомства, а затем – вынесен на обсуждение в правительство и Госдуму. Думаю, что данный процесс может получить некоторое ускорение в связи с результатами недавнего совещания у премьер-министра РФ Дмитрия Медведева по вопросам информационной безопасности в финансово-кредитной сфере.
ПЛАС: На фоне планируемого к концу 2016 года массового выпуска карты «Мир» ожидается переход к использованию отечественных средств криптозащиты. Какова готовность участников рынка к этому процессу?
А. Сычёв: В настоящее время вместе с нашими коллегами из ФСБ и участниками рынка идет отработка стандартов информационной безопасности, которые будут применяться в ПС «Мир».
Речь идет о внедрении принятых международных стандартов с использованием отечественных криптоалгоритмов. Как только этот момент будет окончательно отработан, можно будет говорить о каких-либо конкретных шагах практической реализации задачи. Сегодня же мы находимся на стадии подготовки соответствующих спецификаций.
ПЛАС: По оценкам экспертов, рекомендации Банка России по обеспечению информационной безопасности организаций банковской системы, которые начали действовать с 1 мая 2016 года, оказались весьма своевременны. В частности, документ подробно рассматривает все аспекты данного направления вплоть до конкретных критериев мониторинга и настроек системы.
Ряду участников рынка такая конкретика в открытом документе представляется даже несколько рискованной. На их взгляд, данными рекомендациями могут воспользоваться не только банки, но и преступное сообщество, приняв их к сведению и сделав для себя соответствующие выводы. Ваше мнение по этому поводу?
А. Сычёв: Как показывает практика, преступники изучают любые рекомендации, находящиеся как в открытом, так и в ограниченном доступе, причем изучают чуть ли не внимательнее, чем сами специалисты по информационной безопасности в банках. Ярким примером здесь может служить атака на банки, выполненная в виде очередной рассылки FinCERT и вызвавшая резонанс в банковском сообществе и в СМИ.
Читайте также:
В последнее время мы наблюдаем активные попытки вербовки преступниками банковских специалистов
Вопреки сообщениям в прессе, фальшивая рассылка была осуществлена не по адресам участников FinCERT, но по базе так называемого Клуба антидропперов. Эта атака в числе прочего продемонстрировала, что злоумышленники более чем внимательно читают все наши рассылки. Это следует в том числе из скрупулезно скопированной в фальшивых письмах стилистики и вводных данных, что позволило ввести в заблуждение из более 400 банков, ставших целями атаки, и внедрить в их системах вредоносный вирус. Одновременно перед нами наглядный пример надлежащего уровня подготовки «специалистов по ИБ».
Возвращаясь на этом фоне к вопросу о риске использования рекомендаций Банка России преступным сообществом, можно заявить со всей ответственностью: придавать таким документам статус особой закрытости совершенно бесполезно.
Преступники прекрасно осведомлены обо всем, что в них содержится, и поэтому наша задача – не столько скрыть такую информацию от злоумышленников (они и так знают гораздо больше), сколько донести ее до банковских специалистов по ИБ.
Кроме того, у безопасников всегда остается так называемый люфт применения тех или иных мер безопасности – что именно из наших рекомендаций реализует на практике конкретный банк, преступники все равно не будут знать. Если, конечно, в ситуацию не внесет свои коррективы инсайд.
ПЛАС: Какие наиболее актуальные и критичные угрозы информационной безопасности в банковском секторе вы могли бы назвать – сегодня и на ближайшее будущее? Какое место среди них отводится инсайду?
А. Сычёв: В настоящий момент я не вижу поводов выделять инсайд в качестве одной из ключевых угроз информационной безопасности банков. С точки зрения финансовых потерь, инсайд гораздо более актуален сегодня в плане угроз экономической безопасности, включая неправомерную выдачу кредитов, махинации в области возврата банку заемных средств и т.д. В части ИБ как таковой значение этого фактора сегодня не слишком велико.
В то же время ситуация может измениться – нельзя не отметить, что в последнее время мы наблюдаем активные попытки вербовки банковских специалистов со стороны преступного сообщества. Как правило, в зону внимания злоумышленников попадают лица, представляющие экономический блок, которые в силу своих должностных полномочий могут влиять на принятие в банке тех или иных решений, в том числе в области ИБ.
Если же говорить о тех новых угрозах информационной безопасности, которые уже успели продемонстрировать себя в качестве критичных, то здесь стоит упомянуть прежде всего несанкционированный перехват управления устройством как таковым (сервером, компьютером АРМ КБР и т.д.) и, соответственно, получение преступниками полного контроля информации, которая поступает и, что еще более важно, исходит из этого устройства. В результате становятся возможными любые подмены и перенаправления информации и, как следствие, – многомиллионные хищения средств с корсчета банка. Сегодня это основной тренд, который будет в дальнейшем только набирать обороты.
С распространением Интернета вещей риск могут представлять практически любые домашние устройства, будь то холодильник, стиральная машина или интеллектуальная система освещения |
В качестве источника принципиально новых угроз можно рассматривать повсеместное распространение «Интернета вещей». Так, если сегодня защите коммуникационных устройств, используемых для совершения платежа, будь то смартфон, планшет или стационарный компьютер, уделяется все больше внимания, то в ближайшее время мишенями для преступников могут оказаться гаджеты, используемые как промежуточные звенья осуществления финансовых транзакций – домашние роутеры, телевизоры и т.д.
С распространением «Интернета вещей» их круг могут пополнить практически любые домашние устройства, будь то холодильник, стиральная машина или интеллектуальная система освещения, которые могут «помнить», например, номер банковской карты владельца, как сегодня ее уже может «помнить» телевизор. Активность преступников достаточно быстро сместится именно в эту сторону, что вызовет серьезные проблемы в области ИБ в целом и защиты финансов в частности, учитывая резко возросшие объемы инфраструктуры, которую придется защищать. И эту проблему нам еще только предстоит решать.