Журнал ПЛАС » Мнения экспертов »

Кибербезопасность российской экономики и банковской индустрии в целом

Поскольку реальная «война» против России, Китая и других суверенных стран уже началась, тема обеспечения кибербезопасности российской экономики и банкинга становится более чем просто актуальной… Директор Научно-Производственного Центра АО «НППКТ» Игорь Морозов поделился с порталом PLUSworld.ru экспертным мнением, что означает для банков кибербезопасность сегодня.

При современном развитии информационных технологий и распространенности коммуникационных сетей, ведение «боевых» действий уходит в пространство Интернета, но при этом эффективность наносимого урона становится несравненно высокой.

Очевидный пример – вывод из строя энерго-генерирующих и проводящих мощностей в Венесуэле с использованием направленных кибернетических атак. Используя уязвимости, зачастую заложенные изначально в конструкцию, злоумышленники обвалили автоматизированные системы управления, оставив тем самым половину страны без электричества. Душещипательные рассказы о снайпере, прострелившем управляющий компьютер с расстояния в 10 километров через форточку электростанции конечно же занимательны, но годятся лишь для киношных боевиков.

На сегодня промышленность, вооруженные силы, силовые ведомства, банковская сфера России масштабно используют оборудование и технологии, безусловно обеспечивающие высокую технологичность, но при этом являющиеся объектами, на которые ведутся кибернетические атаки и хищение данных. К ним можно отнести:

  • Автоматизированные системы управления и оборудованием, и технологическими процессами;
  • Системы управления базами данных;
  • Центры обработки и хранения информации;
  • Коммуникационное оборудование;
  • Всевозможные программные продукты, включая операционные системы.

Конечно же, возвращаясь к банковскому сообществу, вся деятельность таких систем и продуктов непосредственно в банке, обеспечена защитой специальных программных и технических средств. Это и средства защиты в составе операционных систем, и межсетевые экраны, и системы обнаружения вторжений, и системы противодействия, разработанные на высоком технологическом уровне и сертифицированные к применению. Но… В основной массе такие решения разработаны и произведены на «сопредельных территориях». Как правило – в США, Израиле, Франции и т. д.

Автор был свидетелем интеграции в базу данных большого, уважаемого банка, счетно-сортировальной техники другого, уважаемого иностранного производителя, с применением протокола обмена FTP в том числе. И никому в голову не пришло, что к самой машине, по ее функционалу, может быть подключено управляющее устройство – простой ноутбук. Ну конечно, же в этой сети присутствовали межсетевые экраны! Но это экраны иностранного производства, надежность работы которых так наглядно продемонстрировала Венесуэла.

Центральный Банк Российской Федерации развернуто регламентирует кибернетическую защищенность кредитных учреждений России. К регламентирующим актам ЦБ в первую очередь относятся:

  • Положение Банка России от 09.01.2019 №672-П «О требованиях к защите информации в платежной системе Банка России»;
  • Положение Банка России от 21.05.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»;
  • Положение Банка России от 17.04.2019 №684-П «Об установлении обязательных для не кредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций»
  • Методические рекомендации 4-МР Банка России по обеспечению информационной безопасности при работе с Единой биометрической системой;
  • ГОСТ Р 57580.1–2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»;
  • ГОСТ Р 57580.2–2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия».

Так же, к примеру, протоколы обмена банкоматных сетей NDC+, DIBOLD 912 удовлетворяют требованиям по безопасности даже несколько выше, нежели требования, предъявляемые регулятором кибернетической безопасности России.

Исполнение требований этих нормативов обеспечивает банкам высокий уровень защищенности, а клиентам таких банков – уверенность в безопасности собственных средств и проводимых операций. Это с одной стороны.

С другой стороны, как говорилось выше, основная масса средств кибербезопасности, используемая в банках, разработана и произведена нашими традиционными «партнерами» из-за рубежа. И в таком случае возникает необходимость внедрения дополнительных средств защиты. Как точно выразился один из экспертов: «Мы строим крепостные стены от злоумышленников вокруг оборудования, поставленного злоумышленниками».

Над устранением этой странной коллизии государство работает уже достаточно давно и эффективно. За несколько последних лет введено в действие более 70 нормативно-правовых актов, исполнение которых должно обеспечить защищенность объектов и субъектов страны, которые могут подвергнуться кибератакам. Это и Федеральные законы, и Указы Президента РФ, и постановления Правительства РФ, и приказы ФСТЭК. В первую очередь к таким документам стоит отнести:

  • Федеральный закон от 26.07.2017 г. N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
  • Постановление Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателе критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»;
  • Приказ ФСТЭК России от 25.12.2017 N 239 (ред. от 20.02.2020) «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

Заострим внимание на том, что банковские структуры входят в перечень из 12 отраслей, отнесенным Федеральным законом 187-ФЗ к критически информационным инфраструктурам. Как следствие, кредитные организации обязаны исполнить требования государства по обеспечению кибернетической безопасности в дополнение к регламентирующим документам Центрального Банка. В случае неисполнения нормативов Центрального Банка банк рискует как минимум приостановить свою деятельность, но в случае неисполнения Федерального законодательства в силу вступает ст.274.1 Уголовного кодекса РФ в отношении должностных лиц такого банка.

Также, важно отметить, что требования государства по обеспечению кибербезопасности динамично развиваются, учитывая новые и все нарастающие угрозы. Из ключевых моментов, недавно прошедшего ТБ-Форума стоит отметить следующее:

  • применение средств защиты информации (СЗИ) иностранного производства в критических информационных инфраструктура России с 2023 года более нелегитимно. Начальник 5-го отдела 2-го управления ФСТЭК, Кураев А. В., на вопрос из зала «Стоит ли сейчас покупать иностранные СЗИ?», дал вполне прямой ответ: «Не стоит. Потому что в 2023 году их будет нужно заменить на отечественные»;
  • применение операционных систем иностранного производства в государственных корпорациях, либо компаниях с государственным капиталом с 2023 года более не легитимно;
  • ФСТЭК России заявил об усилении контроля над соблюдением требований законодательства в области защиты КИИ, а также об увеличении ответственности за несоблюдение требований;
  • проверки субъектов КИИ в 2021 году будут усиливаться;
  • использование удаленных каналов связи объектов КИИ должно быть согласовано со ФСТЭК России.

Вывод очевиден: банкам уже давно следовало провести массу работ во исполнении федерального законодательства в части кибербезопасности, а также еще предстоит произвести значительные капиталовложения в переоснащение своих структур.

Нет сомнений в том, что топ-10 банков, имея значительные ресурсы как в части внутренних служб информационной безопасности, так и в части собственных денежных средств, смогут в полном объеме и своевременно исполнить все, вышеперечисленное. Но даже для этих банков такие работы обойдутся в колоссальные трудозатраты и потерю значительной части прибыли. Также видятся проблемы, на которые сегодня нет точного ответа. Например: как будет работать Автоматизированная банковская система (АБС) банка, написанная в массе своей под операционную систему Windows, при переходе банка на отечественные операционные системы? Как будут работать сети банкоматов, на сегодня использующие СУБД иностранного производства, при переходе банка на отечественные СУБД? Сможет ли банк запустить все свои online сервисы в первый же день перевода своих структур на отечественную аппаратную и программную составляющую? Таких вопросов масса.

Нет сомнений в том, что федеральные требования должны быть исполнены. Но во исполнении таких требований, банковское сообщество вынуждено действовать по принципам «каждый сам за себя» и «делаю то, что могу».

Не имея экспертной оценки, могу только предположить, что некоторая часть банков еще не выполнила первичных требований законодательства – проведение аудита и категорирование собственных структур КИИ и начала взаимодействия со ФСТЭК России. А сколько всего еще нужно выполнить!

Не желая быть «диванным экспертом», меньше всего хотелось бы выдавать готовые «рецепты по спасению индустрии». Но вполне возможно предположить, что возглавить, систематизировать и упростить выполнение требований по кибербезопасности банками могла бы «Ассоциация банков России». Значимость и авторитетность Ассоциации позволили бы в полной мере реализовать:

  • экспертную оценку и гармонизацию требований Центрального Банка и Федерального законодательства в части требований, предъявляемых к банкам в части обеспечения кибербезопасности, если такая гармонизация требуется. В последующем это позволило бы банкам действовать в едином русле предъявляемых требований;
  • в сотрудничестве со ФСТЭК России разработать и внедрить индустриальные стандарты по техническому оснащению банков системами защиты информации и использования отечественного программного обеспечения. Это позволило бы банкам не метаться среди множества отечественных производителей, коих уже достаточно много, в поисках решений, удовлетворяющих требованиям, а двигаться целенаправленно, спокойно планируя бюджеты и мероприятия;
  • в сотрудничестве с отечественными производителями средств защиты информации и программного обеспечения, продукция которых могла бы войти в отраслевой стандарт, согласовать и затвердить специальные цены на их продукцию для исполнения банками требований по кибербезопасности. Понятно, что в таком случае представителям промышленности придется поступиться частью собственной прибыли, но это позволило бы банкам не слишком больших размеров исполнить требования без угрозы довести себя до разорения;
  • в сотрудничестве с Правительством РФ и Минпромторгом разработать и внедрить компенсационные меры как для банков, так и для представителей промышленности. Это позволило бы и банками и промышленности исполнить требования государства с помощью самого государства. Что видится справедливым;
  • сформировать экспертные группы для выявления скрытых вопросов, таких как взаимодействие АБС банка с новой операционной системой, и разработки путей решения таких скрытых вопросов. Это позволило бы банкам получать готовые, эффективные решения, а не тратить время и ресурсы на самостоятельный поиск таких решений;
  • сформировать экспертные группы, которые могли бы проводить работы в банках и в их интересах по выполнению требований и процедур федерального законодательства в части кибернетической безопасности. Это позволило бы банкам, не имеющим достаточных кадровых ресурсов, тем не менее исполнить требования законодательства вовремя и в полном объеме.

И много, много еще чего… Но, повторюсь еще раз – это сугубо субъективное мнение автора, не являющееся попыткой «всех научить, как нужно правильно противостоять киберугрозам».

В заключение хочется отметить, что банковское сообщество ожидает непростое время. И успех возможен лишь при консолидации усилий банков, промышленности, регуляторов кибербезопасности и банковской деятельности и органов государственной власти.

Удачи нам всем!

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных