Первый заместитель директора ДИБ Банка России Артём Сычёв на SOC-Форум Live рассказал об уроках пандемии для финансовой отрасли, которые нам надо очень быстро выучить. 

«За последнее время у нас часть злоумышленников ушла от обычных обзвонов в сторону анализа тех проблем, которые есть в системах ИБ банков с точки зрения взаимодействия между клиентом и банком. За последнее время несколько кейсов, которые мы разбирали и о которых информационные бюллетени от нас улетали в торону наших участников информационного обмена, очень наглядно это доказывает. Собственно, это один из уроков пандемии, который нам придётся учить очень быстро. Чем быстрее мы его выучим, тем надёжнее будут защищены наши участники финансового рынка», — рассказал Артём Сычёв. 

В чем же заключается первый урок Он заключается в том, что поспешность выведения на рынок финансовых продуктов, поспешность выведения на рынок сервисов без учётов требований безопасности, без учёта самых элементарных мер, которые должны соблюдаться в части программирования, приводит к тому, что эту дырку очень быстро находят. «И дальше начинаются замечательные вещи в виде того, что пользователь заходит под своим именем, но платит с чужих счетов, или иные варианты таких событий приводят к тому, что крайним оказывается даже не банк, а потребитель. На это я бы действительно внимание обратил», — пояснил спикер. 

По его словам, наблюдаемая сейчас ситуация — только проба пера, а её пик будет через 2-3 года. «Поэтому Центральный банк считает необходимы готовиться к этому прямо сейчас, несмотря на то, что базовые требования для финансовых организаций установлены, но очевидно, этого будет недостаточно. У нас идёт эпоха open API, у нас идёт впереди эпоха экосистем. И это та проблема с точи зрения ИБ, которую сейчас пока никто решать не собирался. Нам придётся её решать. Это один из уроков пандемии», — отметил Артём Сычёв. 

Второй урок пандемии: несмотря на то, что финансовые организации внутри себя были готовы к переходу на удалёнку, но при этом не все подумала, насколько персональные данные клиентов будут защищены. По оценке Банка России, более 70% банков и вообще финансовых организаций фактически бесшовно перешли на удалённый режим работы. Им требовалось лишь увеличить масштаб тех мощностей, которые для этого использовались.

«Но, что важно? Важно, что при этом не все подумали о том, насколько персональные данные клиентов, которые тем не менее попадают на рабочие станции удалённые, защищены. И это второй урок, который нам придётся учить. И опять же учить достаточно быстро», — сказал эксперт. 

И третья тема, которая не совсем связан с пандемией, а связана вообще с финансовым миром, заключается в том, что Банку России надо существенно перестроить своё внимание к тем вопросам, которые он регулирует и которыми он управляет с точки зрения ИБ. 

«За последние полтора месяца мы опробовали такой вариант как киберучения. Причём в этих киберучениях участвовали очень крупные банки. Да, это пока вариант таких командно-штабных учений, но тем не менее мы постарались на них отработать элементы взаимодействия не только банка внутри у себя, но и взаимодействие банка с ЦБ, банка, ЦБ и других участников финансового рынка. И честно скажу, нам есть над чем работать. И работать и на стороне банков, и на стороне Центрального банка», — рассказал Артём Сычёв. 

 

BIS Journal — генеральный инфопартнёр SOC-Форум Live

1 декабря, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

29.09.2022
Штрафы за утечку ПДн могут пойти не в бюджет, а на компенсацию пострадавшим от утечек
29.09.2022
ИТ-исход 2.0. Рынок — о возможном количестве айтишников, покидающих РФ прямо сейчас
29.09.2022
Минцифры собирается срезать поток спамерских звонков
29.09.2022
NETSCOUT выявила взаимосвязь конфликтов в мире и роста числа DDoS-атак
29.09.2022
К Anonymous в их иранской кампании подключаются другие хактивисты
29.09.2022
Сценарий контроля привилегированных пользователей можно отработать на платформе киберучений Jet CyberCamp
29.09.2022
Группа компаний ХОСТ внедрила Solar appScreener для поиска уязвимостей в программном обеспечении
28.09.2022
Появился сервис для подачи заявлений на освобождение айтишников от мобилизации
28.09.2022
Турецкие госбанки прекращают сотрудничество с «Миром»
28.09.2022
Минцифры — о типичных ошибках при подаче заявлений на ИТ-отсрочку от мобилизации

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных