Банк России выделяет три аспекта для оценки уровня защищенности финансовых организаций. О них рассказал заместитель начальника Департамента информационной безопасности Банка России Артем Сычев в рамках интервью на киберполигоне The Standoff, проходящего параллельно форуму «Positive Hack Days 10: Начало».
Критерии оценки уровня защищенности
«Для нас как для Центрального банка важно несколько аспектов. Первый и самый основной — это способность финансовой организации вовремя выявить проблему, ее локализовать и устранить последствия. В нашем понимании это означает, что на всех уровнях иерархии управления финансовой организации есть: А) понимание того, что этой темой надо заниматься и зачем ей надо заниматься; Б) каждый из уровней управления, отвечающий за информационную безопасность, начиная от рядового специалиста ИБшника и заканчивая председателем правления, понимают кто и что делает», — рассказал Артем Сычев.
Именно поэтому в прошлом году Центральный Банк провел киберучения с более чем с 20 финансовыми организациями. И, по словам спикера, они «наглядно увидели, как схема «выяви-локализуй-устрани» работает на самом деле».
Второй важный аспект — это уровень хищений, которые совершаются в отношение клиентов финансовых организаций
«Этот показатель важен потому что он напрямую влияет на уровень доверия к финансовым организациям. Финансовая организация может быть очень защищенной, но если ее клиенты теряют деньги, то при всех прочих равных, к ней отношение уже будет не такое, как должно быть. Но это не самое страшное. Самое страшное, когда такое отношение у клиентов начинает возникать по отношению ко всей финансовой системе. Это уже риск не безопасности, это риск финансовый, риск экономический, поэтому мы как Центральный банк этим озабочены», — пояснил Антон Сычев.
И третий момент — это общекорпоративное управление и общая культура. Безусловно, если руководство или владельцы финансовой организации не понимают рисков информационной безопасности и не знают, что это такое, то в этом случае риск несут не только они, а риск несут и акционеры, и вкладчики.
«И для нас крайне важно понимание, насколько та самая киберкультура в корпоративном управлении присутствует и влияет ли она, может ли она повлиять на финансовую устойчивость финансовой организации», — уточнил спикер.
Также Артем Сычев упомянул, что их нередко обвиняют в том, что они в нормативных документах довольно много внимания уделяем техническим вопросам. И с одной стороны, это действительно так, но с другой стороны — банки хотя, чтобы им дали больше свободы.
«Но в конечном итоге не технические детали, не какие-то средства безопасности являются для нас ключевой историей. Для нас ключевой историей является: сможет ли в случае кризисной ситуации финансовая организация обеспечить непрерывность своей деятельности и обеспечить возможность минимизации потерь», — сказал Артем Сычев.
А что с текущем уровнем безопасности банковских инфраструктур и клиентских счетов в России?
Отвечая на данный вопрос, Артем Сычев сослался на слова своих коллег из других финансовых отраслей других стран, отметив, что по их мнению, «банковская система Российской Федерации на голову выше с точки зрения информационной безопасности наших западных коллег».
«Причина в этом очень простая — мы находимся в некотором смысле на передовой. То есть то, что отрабатывают на нас, наши коллеги за пределами РФ про это либо не слышали, либо им только предстоит это пережить. И находясь в таком постоянном стрессе, естественно, опыт отражения атак, опыт детектирования атак, опыт устранения последствий у наших финансовых организаций гораздо больше», — пояснил спикер.
Также Артем Сычев рассказал о коллеге, отвечающем за кибербезопасность во Всемирном банке, которого пригласил в прошлом году на Уральский форум. После посещения мероприятия этот человек сказал, что когда он собирался на форум, то думал, что это региональное мероприятие, где нужно будет рассказывать, как же на самом деле строить безопасность.
Однако оказалось, что обсуждаемые вопросы, глубина их проработки, увлеченность и погруженность в тему специалистов показали, что это ему надо у нас учится и опыт РФ распространять для других юрисдикций.
«Я считаю, что такая оценка во многом действительно адекватна, потому что так есть на самом деле. Хотя я как представитель Центрального банка не обольщаюсь, и финансовым организациям есть над чем работать», — заключил Артем Сычев.
BIS Journal – медиапартнёр форума «Positive Hack Days 10: Начало».
