8 июля, 2010, BIS Journal №3(3)/2011

Не время «самоделкиных»


Осокин Максим

Эксперт (BIS Journal)

Для информационной защиты банки всё чаще предпочитают закупать профессиональные решения

Закупки банками специального оборудования и программного обеспечения для информационной защиты ? дело довольно новое. Хотя на рынке уже работают десятки поставщиков такого специализированного оборудования, некоторые банки ещё удовлетворяет работа по старинке. Но резонов экономить на информационной безопасности остаётся всё меньше. Довольствоваться придумками собственных «самоделкиных» на базе стандартного «железа» и софта можно лишь пока не грянет гром.

ВТОРЖЕНИЕ «СЕРЫХ ХАЛАТОВ»

Бережливость банкиров можно понять. Создание банками на стыке сфер ответственности служб безопасности и IT-подразделений  структур информационной безопасности, которые и выступают покупателями специализированных решений ? дело довольно новое. Повсеместной привычки к этому пока нет, что, в свою очередь, не может не тормозить развитие рынка предложений. Но отчаиваться не стоит, давайте вспомним недавнее прошлое и проанализируем тенденцию.

В начале 2000-х годов информационная защита банков находилась в зачаточном состоянии. Занимались этими вопросами, как правило, сотрудники IT-служб, и работали на базе стандартных персональных компьютеров и рабочих серверов, сетевого оборудования, на платформе операционной системы Windows-98. Испуг после аферы начала 1990-х с фальшивыми авизо, когда мошенники легко уводили на сторону миллиарды рублей, поулёгся. Применения при банковских расчётах элементарных технических средств криптографии на некоторое время казалось достаточным.

Немногие руководители банков прислушивались к прогнозам появления интернет-банкинга, других «нетрадиционных» способов расширения спектра услуг и клиентской базы. Также не все верили предупреждениям о возможных новых угрозах. Лишь самые дальновидные и осторожные внимали предостережениям экспертов о грядущем буме кибер-преступности, заблаговременно выстраивали контуры защиты. Еще кто-то предохранялся от злоупотреблений со стороны «людей в серых халатах» ? необоснованных вторжений недобросовестных работников правоохранительных органов.

Случаи инициатив по укреплению информационной защиты «снизу», со стороны персонала банков нередки. Энтузиастов на местах хватает, но доказывать руководству обоснованность дополнительных расходов им приходилось долго и с трудом, зачастую безуспешно. Редки удачные ситуации, когда ответственный за информационную безопасность не только проявлял неформальный интерес к новым решениям, но и занимал в банковской иерархии достаточно влиятельный пост, чтобы добиваться одобрения предлагаемых мер, зачастую недешевых.

ЧЁРНЫЙ НЕ ПО НАЗВАНИЮ

Безусловно, главным стимулирующим фактором наращивания банковских расходов на обеспечение информационной защиты являются официальные требования государственных регуляторов. Новые законы, стандарты, требования, нормативные акты, в рекомендательной или обязывающей, категоричной форме. В начале 2000-х годов государство от банков почти ничего такого относительно параметров информационной безопасности не требовало.

Один из моих собеседников смог припомнить переломный момент, когда в его банке решились на первую закупку специализированного решения. Это был, конечно, примитив, зато очень функциональный, и, главное, начало было положено. Банк приобрёл устройство для быстрого уничтожения информации на кассетах магнитных лент стримеров.

Задача была актуальной: в те времена ещё не было широкополосных сетей, сети каждого из офисов банка работали автономно, резервные копии рабочей информации серверов сохранялись на таких кассетах. Чтобы обезопасить эту информацию от несанкционированного доступа, по окончании рабочего дня курьеры по определённой схеме объезжали все офисы, забирали все кассеты и привозили в архив.

Представляете, сколько времени нужно было стирать информацию традиционными способами, и какова надёжность операции? Тут-то и возникла идея приобрести отечественную разработку, которую отыскали через интернет. Металлический чёрный ящик ценой в несколько сотен «зеленых», чёрный в буквальном смысле, с острыми гранями, почти мгновенно начисто уничтожал информацию с десятка кассет.

Поле работ по информационной защите и потребности в новых решениях расширяются по мере роста высокотехнологичного сектора банковской деятельности. Существенным сдвигам способствуют официальные разрешения удобных и эффективных новшеств. Особенно когда высокотехнологичные нововведения существенно облегчают, ускоряют и удешевляют делопроизводство.

РАСХОД КАРМАН НЕ ТЯНЕТ

Приведу пример: когда в обязательном порядке требовалось хранить бумажные копии бухгалтерских документов, среднестатистическому банку на эти нужды требовались ежедневно несколько пачек бумаги формата А4. Прибавьте сюда расходы на тонер, печати, чернила и амортизацию принтеров, а также непосредственные трудозатраты сотрудников.

Разрешение Центробанка РФ в начале 2000-х хранить электронные копии документов, казалось бы, упростило и удешевило для банков хранение бухгалтерских документов. Но и тут не было все так гладко. Дело в том, что документы Центробанка РФ, и тот документ – не исключение, зачастую сформулированы таким образом: как бы тот или иной банк не пытался соответствовать требованиям регулятора, всегда найдется «крючок», за который могут зацепиться проверяющие.

Поэтому далеко не все банки решились перейти на новые технологии, справедливо полагая, что «шутки» с государственным регулятором могут «выйти боком». И только после того, как в конце 2009 года ЦБ наконец-то издал документ, в котором были четко прописаны организационные и технические требования по осуществлению хранения документов в электронном виде, многие банки незамедлительно приступили к реализации этой идеи. Теперь материальные затраты на архив документов одного банковского дня сводятся к цене двух (с учетом резервного дубля) болванок оптических дисков.

Взаимодействие с Центральным каталогом кредитных историй – ЦККИ и ещё пятью крупнейшими частными бюро кредитных историй ставит перед банками задачу защиты персональных данных от несанкционированного использования. В ходе повседневной работы банков с этими организациями встают вопросы защиты информации, передаваемой по общедоступным каналам связи. Здесь же требуется решение задачи по установлению подлинности документов и ряд других, решаемых с использованием современных сертифицированных, в полном соответствии с законом, криптографических средств.

ЭКОНОМИЯ НЕБЕЗОПАСНА

Все вышесказанное, разумеется, относится и к повсеместно используемой услуге «клиент-банк». Услуги банков по предоставлению гарантий исполнения обязательств импортера в адрес таможенных органов также предполагают информационную защиту документооборота. Как мы видим, подразделениям информационной защиты работы, конечно, каждый раз прибавляется, но тем убедительнее становится необходимость их существования и выделения средств на их оснащение.

Расходы на информационную безопасность «среднего банка» оценить довольно сложно, т.к. все «средние банки» разные, да и единой методики подсчета затрат не выработано, тем не менее, опрошенные специалисты склоняются к тому, что эти затраты неуклонно растут. Сюда необходимо включать расходы на зарплату специалистам, а также на оборудование и программные продукты. В какой-то степени сюда можно приплюсовать часть ежегодных затрат на аудиторские услуги.

Оценка надёжности информационной защиты банка, произведенная аудиторами из компании «большой четверки», влетает в «копеечку», вполне сравнимую по величине со всеми остальными расходами банка на информационную безопасность. Сегодня, в начале 2010-х, общие расходы на информационную безопасность «среднего банка» оцениваются в 2,5 – 3,5 млн. рублей в год. В том числе 1,5 – 2 млн. рублей на зарплату специалистам и 1 – 1,5 млн. рублей на оборудование и программные продукты.

 ДЕСЯТЬ ЛЕТ СПУСТЯ

Сегодня, 10 лет спустя, нормальный среднестатистический банк не может не обойтись без некоего минимума решений в сфере информационной защиты. Обязательно закупается такое специализированное оборудование с криптозащитой как маршрутизаторы и коммутаторы. Чаще всего предпочитают продукцию «законодателя мод», фирмы Cisco Systems. Пусть дорого, зато надёжно. Есть и прочие вендоры, более приемлемые по цене, но менее надёжные при переходе к решению не вполне стандартных задач. В любом случае не мешает поинтересоваться, есть ли у продавцов лицензии ФСБ на поставки такого оборудования.

Что касается программных инструментов, то в настоящее время на рынке представлено достаточно много вполне функциональных и при этом недорогих решений российских разработчиков, например, продукты компании «Крипто-ПРО», позволяющих обеспечить наиболее типичные потребности банков в области защиты информации.

Тем не менее, для бедных и жадных банкиров пока ещё остаётся простор пробовать своих сотрудников в качестве «самоделкиных». Пусть ухищряются защищать каналы связи на базе платформы Linux, генерируют собственные микрокоды, перепрошивают обычные Wi-Fi-маршрутизаторы. Однако таких возможностей остаётся всё меньше, информационная защита банков всё больше выстраивается в самостоятельную отрасль и специализируется.

Ширится перечень и объём банковских услуг, потенциально уязвимых для информационных атак. Растёт перечень и уровень соответствующих угроз. Государственные регуляторы формулируют стандарты и прочие требования к информационной защите банков. Вендорами создаются новые технические решения, на рынке складывается круг их поставщиков. Контур замыкается: формируется полноценный закупщик ? специализированные подразделения информационной защиты банков, обеспеченные бюджетами. Время «самоделкиных» близится к концу.

Представленные наблюдения не претендуют на всесторонний анализ состояния и динамики рынка решений по информационной защите банков. За этим нужно обращаться к профессиональным маркетологам, которые и методику разработают, и исследование проведут, результаты проанализируют и сделают выводы. Разумеется, оценив услуги пропорционально трудозатратам, плюс некая норма прибыли… Здесь же аккумулирован практический опыт работы подразделений информационной защиты «средних банков», обсуждаемый в ходе постоянного общения с достаточно квалифицированными коллегами.

 

Подпишись на новости!
Подписаться