BIS Journal №1(36)/2020

12 февраля, 2020

Векторы развития

На начало 2020 года уровень обеспечения информационной безопасности финансовых организаций отвечает имеющимся рискам. Разумеется, не всё идеально, но в целом, ситуация в этой сфере на финансовом рынке находится под контролем. Благодаря совместной работе Банка России, самих поднадзорных и других организаций, в том числе международных. Цели дальнейшей работы определены по нескольким основным направлениям.

 

КЛЮЧЕВЫЕ НАПРАВЛЕНИЯ

Есть два ключевых направления обеспечения информационной безопасности и киберустойчивости в отрасли, на которых концентрируются усилия:

  • обеспечение информационной безопасности инновационных финансовых технологий
  • борьба с социальной инженерией.

Что касается первого направления, то Банк России прекрасно понимает: за ними будущее, а в некоторой степени уже и настоящее. Их внедрение способствует развитию конкуренции, а значит и повышению качества предоставляемых услуг и сервисов. Аспекты безопасности инновационных финансовых технологий прорабатываются глубоко и всесторонне, чтобы клиент был надёжно защищён и чувствовал это, поэтому специалисты Департамента по информационной безопасности участвуют в этой работе начиная с самых ранних стадий создания той или иной технологии.

Эта многоплановая работа включает в себя развитие нормативного регулирования, изучение и внедрение лучшего международного опыта, а также межведомственное взаимодействие. В ходе этой работы важно соблюсти баланс: с одной стороны оперативно обеспечить максимальный уровень информационной безопасности новых технологий, с другой – не закопать себя и поднадзорных в бюрократической рутине, избежать формализма.

Свежий пример положительного результата  – ввод Банком России в эксплуатацию Системы быстрых платежей (СБП). На данный момент уровень информбезопасности этого сервиса весьма высок.

По второму направлению, социальной инженерии, важной мерой противодействия злоумышленникам является информирование граждан о существующих угрозах и методах противодействия На данный момент основной целью для злоумышленников стали клиенты банков – главным образом физические лица. Мы уделяем много внимания их защите, например, обязали банки отслеживать несанкционированные операции, сформировали их признаки Более того, мы доносим до граждан актуальную информацию о том, какие именно приёмы злоумышленников на данный момент актуальны, и что нужно делать, чтобы не стать их жертвой, не остаться без денег. Я считаю, что банки должны активнее вести работу по информированию своих клиентов о рисках мошенничества – это вопрос не только сохранности денег, но и репутации кредитных организаций.

 

РАЗВИТИЕ НОРМАТИВНОГО РЕГУЛИРОВАНИЯ

Банк России внимательно изучает и использует опыт международных организаций – разработчиков нормативной базы информационной безопасности финансовой сферы. В первую очередь – Комитета по платёжным и рыночным инфраструктурам Банка международных расчетов. Лучшие наработки и рекомендации мы имплементируем в нашу нормативную базу, с учётом специфики российского финансового рынка.

В частности, речь идет о двух основополагающих документах – «Руководстве по киберустойчивости для финансовых рыночных инфраструктур» и «Стратегии безопасности крупностоимостных платежных систем». Ряд их положений мы интегрировали в нормативы для системы управления рисками и обеспечения операционной надежности в финансовых организациях.

Отдельные моменты будут реализованы в новой редакции Положения Банка России от 9 июня 2012 года №382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Кроме того, мы достаточно внимательно следим за работой Международной организации стандартизации – ISO и Международного союза электросвязи – ITU в отношении технологий обеспечения информационной безопасности и киберустойчивости. Лучшие их наработки используются в нашей деятельности.

Важным направлением, которое прорабатывает Банк международных расчетов, – это киберучения. Мы считаем этот механизм оценки уровня защищённости достаточно эффективным, и будем его развивать на основе имеющихся и прогнозных данных о сценариях атак. Проведение киберучений мы заложили в стандарт по управлению рисками информационной безопасности и по их итогам будем в дальнейшем оценивать качество управления рисками.

Разумеется, сценарии киберучений будут доработаны применительно к учету особенностей уровню и масштабу деятельности разных организаций. Наша цель – оценить эффективность реализуемых финансовыми организациями мер по противодействию компьютерным атакам, потенциальные потери. И на этой основе оценивать финансовую устойчивость как отдельных организаций, так и финансовых экосистем.

 

ВЗАИМОДЕЙСТВИЕ ВЕДОМСТВ

Для повышения эффективности противодействия киберпреступности в финансовой сфере будет продолжаться развитие межведомственного взаимодействия. В федеральной программе «Цифровая экономика Российской Федерации» эта тематика для органов государственной исполнительной власти проработана достаточно хорошо и глубоко.

Одним из позитивных примеров является эффективное сотрудничество Банка России и ФСБ России в разработке функциональных технических требований к HSM-оборудованию,  направленное на выполнение задачи импортозамещения СКЗИ.

Другой пример – работа над решением проблемы преступлений с помощью мобильной связи. Чтобы лишить злоумышленников существующих возможностей, есть организационно-технические решения. Во-первых, создание единой информационной системы, которая открывает банкам доступ к информации о принадлежности сим-карт. Во-вторых – блокировка возможности «подмены» телефонных номеров.

Однако необходимо внесение изменений в федеральное законодательство, чтобы создать правовые основы для внедрения этого решения, а также привлечь к этой работе операторов мобильной связи. Такие варианты в настоящее время Банк России прорабатывает совместно с Минкомсвязи РФ и Государственной Думой РФ.

Кроме  того, в отрасли существует кадровая проблема: часто ощущается дефицит квалифицированных специалистов по информационной безопасности. Эта проблема вполне закономерна: наша отрасль молодая и быстрорастущая. Но, как известно, спрос рождает предложение, и Банк России старается содействовать скорейшему преодолению кадрового дефицита.

В федеральной программе «Цифровая экономика Российской Федерации» есть блок, посвящённый подготовке персонала. В него входят разработка профессионального и образовательного стандартов, программ профессиональной переподготовки и работа с вузами. Чтобы помочь удовлетворить кадровый голод, Банк России участвует в разработке, проходящего согласование в Министерстве труда и социальной защиты РФ.

 

«ВСЕОБУЧ» КИБЕРБЕЗОПАСНОСТИ

Позиция Банка России однозначна: информированность и культуру граждан в сфере информационной безопасности повышать необходимо. Цели –предупреждать людей об актуальных угрозах («телефонного мошенничества» и других), давать рекомендации по противодействию.

Такая работа уже ведётся Банком России во всех регионах страны, и в 2020 году будет продолжаться. В рамках выполнения ряда программ, начиная с федеральной программы «Цифровая экономика Российской Федерации», утвержденной Правительством России 28 июля 2017 года, и Национального проекта «Цифровая экономика Российской Федерации» на 2019 – 2024 годы.

Киберграмотность является одним из блоков, входящих в масштабный федеральный проект по повышению общей финансовой грамотности граждан.  К этому проекты подключены многие государственные и частные структуры. Они должны участвовать в этом проекте в рамках своих полномочий и компетенций. Например, в конце прошлого года Банк России и МВД договорились объединить усилия по информированию граждан об опасностях социальной инженерии, так как борьба с противозаконной деятельностью является компетенцией МВД, а забота о стабильности финансовой системы и сохранении доверия к ней со стороны граждан – это зона ответственности Банка России.

Для этой работы мы привлекаем федеральные и региональные СМИ, социальные сети, публичные площадки – школы, библиотеки и другие.

 

АДРЕСНОЕ ИНФОРМИРОВАНИЕ

Чтобы эта работа была максимально эффективной, информирование граждан должно быть адресным. Адресность достигается максимально точным описанием психологического портрета и ключевых точек уязвимости жертв. Совместно с представителями служб информационной безопасности банков, психологами и представителями структурных подразделений Банка России были проанализированы предоставленные кредитными организациями данные клиентов.

В результате выделили пять основных типов: домохозяйки, главы семей с высокой финансовой нагрузкой, пенсионеры, подростки и индивидуалисты-«миллениалы». На основе этих и других данных для каждой выявленной аудитории были сформулированы модели угроз, алгоритмы противодействия и обучающие материалы. Сотрудники ФинЦЕРТ используют разные форматы обучения этих сильно различающихся целевых аудиторий.

Среди примеров работы со старшим возрастом – лекции по финансовой безопасности и противодействию кибермошенничеству на площадке Центральной библиотеки им. Н.А. Некрасова в рамках столичной программы «Московское долголетие».

Для молодёжи – это открытые уроки по кибергигиене и лекции по киберграмотности для школьников, мероприятия по профориентации. Удаётся параллельно решать и смежные задачи профориентации, например, на базе образовательного фонда «Талант и успех». Недавно его участники разработали утилиту, позволяющую проводить экспресс-диагностику информационных систем банка на предмет вмешательства вредоносных программ. Подобного рода проекты мы будет развивать и далее для привлечения молодежи к работе в организациях кредитно-финансового сектора, включая Банк России.

Должное внимание уделяется смежному вопросу – профессиональному обучению, подготовке для финансовой сферы специалистов по информационной безопасности и повышению их квалификации. Банк России заключил договоры с крупнейшими вузами о совместном повышении качества преподавания профильных дисциплин. Лучшие студенты проходят учебно-производственную практику в ФинЦЕРТ, и самые лучшие остаются здесь работать.

Нормативные документы Банка России, касающиеся информационной безопасности, регулируют не технические аспекты установки и настроек средств защиты, а обеспечение  сбалансированного уровня рисков. Уровень информационных рисков должен соответствовать возможностям конкретной организации, соотношению её капитала с потенциальным ущербом в случае реализации киберугроз.

Обеспечение информационной безопасности и киберустойчивости относятся к управлению операционными рисками, находящемуся в компетенции топ-менеджмента, иногда даже Советов директоров финансовых организаций. Поэтому руководство финансовых организаций как правило проявляет должное внимание к решению этих вопросов.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

02.12.2022
«Банк России выступает за запрет допуска криптовалют в регулируемую финансовую систему»
02.12.2022
В реестре российского ПО зарегистрирован новый программный продукт DosGate, защищающий ИТ-инфраструктуру компаний от DDoS-атак
02.12.2022
Корпоративные данные «Билайн» оказались в открытом доступе
02.12.2022
«… более устойчива и не подвержена внешним конъюнктурам с точки зрения обслуживания»
02.12.2022
«Из-за опасения попасть под санкции». Киргизия продолжает отказываться от «Мира»
01.12.2022
ЕЦБ: Биткоин нужно воспринимать как ничто
01.12.2022
Шифровальщик CryWiper атаковал системы российских госорганов
01.12.2022
Сервис LastPass снова попал под хак-атаку. Пароли клиентов целы
01.12.2022
«Это наиболее чувствительные данные для человека»
01.12.2022
Скамеры стали чаще звонить россиянам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных