Когда употребляют словосочетание «отраслевая информационная безопасность», часто думают, что ИБ в разных отраслях – это совершенно разные сферы, регулируемые разными нормативно-правовыми актами, для этих сфер актуальны и характерны разные угрозы и атаки. До недавнего времени так и было.Однако в современном мире наблюдается тенденция к все большей цифровизации общества и, как следствие, понятие отраслевой безопасности начинает размываться. Покажем это на примере финансовой и телекоммуникационной сфер.
ОСОБЕННОСТИ ВОСПРИЯТИЯ ИБ В ТЕЛЕКОМЕ
Достаточно долгое время риски информационной безопасности в компаниях телеком-отрасли считались вторичными. Выполнялись только явно прописанные законодательством меры, например, по персональным данным. В тоже время считалось (и сейчас кое-где считается), что телеком выполняет роль некоего пересыльщика данных, предоставляя каналы связи, а уж задачи безопасности информации, передаваемой по этим каналам, лежат целиком на совести владельца информации.
Немалую роль играют также трудности донесения до бизнеса информации о ИБ-рисках и необходимости вкладываться в средства защиты. В настоящее время, благодаря тому что телеком стал предоставлять не только каналы связи, но и иные услуги, а также массовому распространению такого явления, как «интернет вещей», вероятность реализации рисков ИБ возросла, и бизнес начинает это учитывать.
…И КРЕДИТНО-ФИНАНСОВОЙ СФЕРЕ
В тоже время в кредитно-финансовой сфере изначально не было недооценки рисков ИБ, поскольку именно в этих организациях сосредоточен основной интерес для атакующих – деньги. Понимали это и издатели нормативно-правовых актов, что отразилось в большом количестве как законодательных инициатив, так и распоряжений регулятора (ЦБ РФ). В целом до недавнего времени кредитно-финансовые организации были достаточно обособлены и защищались «каждый сам за себя». Ситуация улучшилась с появлением ФинЦЕРТ, когда реализовался межбанковский обмен по технической составляющей атак.
С ТОЧКИ ЗРЕНИЯ «БУМАЖНОЙ БЕЗОПАСНОСТИ»
С регуляторной точки зрения возник парадокс: несмотря на кажущуюся жесткость регулирования телеком-отрасли (реестры Роскомнадзора, «пакет Яровой» и т.д.), возможностей для построения систем защиты информации тут больше, нежели в кредитно-финансовой сфере, где теоретически освещено достаточно много аспектов, связанных с защитой информации, но не поясняется, как построить систему защиты, удовлетворяющую регулятора (в данном случае – конкретных проверяющих, т.к. отсутствует методика проверки для них, что дает простор для толкования требований).
РАЗНЫЕ ОТРАСЛИ – ОДНО БУДУЩЕЕ
Но время не стоит на месте. Активно развивается финтех, используются «большие данные», ИИ, блокчейн, облачные технологии… Цифровизация банков приводит к отказу от офисов в пользу дистанционного обслуживания. Все большую ценность играет любая информация, начиная с данных о сотрудниках компаний и заканчивая персональными данными граждан. Понятие отраслевой безопасности стремительно расширяется, включая в себя и новые понятия, в том числе и «обеспечение информационной безопасности бизнес-процесса, затрагивающего несколько отраслей». В будущем число таких бизнес-процессов, объединяющих несколько отраслей, будет только расти.
В таком контексте телеком-компании трансформируются из «просто предоставляющих каналы связи» в полноценных участников процесса, обеспечивающих часть банковских функций, например, Единую биометрическую систему. Некоторые телеком-компании стали оказывать дополнительные услуги по обеспечению отдельных процессов кредитно-финансовых организаций. Внедряются новые стандарты телевещания (например, HBBTV – Hybrid Broadcast Broadband Television, предоставляющий телезрителям дополнительные интерактивные услуги), предполагающие взаимодействие с кредитно-финансовыми организациями при проведении платежей. Растет количество «умных устройств», которые также могут проводить платежи и, соответственно, хранят и используют платежную информацию. И т.д. и т.п. Все это в совокупности приводит к появлению новых возможных векторов атак на стыках границ ответственности двухотраслей.
В части случаев телеком-компании обеспечивают в той или иной степени аутсорс информационной безопасности для банков, например, через коммерциализацию своих SOC. Также и телеком пользуется услугами кредитно-финансовых организаций, предоставляя возможности оплаты своих услуг непосредственно через «личные кабинеты» и используя финансовые инструменты в своей работе (например, при расчетах с контрагентами).
Как следствие идет размывание четко очерченных границ ответственности между «банковскими безопасниками» и «телекомовскими безопасниками». Сотрудники компаний начинают искренне считать, что «это не их зона ответственности», а какие-либо договоренности, не говоря уж о совместно выстроенных процессах реагирования на инциденты ИБ, отсутствуют. Т.е. отсутствует как таковое осознание общности выполнения одной задачи – обеспечения безопасности конкретного бизнес-процесса, а не просто отраслевой безопасности.
А ЧТО ДЕЛАЮТ АТАКУЮЩИЕ?
Атакующим уже не обязательно «пробивать» хорошо защищенную кредитно-финансовую организацию или организацию телеком-отрасли. Чтобы попасть в сеть банка или телеком-организации им проще сосредоточиться на слабо защищенной цели, которую обе стороны «не считают своей».
Кроме того, не стоит забывать и о мотивации атакующих: при цифровизации общества возрастает роль доступности услуг, соответственно становятся выгодными утечки разных данных – ввиду возросших возможностей их монетизации.
Верхнеуровнево можно выделить следующие мотивации:
ПРОБЛЕМА ПРОТИВОДЕЙСТВИЯ АТАКАМ
Несмотря на понятные мотивы и средства достижения целей злоумышленников, эффективно им противодействовать не получается. Почему? Потому что, несмотря на взаимное проникновение экосистем, в большинстве случаев отсутствует какое-либо масштабное взаимодействие между представителями отраслей – как при обмене индикаторами компрометаций (индикаторами атак), так и обмене опытом в построении систем защиты. Что и дает возможность атакующим найти то самое «слабое звено».
Тут кроется корень проблемы, из-за которой могут возникнуть глобальные инциденты: одна сторона видит проблему другой, но не считает нужным или не имеет возможности сообщить об этом, что впоследствии приводит к ненужным рискам (как финансовым, так и репутационным) для обеих сторон. Причем, в случае осознания того, что существуют общие бизнес-процессы, безопасность которых должны обеспечивать обе стороны, данных рисков можно было бы избежать.
В текущих реалиях эта проблема уже осознается отдельными специалистами по ИБ или CISO организаций, которые в порядке личной инициативы предпринимают попытки по своевременному оповещению или межорганизационному реагированию. Но без фиксации такого опыта на официальном уровне дело с места не сдвинется. В случае ухода такого инициатора с работы канал оповещения и реагирования, который может спасти деньги и репутацию компании, элементарно перестаёт существовать. Более того, такие взаимоотношения никак не защищены юридически, поэтому инициаторы рискуют как «разборками» внутри организации с последующими «оргвыводами», так и несением административной/уголовной ответственности за нарушение текущего законодательства.
Установлению же официальных отношений (на уровне договоров между организациями различных отраслей) зачастую мешают соображения как политического характера, так и опасения за возможную утечку данных, составляющих коммерческую тайну.
Свою роль тут играет и отсутствие нормативной базы, учитывающей современные тенденции межотраслевых взаимодействий.
Выход видится только один: создание независимого межотраслевого центра компетенции и наделение его соответствующими полномочиями по разработке как нормативной базы, так и организации и проверке технических мер защиты информационной безопасности. Возможно, таким драйвером смогла бы стать Ассоциация «ФинТех».
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных