Стратегические приоритеты. Об изменениях в «Основных направлениях развития информационной безопасности финансовой сферы на 2019–2021 гг.»

Стратегические приоритеты. Об изменениях в «Основных направлениях развития информационной безопасности финансовой сферы на 2019–2021 гг.»

Вопросы информационной безопасности и операционной надежности для Банка России является одним из стратегических приоритетов. Наши задачи в этом направлении детализированы в одобренных Советом Директоров Банка России «Основных направлениях развития информационной безопасности финансовой сферы на 2019–2021 гг.».

РИСКИ ЦИФРОВОЙ ТРАНСФОРМАЦИИ

При подготовке этого документа мы исходили из очевидной необходимости минимизировать те риски, которые наряду с многочисленными преимуществами создает цифровая трансформация.

В кредитно-финансовой сфере к ним относятся:

• финансовые потери клиентов и финансовых организаций;
• нарушение операционной надежности и непрерывности работы финансовых организаций, и как следствие — ​репутационный ущерб и социальная напряженность;
• развитие системного кризиса вследствие кибератак в значимых для рынка организациях.

В этой связи стоит сказать о том, что повышает значимость информационной безопасности финансового рынка Российской Федерации.

Во-первых, это скорость развития новых финансовых технологий, в том числе, обусловленная активной поддержкой создания цифровой экосистемы руководством страны.

Во-вторых, необходимость защиты потребителей финансовых услуг от потерь и, как следствие, поддержания доверия к финансовой системе России.

В-третьих — ​задача по интеграции показателей киберрисков в состав основных рисков финансовых организаций.

С УЧЕТОМ ТРЕНДОВ

Развитие цифровой среды — ​это непрерывное появление и внедрение новых цифровых технологий. Это как многочисленные прорывные разработки финтех-стартапов, так и крупные инфраструктурные цифровые проекты. В отношении некоторых из них Банк России уже устанавливает требования по информационной безопасности. Это единая биометрическая система, система быстрых платежей и платформа Маркетплейс.

В будущем требования к киберустойчивости финансовой экосистемы мы будем формулировать с учетом глобальных трендов развития финтеха. В первую очередь, таких как использование технологий распределенного реестра, развитие удаленного доступа, BigData, искусственного интеллекта и «Интернета вещей» как элемента платежного пространства.

ЗАДАЧИ СЕГОДНЯ

Однако это нам пока только предстоит. Вернемся в сегодняшний день, когда нашей приоритетной задачей является реализация информационной безопасности финансовых организаций на следующих уровнях:

• безопасность инфраструктуры, или инфраструктурный уровень;
• безопасность прикладного программного обеспечения, или уровень приложений;
• безопасность технологий обработки данных, или уровень технологий обработки данных;
• а также протоколирование действий и операций (транзакций).

НОРМАТИВНАЯ БАЗА

Практическую реализацию стратегии мы начали в прошлом году с разработки необходимой нормативной базы.

Мы исходили из того, что правовой механизм обеспечения информационной безопасности на финансовом рынке должен гарантировать предсказуемость реализации Банком России своих полномочий, предсказуемость надзора за исполнением требований участниками финансового рынка и в конечном итоге обеспечивать выполнение ключевого показателя эффективности обеспечения информационной безопасности в финансовой сфере. Напомню, им является доля объема операций без согласия клиентов в общем объеме операций, совершенных с использованием платежных карт, не превышающая 0,005 %

Могу сказать, что Банк России провел беспрецедентную по своему масштабу работу по нормативному закреплению полномочий и механизмов противодействия информационным угрозам в кредитно-финансовой сфере.

Начиная с 2016 года сотрудники Банка России участвовали в разработке принятого в 2018 году Федерального закона от 27.06.2018 № 167-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств» (далее — ​Федеральный закон № 167-ФЗ). В дальнейшем в дополнение к нему был издан ряд конкретизирующих и уточняющих нормативных актов. Указанные документы позволили:

• создать механизм противодействия переводам денежных средств без согласия клиента, предусматривающий как обязательные требования к защите информации, формируемой кредитными организациями, так и процедуры управления рисками, разрабатываемые кредитными организациями на основе анализа характера, параметров и объема совершаемых их клиентами операций (осуществляемой клиентами деятельности);
• организовать информационное взаимодействие кредитных организаций с Банком России по обмену информацией об инцидентах защиты информации, о случаях и попытках осуществления переводов денежных средств без согласия клиента, включая формирование и ведение Банком России базы данных о случаях и попытках осуществления переводов денежных средств без согласия клиента;
• обеспечить реализацию кредитными организациями в целях противодействия осуществлению переводов денежных средств без согласия клиента в рамках осуществляемой ими банковской деятельности, некредитными финансовыми организациями в целях противодействия незаконным финансовым операциям в рамках осуществляемой ими деятельности в сфере финансовых рынков уровня защиты информации, соответствующего потенциальным угрозам безопасности с учетом пропорционального метода регулирования.

Помимо этого, Банком России в течении 2016–2018 гг. были изданы следующие нормативные акты:

Указание № 4793-У [1], устанавливающее требования к прикладному программному обеспечению (в части сертификации, анализа уязвимостей, ежегодного тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры, применения раздельных технологий), к обеспечению защиты информации с помощью средств криптографической защиты информации, к порядку информирования Банка России об инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств;

Указание № 4753-У [2], которое устанавливает обязанность операторов по переводу денежных средств и операторов услуг платежной инфраструктуры по предоставлению в Банк России отчетности по форме 0403203 «Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств» (далее — ​отчетность по форме 0403203) на ежеквартальной и полугодовой [3] основе.

АСОИ

В целях противодействия осуществлению денежных переводов без согласия клиентов кредитных организаций, противодействия осуществлению незаконных финансовых операций Банк России ведет сбор и обработку поступающей от кредитных и некредитных финансовых организаций информации о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов, а также о планируемых мероприятиях в отношении инцидентов защиты информации.

Информацию об угрозах информационной безопасности Банк России получает как от поднадзорных финансовых организаций, так и от компаний-интеграторов, разработчиков антивирусного программного обеспечения, иностранных финансовых организаций и регуляторов, групп реагирования на инциденты (в том числе иностранных), провайдеров и операторов связи, а также правоохранительных, иных государственных органов, наделенных полномочиями в области информационной безопасности.

Для упрощения процесса информационного обмена, а также повышения оперативности и уровня его защищенности используется автоматизированная система обработки инцидентов (далее — ​АСОИ), к которой в настоящий момент подключены все кредитные организации Российской Федерации. Также осуществляется подключение страховых организаций и иных участников информационного обмена. Всего к АСОИ подключено 826 организаций. Число участников информационного обмена из категории «некредитные финансовые организации» (НФО) по сравнению с периодом 2017–2018 гг. увеличилось более чем на 100 организаций. Также участниками информационного обмена стали более 20 вендоров защитных решений, разработчиков банковского программного обеспечения, операторов связи, провайдеров хостинга и иных заинтересованных организаций.

Взаимодействие с вышеуказанными организациями осуществляется на безвозмездной основе в соответствии с соглашениями о взаимодействии по вопросу предупреждения и противодействия компьютерным атакам (в 2018 г. заключено 21 такое соглашение). За период с сентября 2018 года по настоящее время количество активных участников информационного обмена, регулярно передающих информацию о выявленных угрозах и уязвимостях, увеличилось на 48 % (с 315 до 465). Данное обстоятельство связано в том числе с активной реализацией участниками информационного обмена стандарта Банка России СТО БР БФБО‑1.5–2018.

Функционал АСОИ позволяет автоматизировать следующие процессы между участниками информационного обмена и Банком России:

• получение данных от участника (информация об инцидентах в организации, выявленных уязвимостях, угрозах, данных о раскрытии информации, запросах);
• передача участнику данных об актуальных угрозах информационной безопасности в кредитно-финансовой сфере (в том числе из 589 выпущенных Банком России бюллетеней);
• оперативное взаимодействие между участником и Банком России по инцидентам и запросам;
• мониторинг информационных атак на организации кредитно-финансовой сферы и поддержка взаимодействия Банка России с регистраторами и хостерами по инициации разделегирования/блокировки мошеннических и вредоносных ресурсов.

КПЭ

Доля объема операций без согласия клиентов в общем объеме операций, совершенных с использованием платежных карт, в 2019 г. составила 0,0023 % (в 2018 г. — 0,0018 %). Указанные значения не превышают установленный Банком России целевой показатель доли таких операций в общем объеме операций, совершенных с использованием платежных карт. Повторюсь, этот показатель установлен на уровне 0,005 %.

Наблюдаемое в отчетном периоде изменение нисходящей динамики 2015–2017 гг., а также качественно более высокие показатели операционной отчетности указывают на имевшую место реальную необходимость повышения прозрачности предоставляемых банками данных и подтверждают правильность разработки и внедрения мер по минимизации риска осуществления операций без согласия клиентов, принимаемых участниками рынка и Банком России, а также необходимость их дальнейшего развития.

ПРОВЕРКИ

Мы считаем, что основой эффективной деятельности в сфере обеспечения информационной безопасности является применение подхода, основанного на оценке кибер-риска, или, другими словами, риск-ориентированный подход. Банк России планируют сформировать профиль риска, а также определять операционную надежность и киберустойчивость каждой поднадзорной организации на основе данных, которые мы получаем в ходе анализа поступаемой отчётности, сообщений участников информационного обмена об инцидентах, а также проверок соблюдения требований по информационной безопасности. В 2019 году мы провели порядка 170 таких проверок как в кредитных организациях, так и в некредитных финансовых организациях.

КИБЕРУЧЕНИЯ

По направлению киберучений осуществляются следующие мероприятия:

1. Формирование риск-ориентированного задания на киберучения на основе:

• информации об инцидентах, характерных для вида деятельности;
• информации об инцидентах, характерных для технологических участков;
• информации о проведенных ранее проверках/киберучениях в поднадзорной организации;
• информации об актуальных атаках.

2. Проведение киберучений на площадке поднадзорной организации:

• анализ инфраструктуры, актуализация CPE;
• определение актуальных слабостей (CWE);
• определение актуальных атак (CAPEC);
• определение актуальных инцидентов;
• определение максимально возможных финансовых потерь.

3. Подготовка отчетного документа по результатам киберучений:

• корректировка показателя оценки соответствия;
• определение и применение мер воздействия[4];
• направление в профильные департаменты информации для учета показателей информационной безопасности при применении мер воздействия.

Организацией и проведением киберучений в рамках надзорных мероприятий занимается Департамент информационной безопасности Банка России.

УПРАВЛЕНИЕ КИБЕРРИСКАМИ

В рамках управления киберрисками задачами каждой финансовой организации в первую очередь будут являться:

• обеспечение соответствия фактических потерь в результате инцидентов защиты информации допустимым потерям;
• формирование финансового резерва на покрытие потенциальных финансовых потерь либо страхования такого риска;
• своевременное восстановление непрерывности технологических и бизнес-процессов;
• и в целом защита интересов клиентов и соблюдение требований законодательства Российской Федерации в области защиты информации.

СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ

Анализ, проведенный Банком России, показывает, что в 2019 году значительная часть хищений со счетов физических и юридических лиц была совершена с использованием приемов социальной инженерии, введением в заблуждение путем обмана или злоупотребления доверием. Мы можем сколь угодно устранять пробелы в периметрах защиты кредитных организаций, но до тех пор, пока люди сами будут сообщать мошеннику свои кодовые слова, иные платежные данные, хищения будут продолжаться.

Единственным способом борьбы с социальной инженерией мы считаем информационные кампании при содействии федеральных и региональных СМИ, а также социальных медиа. Главное — ​предупредить наших граждан о схемах обмена, телефонном мошенничестве, а также дать рекомендации по противодействию им.

Сегодня все территориальные подразделения Банка России проводят публичные мероприятия по безопасности, по безопасному использованию платежных инструментов и банковских услуг для разных целевых аудиторий.

Кроме работы по киберграмотности Банк России видит необходимость и в законодательных изменениях. В настоящее время в Государственной думе готовятся ко второму чтению два на наш взгляд важнейших законопроекта, которые существенно усложнят жизнь злоумышленникам. Первый — ​это законопроект о блокировке в интернете фишинговых ресурсов и ресурсов, распространяющих вредоносное программного обеспечение. Конечно, это не панацея от всех бед, но это не даст возможность злоумышленникам заманивать в свои сети простых граждан.

Второй — ​это закон об информационном обмене банков с операторами связи. Такой информационный обмен не даст развиваться такому способу мошенничества, как замена без ведома самого пользователя телефонного номера его сим-карты. Мы понимаем, что постепенно номер телефона пользователя финансовых услуг становится его полноценным идентификатором, особенно часто используемым в динамично развивающемся финтех-направлении. Поэтому важно обеспечить превентивную защиту, а не ждать, когда проблема будет нарастать и только потом на нее реагировать.

Мы уверены, что оба законопроекта будут скоро приняты.

УТЕЧКА ДАННЫХ

Отдельно хотел бы остановиться на проблеме утечки данных. Всем понятны громкие сообщения в прессе о продаже и утечке баз данных, содержащих персональные данные граждан. К сожалению, такие утечки случались и из финансовых организаций. Безусловно, без реакции такое оставить нельзя. Обязанность любой финансовой организации — ​защищать свои активы, а самым главным активом являются данные ее клиентов. Поэтому Банк России в ходе своей инспекционной деятельности будет обращать самое серьезное внимание на вопросы контроля информационных потоков в финансовых организациях, обеспечение безопасности данных.

Но только надзорными методами проблему решить невозможно. Мы полагаем, что создать условия для упорядоченного доступа к персональным данным, которые содержатся в различных информационных системах, можно совместными усилиями Банка России, Минкомсвязи, Роскомнадзора. Необходимо упростить работу правоохранительным органам по противодействию тем субъектам, которые незаконно получают, продают и используют персональные данные. Соответствующие инициативы мы сейчас готовим и в ближайшее время направим в адрес наших коллег в Минсвязи и в Роскомнадзор.

Я думаю, назрел уже вопрос изменения законодательства, которое регулирует вопросы сохранности и использования персональных данных, и на сегодняшний день это, наверное, уже третье глобальное законодательное направление, с которым мы работаем.

МЕЖДУНАРОДНОЕ ВЗАИМОДЕЙСТВИЕ

Глобальные угрозы в сфере кибербезопасности носят трансграничный характер. Меняются устоявшиеся бизнес-модели, появляются новые вызовы для международных экономических отношений. Все это требует от государств совместных усилий. Мы считаем, что основными задачами здесь являются:

• обмен информацией о киберугрозах;
• содействие внедрению единых стандартизированных подходов в области обеспечения кибербезопасности;
• обмен опытом по регулированию и внедрению финансовых технологий.

В этой связи Банк России и впредь будет углублять, и расширять международное взаимодействие. Уже традиционными стали встречи на полях Уральского форума представителей пяти национальных банков государств-членов евразийского экономического союза. Сформирована рабочая группа по вопросам обеспечения информационной безопасности финансового рынка. Ее цель — ​создание единого киберпространства и доверенной среды в рамках ЕАЭС.

В этом году нашими гостями стали также представители Туркменистана и Узбекистана, с которыми мы обсуждаем возможность сотрудничества. Потенциальными партнерами для нас являются страны БРИКС. Мы рады встречам с представителями финансовых регуляторов Индии и Бразилии, а также коллегами из Японии, Индонезии, Вьетнама.

КАДРЫ

Информационная безопасность — ​это та сфера, где успеха можно достичь только совместными усилиями регулятора, экспертного сообщества и, безусловно, участников рынка. Одним из важнейших направлений в нашей общей работе является подготовка кадров. Здесь Банк России видит свою роль в качестве связующего звена между высшими учебными заведениями и организациями кредитно-финансовой сферы. Наша задача — ​создать условия для подготовки специалистов в области информационной безопасности, которые действительно нужны рынку.

[1] Указание Банка России от 07.05.2018 № 4793-У «О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

[2 ]Указание Банка России от 30.03.2018 № 4753-У «О внесении изменений в Указание Банка России от 9 июня 2012 года № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств».

[3] Для операторов по переводу денежных средств (операторов по переводу электронных денежных средств), являющихся небанковскими кредитными организациями, имеющих право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций, у которых средний за полгода объем обязательств перед клиентами по переводу денежных средств без открытия банковских счетов в течение месяца не превышает 2 млрд рублей.

[4] В случае отрицательных результатов проверки