Предложения банковского сообщества по импортозамещению в КИИ
Первый заместитель директора департамента информационной безопасности Банка России Артем Сычев недавно высказал предложения ЦБ о том, на что стоит обратить внимание, чтобы скорректировать нормативные документы по импортозамещению в КИИ. Но не обошли стороной и предложения банковского сообщества.
Так, председатель совета директоров Qiwi Банка Мария Шевченко отметила, что в Ассоциации банков России это обсуждается давно и что вопрос обеспечения технологического суверенитета страны очень важен.
«И мы относимся к этому очень ответственно — у нас нет задачи вильнуть от этого, наоборот, мы пытаемся найти какой-то вариант, как это сделать, но эффективным образом. Потому что вся эта проблематика носит многоаспектный характер», — сказала она во время своего выступления круглом столе «О законодательных мерах обеспечения информационной безопасности в экономической сфере при использовании программного обеспечения и оборудования на объектах критической информационной инфраструктуры», организованном организованном комитетом Госдумы по финансовому рынку.
Обсуждение носило вполне конкретный характер с конкретными предложениями, поэтому среди предложений банковского сообщества можно выделить следующие:
Банк России — отраслевой регулятор
Одним из первых предложений Марии Шевченко было — установить профильным регулятором за перевод финансовой системы на российские аналоги Банк России, так как именно у него есть вся необходимая для этого экспертиза. Кроме того именно под главенством ЦБ необходимо синхронизировать все требования, которые есть сейчас с точки зрения обеспечения безопасности.
Это предложение поддержал и вице-президент, руководитель департамента информационной безопасности Тинькофф банк Дмитрий Гадарь, отметив, что именно «Центральный банк агрегирует информацию о инцидентах в сфере безопасности и о тех рисках, которые присуще финансовой отрасли».
«Я поддержу, что должен быть регулятором Центральный банк, который понимает устройство финансовой сферы и какие угрозы и риски присущи и как эти угрозы меняются именно для специфической финансовой сферы», — пояснил он.
Возможность использования собственного ПО
По словам Марии Шевченко, многие финансовые организации разрабатывают собственное ПО, которое не может быть в итоге внесено в реестр отечественного софта, так как существуют определенные требования для внесения. И хотя самописное ПО полностью соответствует требованиям разработки российскими разработчиками, однако оно не распространяется массово.
«Поэтому предлагается смягчить требования по включению собственного ПО, разработанного либо банком, либо аффилированным лицом к этому банку, и это позволит часть проблем, безусловно, снять», — предложила она.
Дифференциация как по самим кредитным организациям, так и внутри их самих
Еще одним моментом, важным для обсуждения, Мария Шевченко назвала необходимость дифференциации как самих банков, так и структур внутри каждого банка, чтобы определить не только последовательность импортозамещения, но и его масштабы.
«Необходим подход к дифференциации самих банков, потому что есть большие, системно значимые банки, есть ломбарды или маленькие микрофинансовые организации, к которым тоже есть требования по информационной безопасности, но просто они не так масштабны для страны. Поэтому, в первую очередь, нужно смотреть на эти большие объекты, а во-вторых, внутри них делать некую градацию — что самое важное перевести в первую очередь», — отметила она.
По словам спикера, не целесообразно сразу всю банковскую структуру переводить на отечественное ПО, так как это может привести к сбоям в работе. Понятно, что ядровую систему или АБС перевести — это вопрос самый важный и первоочередный. Но стоит ли в первую очередь переводить ПО, в котором ведется проектный учет внутри банка?
«Поэтому необходимо делать эту градацию, чтобы действительно к 2023-2024 году определить, какой перечень АБС или оборудования должен быть переведет именно к этому сроку, и какие именно финансовые организации должны быть переведены к этому сроку, а какие будут переводиться позже», — пояснила Мария Шевченко.
Учитывать совместимость и качество отечественного ПО при внесении его в реестр
По словам Дмитрия Гадаря, при создании реестр отечественного ПО у субъектов КИИ исключается возможность самостоятельно принимать решения о выборе ПО, исходя из его качества. Поэтому необходимо провести исследование, как запрет использования зарубежного ПО скажется на защищенности и работоспособности систем. И также обязательно нужны исследования на тему совместимости программного обеспечения и введение критериев попадания в реестр, отталкивающихся именно от функциональности и реализации функций по безопасности.
«И очень важно ввести критерии попадания в реестр. Не только по признаку того, что оно произведено в России, но и по другим критериям. Было озвучено, что финансовые организации естественным образом пытаются не попасть в перечень субъектов КИИ, чтобы сэкономить, но в нашем случае цена не является главным критерием выбора средств защиты. Есть примеры, когда мы покупаем более дорогие аналоги, потому что они больше подходят нам по функционалу и лучше выполняют функции по защите от актуальных угроз»,— пояснил он.
Удержание качества отечественного ПО при отсутствии конкуренции
Также Дмитрий Гадарь рассказал, что ограничение конкуренции может привести к снижению реального качества отечественного программного обеспечения. Например, на мировом рынке есть квадрат Gartner — то есть компании, по крайней мере, пытаются показать лучшую функциональность, чтобы попасть в верх этого квадрата. У нас же ничего подобного нет. И если у нас единственным параметром попадания в перечень российского ПО будет страна-производитель, то мы потеряем нужный функционал и снизим существенно желание производителей программного обеспечения развивать свои продукты в области информационной безопасности.
«Для конкурентоспособности необходимо создать некоторую рабочую группу, которая создаст, наверно, аналог российского квадрата Gartner или предусмотрит, расширит параметры, по которым эти отечественное программное обеспечение должно соответствовать, чтобы попасть в реестр: надежность, защиты, стабильность, стоимость и другие параметры», — пояснил спикер.
Также это может привести к снижению качестве эшелонированной защиты. Ведь не для кого не секрет, что производители программного обеспечения лучше ориентируются в тех угрозах, которые присущи тем регионам, где эти средства защиты установлены: российское программное обеспечение лучше реагирует на российские угрозы, зарубежное программное обеспечение — лучше на зарубежные.
Процедура использования иностранного программного обеспечения может носить уведомительный характер
По мнению представителя Тинькофф банка, полностью отказаться от зарубежного ПО не всегда возможно. В финансовой сфере очень важно очень быстро реагировать на возможные угрозы, с которыми мы сталкиваемся. Зачастую это связано с тем, что надо очень быстро изменить или поставить новый софт для защиты. Возможны ситуации, когда в течение суток нужно купить и установить программное обеспечение.
«В случае попадания в реестр, мы в течение суток, возможно, не сможем этого сделать. То есть на моей практике были ситуации, когда российских аналогов не было найдено и в течение одних суток, мы поставили зарубежный аналог и до сих пор используем его, потому что он защищает нас от очень специфической атаки, которая возникла на рынке достаточно быстро. Просто злоумышленники могут достаточно быстро перестраиваться, и мы должны реагировать на это оперативно», — пояснил он.
Поэтому, по его словам, «желательно и важно установить, что в случае выявления новых угроз, процедура использования иностранного программного обеспечения может носить уведомительный характер, чтобы у нас была возможность самостоятельно и быстро обеспечить свою безопасность, уведомив об этом определенные органы и структуры».
Отмена ответственности субъектов КИИ за нарушения требований по защите информации
«Возможно, необходимо предусмотреть отмену ответственности субъектов критической инфраструктуры за применение отечественного программного обеспечения в результате использования которого нарушены требования по защите информации. То есть если нас вынуждают использовать программное обеспечение, которое находится в реестре, то не очень понятно, почему мы несем ответственность за функциональность этого программного обеспечения», — поделился Дмитрий Гадарь.
Это небольшая коллизия, по его мнению, должна быть решена.
Эти предложения были поддержаны и другими участниками круглого стола. Так, управляющий директор, начальник отдела управления развития технологических инициатив Сбербанка Вадим Протов отметил, что они полностью поддерживают «все инициативы и предложения, которые были озвучены». А председатель совета Ассоциации банков России, глава комитета Госдумы по финансовому рынку Анатолий Аксаков обещал, в свою очередь, что все замечания будут услышаны.