А есть ли проблема?
«Способы снижения рисков ИБ не зависят от того, отечественное или зарубежное оборудование и ПО используется в банке».
Как это часто бывает, многие участники рынка – и вендоры, и пользователи – по вопросу импортозамещения ИТ в банковском секторе разделились на три лагеря. Первые поддерживают позицию «Импортозамещение из принципа! Любой ценой!», вторые отрицают необходимость самого перехода на отечественные ИТ, а третьи стараются оценивать политические, технологические риски и риски безопасности и снижать их уровень. Последний подход видится наиболее взвешенным и учитывающим интересы отрасли.
Существует риск «импортозависимости», который можно описать как «Сможем ли мы приобрести, обновить и обеспечить непрерывность деятельности, если иностранный вендор прекратит поддержку своего продукта?» И здесь кто-то пытается риск снизить путём замены на отечественную продукцию (или дружественных государств), а кто-то принимает эти риски в надежде, что если это произойдёт, то будут придуманы различные «костыли» к функционированию продукта и сложные схемы в цепочках закупки, опять-таки через дружественные государства.
Технологические риски связаны в основном с отсутствием выбора информационных технологий. Такой риск описывается словами «Сможем ли мы найти аналог и будет ли он выполнять все требуемые функции?» Но и тут есть варианты. Можно приобретать ИТ у более «дружественных» с точки зрения государства зарубежных поставщиков или у отечественных разработчиков. А можно адаптировать решенияopensource, хотя в последнем случае совокупная стоимость владения может оказаться выше, чем для проприетарных решений. Все эти варианты вызывают экономические риски в виде дополнительных затрат.
Способы снижения рисков информационной безопасности не зависят от того, отечественное или зарубежное оборудование и программное обеспечение используется в финансовой организации. Мы в любом случае рекомендуем проводить поиск недекларированных возможностей (стоит отметить, что вероятность преднамеренных закладок в отечественном софте всё-таки считается меньшей), анализ защищённости аппаратных и программных решений и тестирование на проникновение. Благодаря такому подходу можно отвязаться от страны происхождения ИТ и минимизировать риски использования конкретных продуктов.
Исследования безопасности помогают предотвратить четыре главные опасности для защищаемой информации предприятия:
- Ошибки программирования, которые не только препятствуют нормальной работе приложений (зависания, BSOD, потеря данных), но и «приглашают» злоумышленника ими воспользоваться.
- Расширение функциональных возможностей приложений в ущерб безопасности. Разработчики – неважно, российские или нет – используют наиболее простые (но не безопасные!) приёмы в погоне за сроками и удобством.
- Встраивание функций, которые делают возможным обход механизмов защиты. Разработчики ПО оставляют такие функции для облегчения тестирования и отладки приложений, но забывают их отключить в финальной версии.
- Программные закладки, которые умышленно встраиваются в исходный код приложений или в обновления ПО и используются для получения несанкционированного доступа к информации или других вредоносных действий. В исходный код закладки встраивает либо сам разработчик, либо атаковавший его злоумышленник.
Другие материалы на главную тему выпуска BIS Journal №40 – «Импортозамещение в банках: 2021-2024»:
Импортозамещение в банках: между «да» и «нет»
Административное наказание против уголовного
Срединный путь против выстрела в ногу
Внутренний нарушитель против внешнего
Карта «Мир» против западных конкурентов