BIS Journal №1(40)/2021

9 марта, 2021

А есть ли проблема?

«Способы снижения рисков ИБ не зависят от того, отечественное или зарубежное оборудование и ПО используется в банке».

Как это часто бывает, многие участники рынка – и вендоры, и пользователи – по вопросу импортозамещения ИТ в банковском секторе разделились на три лагеря. Первые поддерживают позицию «Импортозамещение из принципа! Любой ценой!», вторые отрицают необходимость самого перехода на отечественные ИТ, а третьи стараются оценивать политические, технологические риски и риски безопасности и снижать их уровень. Последний подход видится наиболее взвешенным и учитывающим интересы отрасли.

Существует риск «импортозависимости», который можно описать как «Сможем ли мы приобрести, обновить и обеспечить непрерывность деятельности, если иностранный вендор прекратит поддержку своего продукта?» И здесь кто-то пытается риск снизить путём замены на отечественную продукцию (или дружественных государств), а кто-то принимает эти риски в надежде, что если это произойдёт, то будут придуманы различные «костыли» к функционированию продукта и сложные схемы в цепочках закупки, опять-таки через дружественные государства.

Технологические риски связаны в основном с отсутствием выбора информационных технологий. Такой риск описывается словами «Сможем ли мы найти аналог и будет ли он выполнять все требуемые функции?» Но и тут есть варианты. Можно приобретать ИТ у более «дружественных» с точки зрения государства зарубежных поставщиков или у отечественных разработчиков. А можно адаптировать решенияopensource, хотя в последнем случае совокупная стоимость владения может оказаться выше, чем для проприетарных решений. Все эти варианты вызывают экономические риски в виде дополнительных затрат.

Способы снижения рисков информационной безопасности не зависят от того, отечественное или зарубежное оборудование и программное обеспечение используется в финансовой организации. Мы в любом случае рекомендуем проводить поиск недекларированных возможностей (стоит отметить, что вероятность преднамеренных закладок в отечественном софте всё-таки считается меньшей), анализ защищённости аппаратных и программных решений и тестирование на проникновение. Благодаря такому подходу можно отвязаться от страны происхождения ИТ и минимизировать риски использования конкретных продуктов.

Исследования безопасности помогают предотвратить четыре главные опасности для защищаемой информации предприятия:

  • Ошибки программирования, которые не только препятствуют нормальной работе приложений (зависания, BSOD, потеря данных), но и «приглашают» злоумышленника ими воспользоваться.
  • Расширение функциональных возможностей приложений в ущерб безопасности. Разработчики – неважно, российские или нет – используют наиболее простые (но не безопасные!) приёмы в погоне за сроками и удобством.
  • Встраивание функций, которые делают возможным обход механизмов защиты. Разработчики ПО оставляют такие функции для облегчения тестирования и отладки приложений, но забывают их отключить в финальной версии.
  • Программные закладки, которые умышленно встраиваются в исходный код приложений или в обновления ПО и используются для получения несанкционированного доступа к информации или других вредоносных действий. В исходный код закладки встраивает либо сам разработчик, либо атаковавший его злоумышленник.

 

Другие материалы на главную тему выпуска BIS Journal №40 – «Импортозамещение в банках: 2021-2024»:

Импортозамещение в банках: между «да» и «нет»

Административное наказание против уголовного

5% против 95%

Эволюция против революции

Срединный путь против выстрела в ногу

Внутренний нарушитель против внешнего

Карта «Мир» против западных конкурентов

Мимикрия под отечественное против отечественного

Пандемия против инерции

Примеры против слов

Давайте вспомним про Египет

Смотрите также