BIS Journal №1(40)/2021

9 марта, 2021

А есть ли проблема?

«Способы снижения рисков ИБ не зависят от того, отечественное или зарубежное оборудование и ПО используется в банке».

Как это часто бывает, многие участники рынка – и вендоры, и пользователи – по вопросу импортозамещения ИТ в банковском секторе разделились на три лагеря. Первые поддерживают позицию «Импортозамещение из принципа! Любой ценой!», вторые отрицают необходимость самого перехода на отечественные ИТ, а третьи стараются оценивать политические, технологические риски и риски безопасности и снижать их уровень. Последний подход видится наиболее взвешенным и учитывающим интересы отрасли.

Существует риск «импортозависимости», который можно описать как «Сможем ли мы приобрести, обновить и обеспечить непрерывность деятельности, если иностранный вендор прекратит поддержку своего продукта?» И здесь кто-то пытается риск снизить путём замены на отечественную продукцию (или дружественных государств), а кто-то принимает эти риски в надежде, что если это произойдёт, то будут придуманы различные «костыли» к функционированию продукта и сложные схемы в цепочках закупки, опять-таки через дружественные государства.

Технологические риски связаны в основном с отсутствием выбора информационных технологий. Такой риск описывается словами «Сможем ли мы найти аналог и будет ли он выполнять все требуемые функции?» Но и тут есть варианты. Можно приобретать ИТ у более «дружественных» с точки зрения государства зарубежных поставщиков или у отечественных разработчиков. А можно адаптировать решенияopensource, хотя в последнем случае совокупная стоимость владения может оказаться выше, чем для проприетарных решений. Все эти варианты вызывают экономические риски в виде дополнительных затрат.

Способы снижения рисков информационной безопасности не зависят от того, отечественное или зарубежное оборудование и программное обеспечение используется в финансовой организации. Мы в любом случае рекомендуем проводить поиск недекларированных возможностей (стоит отметить, что вероятность преднамеренных закладок в отечественном софте всё-таки считается меньшей), анализ защищённости аппаратных и программных решений и тестирование на проникновение. Благодаря такому подходу можно отвязаться от страны происхождения ИТ и минимизировать риски использования конкретных продуктов.

Исследования безопасности помогают предотвратить четыре главные опасности для защищаемой информации предприятия:

  • Ошибки программирования, которые не только препятствуют нормальной работе приложений (зависания, BSOD, потеря данных), но и «приглашают» злоумышленника ими воспользоваться.
  • Расширение функциональных возможностей приложений в ущерб безопасности. Разработчики – неважно, российские или нет – используют наиболее простые (но не безопасные!) приёмы в погоне за сроками и удобством.
  • Встраивание функций, которые делают возможным обход механизмов защиты. Разработчики ПО оставляют такие функции для облегчения тестирования и отладки приложений, но забывают их отключить в финальной версии.
  • Программные закладки, которые умышленно встраиваются в исходный код приложений или в обновления ПО и используются для получения несанкционированного доступа к информации или других вредоносных действий. В исходный код закладки встраивает либо сам разработчик, либо атаковавший его злоумышленник.

 

Другие материалы на главную тему выпуска BIS Journal №40 – «Импортозамещение в банках: 2021-2024»:

Импортозамещение в банках: между «да» и «нет»

Административное наказание против уголовного

5% против 95%

Эволюция против революции

Срединный путь против выстрела в ногу

Внутренний нарушитель против внешнего

Карта «Мир» против западных конкурентов

Мимикрия под отечественное против отечественного

Пандемия против инерции

Примеры против слов

Давайте вспомним про Египет

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

10.12.2024
Конференция «Сетевая безопасность». Эксперты — о рынке NGFW
09.12.2024
Конференция «Сетевая безопасность». Эксперты — о трендах на рынке ИБ в 2024 году
09.12.2024
Конференция «Сетевая безопасность». Эксперты — о самой конференции
09.12.2024
Конференция «Сетевая безопасность». Эксперты — об импортозамещении
09.12.2024
Конференция «Сетевая безопасность». Эксперты — о будущем
09.12.2024
Мошенники предлагают заявить на мошенников… и это тоже мошенничество
09.12.2024
У ВТБ появился свой «пэй». Сервис подключило уже 30 тысяч человек
06.12.2024
«Инфа с точностью до секунд». DLBI — о новом взломе БД «Почты России»
06.12.2024
На CX FinTech Day эксперты обсудили стратегии и технологии для улучшения клиентского опыта
06.12.2024
«Штурман» будет дружески подсматривать в экран пользователя

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных