BIS Journal №1(40)/2021

9 марта, 2021

А есть ли проблема?

«Способы снижения рисков ИБ не зависят от того, отечественное или зарубежное оборудование и ПО используется в банке».

Как это часто бывает, многие участники рынка – и вендоры, и пользователи – по вопросу импортозамещения ИТ в банковском секторе разделились на три лагеря. Первые поддерживают позицию «Импортозамещение из принципа! Любой ценой!», вторые отрицают необходимость самого перехода на отечественные ИТ, а третьи стараются оценивать политические, технологические риски и риски безопасности и снижать их уровень. Последний подход видится наиболее взвешенным и учитывающим интересы отрасли.

Существует риск «импортозависимости», который можно описать как «Сможем ли мы приобрести, обновить и обеспечить непрерывность деятельности, если иностранный вендор прекратит поддержку своего продукта?» И здесь кто-то пытается риск снизить путём замены на отечественную продукцию (или дружественных государств), а кто-то принимает эти риски в надежде, что если это произойдёт, то будут придуманы различные «костыли» к функционированию продукта и сложные схемы в цепочках закупки, опять-таки через дружественные государства.

Технологические риски связаны в основном с отсутствием выбора информационных технологий. Такой риск описывается словами «Сможем ли мы найти аналог и будет ли он выполнять все требуемые функции?» Но и тут есть варианты. Можно приобретать ИТ у более «дружественных» с точки зрения государства зарубежных поставщиков или у отечественных разработчиков. А можно адаптировать решенияopensource, хотя в последнем случае совокупная стоимость владения может оказаться выше, чем для проприетарных решений. Все эти варианты вызывают экономические риски в виде дополнительных затрат.

Способы снижения рисков информационной безопасности не зависят от того, отечественное или зарубежное оборудование и программное обеспечение используется в финансовой организации. Мы в любом случае рекомендуем проводить поиск недекларированных возможностей (стоит отметить, что вероятность преднамеренных закладок в отечественном софте всё-таки считается меньшей), анализ защищённости аппаратных и программных решений и тестирование на проникновение. Благодаря такому подходу можно отвязаться от страны происхождения ИТ и минимизировать риски использования конкретных продуктов.

Исследования безопасности помогают предотвратить четыре главные опасности для защищаемой информации предприятия:

  • Ошибки программирования, которые не только препятствуют нормальной работе приложений (зависания, BSOD, потеря данных), но и «приглашают» злоумышленника ими воспользоваться.
  • Расширение функциональных возможностей приложений в ущерб безопасности. Разработчики – неважно, российские или нет – используют наиболее простые (но не безопасные!) приёмы в погоне за сроками и удобством.
  • Встраивание функций, которые делают возможным обход механизмов защиты. Разработчики ПО оставляют такие функции для облегчения тестирования и отладки приложений, но забывают их отключить в финальной версии.
  • Программные закладки, которые умышленно встраиваются в исходный код приложений или в обновления ПО и используются для получения несанкционированного доступа к информации или других вредоносных действий. В исходный код закладки встраивает либо сам разработчик, либо атаковавший его злоумышленник.

 

Другие материалы на главную тему выпуска BIS Journal №40 – «Импортозамещение в банках: 2021-2024»:

Импортозамещение в банках: между «да» и «нет»

Административное наказание против уголовного

5% против 95%

Эволюция против революции

Срединный путь против выстрела в ногу

Внутренний нарушитель против внешнего

Карта «Мир» против западных конкурентов

Мимикрия под отечественное против отечественного

Пандемия против инерции

Примеры против слов

Давайте вспомним про Египет

Смотрите также

19.08.2022
Astra Linux показала мобильный режим
19.08.2022
Прецедент на миллион. Суд впервые оштрафовал оператора за пропуск звонка с подменного номера из-за рубежа
19.08.2022
У российских финорганизаций кончаются зарубежные корсчета
19.08.2022
Летние меры понуждения. Ещё пять сервисов получили метки от РКН
19.08.2022
В Google пришла мать всех DDoS-атак
18.08.2022
Хакерам не хватает знаний в области операционной безопасности
18.08.2022
В этом вопросе никакой «серебряной пули» не будет
18.08.2022
Наблюдается значительное снижение интереса российских разработчиков ПО к продуктам Microsoft
18.08.2022
«Мир» укореняется в Азии. Мальдивы подключатся к системе?
18.08.2022
VK предупредит о попадании пароля в утечки сторонних сервисов