Важность противодействия киберугрозам, никогда не подвергавшаяся сомнениям, в последнее время возрастает просто лавинообразно. Нормативно-правовое и нормативно-методическое обеспечение этого процесса не отстаёт — успевай поворачиваться. Но есть проблема: не у всех есть возможности реализовать поступающие требования и рекомендации в сжатые сроки (да хотя бы и не в сжатые — сказали бы мы ещё недавно).
Чаще всего в профессиональном сообществе обсуждается скорость и проработанность принимаемых требований в ответ на вызовы, а также практическая возможность их реализовать, особенно силами небольших организаций. Темы таких обсуждений не меняются годами. Но сейчас, когда налицо коренные изменения окружающей и внутренней обстановки, возникает вопрос: можно ли действовать по-старому? Действуя по прежней схеме, прилагая всё большие и большие усилия, чтобы успеть принять всё новые и новые соответствующие меры, мы, похоже, приблизились к пределу того, чего можно в принципе добиться таким путём.
А как по-другому? Методологически очень просто: передать часть функций снизу на уровень всей отрасли — финансового рынка. В качестве первого этапа — на уровень банковской сферы.
Как это будет выглядеть? Схема следующая, и она, в общем-то, уже предлагалась. Центральный Банк, наделённый ресурсами государства, строит территориально распределённый с иерархической структурой Центр противодействия киберугрозам (ЦПК). На него замыкается весь интернет-трафик, вся почта, все внешние каналы связи и предоставления услуг клиентам тех коммерческих банков, которые не обладают ресурсами для самостоятельного решения задач обеспечения безопасности. В идеале — всех банков, а потом и других финансовых организаций, но будем реалистами, не будем спешить, так как в проектах такого масштаба необходима этапность.
Этот ЦПК своими силами оказывает весь необходимый спектр сервисов по информационной безопасности. Очищает почту от спама и вирусов, защищает от DDOS-атак, выявляет аномальный внешний и внутренний трафик, осуществляет межсетевое экранирование, обеспечивает безопасность проектной деятельности этих организаций, информирует их руководство о событиях с признаками инцидентов для дальнейшего совместного расследования и т. д. Помимо всего прочего, для эффективного реагирования на многие атаки сегодняшнего дня требуются люди с довольно редкими специальностями: реверсеры, вирусные аналитики, компьютерные криминалисты и т. п. Ни одна организация не может позволить себе держать в штате таких специалистов, если они востребованы считаное число раз в год.
ЦПК организует предупреждение проблемных ситуаций, включая инциденты, а также проводит выявление и анализ уязвимостей обслуживаемых информационных систем, координацию действий по устранению уязвимостей, анализ событий, регистрируемых компонентами обслуживаемых систем и средств их защиты, для поиска признаков атак, направленных на эти системы. Можно возразить, что тут есть пересечение с функциями ГосСОПКА, но здесь шире: ЦПК очищает почту от спама и вирусов, защищает от DDOS-атак, выявляет аномальный внешний и внутренний трафик, осуществляет межсетевое экранирование, обеспечивает безопасность проектной деятельности организаций, информирует их руководство о событиях с признаками инцидентов для дальнейшего совместного расследования, при необходимости организует проведение киберучений и т. д.
Мелкие кредитно-финансовые организации не имеют ни средств, ни компетенций для построения полноценной системы киберзащиты. ЦБ может их ругать, высылать новые требования и стандарты, проводить проверки и учения, даже наказывать, только защищённость от этого не улучшится. Там нет ни штата, ни финансов в необходимых количествах.
Опыт создания таких ЦПК сейчас, по имеющимся сведениям, нарабатывается в некоторых крупных банках (по отношению к дочерним организациям и филиалам). Не поднять ли это знамя на более высокий уровень?
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных