15000 финансовых организаций остаются без защиты!

15000 финансовых организаций остаются без защиты!

Года три уже обсуждается тема централизации на единой гарантированной платформе услуг для финансового сектора. Эта идея навеяна тревогой и даже паникой небольших финансовых организаций, которые в быстро меняющихся реалиях не могут оперативно обеспечить ни гибкость в решениях, ни соответствие требованиям регулятора по причине отсутствия необходимых ресурсов — как финансовых, так и кадровых. Хорошие специалисты и менеджмент стоят дорого.

То же самое и в сфере обеспечения информационной безопасности: в условиях кибервойны, кратного увеличения числа кибератак и использования новых инструментов для осуществления этих атак, а также усиления требований регуляторов небольшие организации не в состоянии имеющимися ресурсами обеспечить выполнение требований по обеспечению безопасности. Ввиду этого и встал вопрос централизации сервисов ИБ на одной платформе для оказания услуг организациям, нуждающимся в такой помощи. Ответом на этот вопрос родилась идея создания Центра противодействия киберугрозам (ЦПК). Пусть пока реализация имеет локальный характер (такая деятельность возникла стихийно и направлена, как правило, на защиту дочерних обществ крупных компаний и холдингов), но лиха беда начало.

Давайте посмотрим, как можно масштабировать такой проект. Что для этого нужно? Возьмём близкий нам финансовый сектор как самый зарегулированный в части обеспечения ИБ. На мой взгляд, в первую очередь стоит обратить внимание на следующие моменты.

1. Такой Центр, ЦПК (по сути, это Managed Security Service Provider — MSSP), должен быть независимым, обладающим необходимыми лицензиями на осуществление своей деятельности. То есть «равноудалённым» для всех участников рынка финансовой сферы. В такой конфигурации ЦПК может стать независимым гарантом обеспечения безопасности. Вместе с тем для обеспечения гарантий безопасности и доверия со стороны участников рынка ЦПК должен стать структурой, поднадзорной Банку России, но не его дочерним обществом. Возможно, придётся пересматривать закон о ЦБ и Устав ЦБ.
2. С учётом реалий функционировать такой Центр должен на отечественных решениях. Есть ли такие решения для столь огромных масштабов, ещё предстоит выяснить. Безусловно, отечественные решения и сервисы для обеспечения безопасности есть, но вот смогут ли они функционировать в таких масштабах и при таких нагрузках? Два года назад количество организаций, поднадзорных ЦБ, составляло около 20 тыс. С учётом «оздоровления» финансового рынка и самостоятельного ухода ряда компаний осталось примерно 16 тыс. Из них вычитаем 1–2 тыс. крупных компаний, которые могут обеспечить свою ИБ сами. Остальные остаются «сиротами» в этом плане. Вот для них и нужен такой Центр.
3. Нельзя обойти тут и проблему кадрового голода. Тот факт, что в сфере ИБ не хватает квалифицированных специалистов, давно не секрет, об этом постоянно говорят на каждом мероприятии и пишут в каждом СМИ. На подготовку специалистов и экспертов ИБ нужно время. Централизация имеющегося кадрового состава в сфере ИБ могла бы решить часть проблем потребителей сервисов Центра. Другой вопрос, что кадры будут несколько «уязвимым местом». Нужны будут инструменты контроля. Благо из предыдущего опыта ИБ есть кейсы для решения этого вопроса.
4. С учётом того, что Центр будет предоставлять сервисы огромному числу организаций, очевиден риск «единой точки отказа». Поэтому целесообразно разрабатывать Центр на геораспределённой архитектуре. Например, в каждом федеральном округе. Для обеспечения катастрофоустойчивого и безотказного функционирования архитектура должна строиться по схеме связи «каждый с каждым» с резервированием данных и информационной структуры. А возможно, и на основе технологии «блокчейн». Но это дискуссионный вопрос, так как успешно действующих технологий безопасности, построенных по технологии «блокчейн», в России я пока не встречал.
5. Принимая во внимание предполагаемый масштаб Центра и его геораспределённость, потребуются большие вложения в создание инфраструктуры, каналы связи. Финансирование может идти как из госбюджета, так и от игроков рынка, которые могут позволить себе «длинные деньги». Возможно, для возврата инвестиций имеет смысл рассмотреть предоставление Центром услуг на возмездной основе. При этом тарифная политика таких сервисов должна предлагать цены существенно ниже, чем затраты потребителей при децентрализованном обеспечении безопасности.

Кроме всего, вероятно, придётся пересматривать законы о защите информации, о защите платёжных систем и персональных данных. Но это вопрос для отдельного большого обсуждения.