26 августа, 2014, BIS Journal №3(14)/2014

Зона риска ужесточает ответственность


Хвастунова Ольга

обозреватель (BIS Journal)

Контрольно-финансовые службы и банки США: ситуация и тенденции развития в области информационной безопасности

Расходы банков на информационные технологии, по некоторым оценкам, вырастут на 4,2% в 2014 году и составят $ 430 млрд. В свою очередь, аналитики International Data Corporation – IDC (США, Массачусетс, Фремингем), специализирующейся на исследованиях рынка IT-технологий, прогнозируют: к 2020 году размер этих расходов превысит $0,5 трлн.

 

УЖЕСТОЧЕНИЕ ГОСУДАРСТВЕННОГО КОНТРОЛЯ

Массовое внедрение технологий анализа больших данных (Big Data) для выявления и предотвращения мошенничества осложнено тем, что банки зачастую скрывают эпизоды, связанные с хищениями денежных средств и критически важных данных, неохотно идут на скоординированные коллективные акции по борьбе с киберпреступниками, используют разрозненные или просто устаревшие платформы в своих системах ИБ. В связи с этим данная сфера является объектом повышенного внимания контрольно-финансовых служб (КФС) и правоохранительных органов как отдельных стран, прежде всего США, так и международных организаций.

По оценке американского эксперта Эдварда Демарко, главы Финансового агентства федеральных жилищных программ (Federal Housing Finance Agency), в США отношения в этой сфере регулируются 46 законами и подзаконными актами, как на федеральном уровне, так и на уровне отдельных штатов. Государственный финансовый контроль в сегодняшнем банковском мире выстраивается по различным моделям. Однако в целом для развития этой системы характерны следующие общие подходы: на фоне масштабных хищений и утечек данных последних лет проверки, проводимые КФС, стали жестче. При этом все полученные данные тщательно и всесторонне анализируются, а неспособность банков минимизировать риски для своих клиентов расценивается как один из самых существенных недостатков.

От руководителей банков КФС требуют, прежде всего, способности уверенно ориентироваться в тех областях деятельности, где наиболее высока степень риска. Они также должны уметь создавать и поддерживать для своих финансовых учреждений благоприятные условия выживания и надежного функционирования в агрессивной окружающей среде. В связи с этим один из ведущих органов финансового контроля в США, Бюро финансовой защиты потребителей (The Consumer Financial Protection Bureau, CFPB), рекомендует банкам совершенствовать связи со своими клиентами. В первую очередь наладить качественное и своевременное рассмотрение их жалоб.

Другая контрольно-финансовая служба США, Управление контроля денежного обращения (The Office of the Comptroller of the Currency, OCC), рекомендует банкам вести постоянный мониторинг социальных сетей с той же целью повышения эффективности работы с жалобами клиентов. ОСС также рекомендует занимать активную позицию по отношению к регуляторам, добиваться от них разъяснений по актуальным вопросам применения тех или иных норм, не дожидаясь возникновения коллизий.

В ЗОНЕ ПОВЫШЕННОГО РИСКА

Согласно общему подходу различных КФС, вопрос о том, насколько информационные технологии банка и, особенно, его система информационной безопасности соответствуют современным требованиям, должен стать одним их ключевых вопросов при оценке его деятельности. В частности, Томас Карри, руководитель Управления контроля денежного обращения, обращает внимание банковского сообщества на растущую изощренность хакерских атак и резкий рост их числа. По его мнению, современные технологии, такие как мобильный банкинг, социальные сети и облачные вычисления, с точки зрения безопасности следует рассматривать как наиболее уязвимые в системе ИБ, потенциально представляющие собой новые каналы несанкционированного проникновения со стороны киберпреступников.

По оценке Томаса Карри, с точки зрения уязвимости американские банки находятся в зоне повышенного риска в связи с широким использованием современных технологий и телекоммуникаций. Кроме того, осуществляя свою операционную деятельность в рамках созданных ими систем, они вынуждены привлекать сторонние организации для обеспечения функционирования этих систем. В свою очередь эти организации привлекают третьих лиц из числа других организаций и служб, что влечет за собой потенциальное возникновение новых точек несанкционированного доступа ко всем подключенным сетям и создает различные уязвимости в системе.

Впервые кибербезопасность была расценена как ключевой компонент управления операционными рисками в отчете ОСС за первое полугодие 2013 года. При этом указывалось, что крупные банки могут располагать сотнями специалистов в области ИБ, в то время как средние и мелкие банки являются наиболее уязвимыми для кибератак. Исходя из этого, ОСС приняла решение выделять специальных инспекторов для таких банков с целью оценки эффективности их систем ИБ.

Ещё одна организация в системе контрольно-финансовых органов США, Федеральный совет по надзору за финансовыми учреждениями (The Federal Financial Institution Examination Council, FFIEC), предписывает банкам вести разъяснительную работу с клиентами относительно того, как защитить себя от атак киберпреступников. Согласно нормативному руководству FFIEC, банки должны иметь несколько уровней аутентификации клиента, а не один, как, например, пароль или IP-адрес компьютера клиента.

ОТВЕТСТВЕННОСТЬ НА ТОП-МЕНЕДЖЕРАХ

КФС едины в оценке ответственности высшего менеджмента банков за предотвращение киберпреступлений и ликвидацию их последствий. В частности, в руководстве FFIEC по проведению проверок состояния банковских IT-систем прямо указывается, что правление банка отвечает за разработку, внедрение и сопровождение программ ИТ, в том числе систем ИБ. Этим документом устанавливается ответственность правления банка за разработку планов обеспечения ИБ, соответствующих мероприятий и программ, а также за контроль эффективности этих программ. В свою очередь, безопасности следует отводить один из высших приоритетов в корпоративной культуре банков, и этот подход должен пронизывать всю финансовую организацию сверху донизу.

Главное контрольно-финансовое управление США (General Accounting Office, GAO) в Жёлтой книге – руководстве для инспекторов по выявлению мошенничества в банках и финансовых учреждениях, изданном в 2013 году, большое внимание уделяет вопросам этики. В частности, соблюдению сотрудниками Кодекса профессиональной этики ACFE. Также акцентируется внимание проверяющих на необходимости мониторинга активности сотрудников финансовых учреждений в социальных сетях. Особо выделяется такая сфера контроля как мошенничество с использованием интернета и киберпреступления в целом.

Ещё в 2009 году в докладе GAO по киберпреступности (GAO-07-075) были сформулированы 4 основные проблемы в борьбе с этим широкомасштабным явлением:

  • обеспечение информированности о фактах совершения киберпреступлений;
  • обеспечение достаточных аналитических и технических возможностей для сотрудников правоохранительных органов;
  • способность действовать в самых разных странах, в условиях распространения нескольких юрисдикций;
  • способность эффективно осуществлять обеспечение ИБ и повышение уровня подготовки сотрудников по этому профилю.

Из этих 4 проблем, по оценке GAO, наиболее актуальной является обеспечение достаточных аналитических и технических возможностей для сотрудников правоохранительных органов. Остальные три проблемы решаются, и даже если где-то прогресс не так заметен, недостатки в последующем могут быть устранены без особых трудностей.

Ричард Мур, автор книги «Киберпреступность: расследование высокотехнологичных компьютерных преступлений», в предисловии отмечает: «К сожалению, в то время как те, кто использует новые технологии в преступных целях, оттачивали свои приемы и методы деятельности и совершенствовали свои знания о том, как функционируют компьютеры, многие работники правоохранительных органов оказались неспособны выдержать столь высокий темп».

По его оценке, очень небольшое число подразделений следственных органов укомплектованы сотрудниками, способными и готовыми проводить расследования киберпреступлений и преступлений, совершаемых  с использованием самых передовых технологий. А те подразделения, сотрудники которых способны это делать, сталкиваются с типичной для всех правоохранительных органов проблемой – недостатком финансирования.

ЗАЩИТА РАБОЧИХ МЕСТ СОТРУДНИКОВ

В свою очередь, в инструктивных документах ФБР США, также активно участвующего в мероприятиях по предотвращению киберпреступлений, отмечается, что в последнее время центр внимания криминальных сообществ в этой сфере все более смещается в сторону атак против персональных компьютеров сотрудников финансовых учреждений. В этой связи ФБР рекомендует банкам периодически проводить сканирование этих устройств с целью обнаружения и обезвреживания вредоносных программ.

Банки обязаны ориентировать свои службы ИБ на противодействие попыткам киберпреступников использовать персональные устройства служащих для совершения мошенничества. Эти службы должны быть в состоянии четко сформулировать механизмы защиты, наличие которых необходимо обеспечить в банке, чтобы предотвратить проникновение вредоносных программ на компьютеры персонала, как настольные, так и портативные.

Они также обязаны создать защиту, способную предотвратить заражение других компьютеров в корпоративной сети. Руководству банка следует исходить из того, что банк надлежит защитить на нескольких уровнях безопасности с использованием нескольких технологий, периодически проводя при этом оценки угроз. Также необходимо разработать детальный план ликвидации последствий в тех случаях, когда мошенничества имеют место.

Следует отметить, что кроме выработки рекомендаций общего характера контрольно-финансовые службы США ведут с банками и повседневную работу, оказывая им поддержку в преодолении негативных последствий мошеннических действий со стороны преступного сообщества. В том числе кибератак и других эпизодов несанкционированного компьютерного проникновения. Так, в апреле этого года КФС уведомили банки о необходимости срочно обновить свои системы ИБ и пароли в связи с обнаружением уязвимости HeartBleed, позволявшей подключаться, в частности, к интернет-банку, получать приватный SSL-ключ из оперативной памяти и выполнять MITM-атаку или получать логин и пароль пользователя.

В том же месяце FFIEC выступил с инициативой, чтобы банки и другие финансовые организации несли полную ответственность за последствия DDoS-атак. Таким образом, банкам при рассмотрении исков пострадавших вкладчиков ссылаться на то, что они сами стали жертвами таких атак, теперь будет сложнее. FFIEC собирается просто-напросто обязать подконтрольные финансовые организации обзавестись соответствующей защитой. Кроме того, банки теперь должны будут иметь эффективный план реагирования на подобные атаки. В противном случае их ждут крупные штрафы.

ПОВЫШЕНИЕ ТРЕБОВАНИЙ К ПЕРСОНАЛУ

Что касается перспектив развития отношений между банками и КФС в обозримом будущем, то эксперты прогнозируют последствия ужесточения правил, регламентирующих деятельность банков в целом и мероприятия по обеспечению ИБ. В частности, ожидается повышение требований, предъявляемых к деловым и моральным качествам сотрудников финансовых учреждений.

В то время как банки будут продолжать полагаться на сторонних поставщиков ряда услуг для повышения эффективности, возрастет спрос на менеджеров среднего звена, которые могут вести переговоры и поддерживать отношения со сторонними организациями. Находясь под постоянным воздействием КФС, банки будут все более адаптироваться к эффективному решению проблем управления рисками методом аутсорсинга, особенно в том, что касается услуг, предназначенных для клиентов, и информационных технологий. В высшем менеджменте банков и финансовых организаций ожидается дальнейший рост потребности в руководителях, располагающих опытом в таких областях, как управление рисками, соблюдение законодательства, информационные технологии и информационная безопасность.

Клифф Стэнфорд, юрист компании Alston & Bird LLP, отмечает, что в последние годы уже имело место повышение спроса на сотрудников банков, разбирающихся в вопросах обеспечения соблюдения 2 основополагающих законов, действующих в финансовой сфере США: о банковской тайне и по противодействию отмыванию денежных средств. В области информационных технологий будет расти потребность в директорах по информационным технологиям (Chief Information Officer) и, особенно, в директорах по информационной безопасности (Сhief Information Security Officer). Возрастет потребность высшего менеджмента банков в специалистах с солидным опытом работы по взаимодействию с КФС и обеспечению выполнения законодательства, действующего в финансовой сфере, способных организовать эту работу на высоком уровне с минимумом затрат.

Норма Шарара из компании Luse Gorman Pomerenke & Schick, P.C., в свою очередь обращает внимание на то, что процесс управления рисками применительно к банкам все больше требует знания норм, установленных регуляторами, в том числе КФС. Кроме того, реформа регулирования и законодательные изменения будут по-прежнему играть важную роль, как в США, так и в Европе.

ВНУТРИКОРПОРАТИВНОЕ И ВНЕШНЕЕ ВЗАИМОДЕЙСТВИЕ

Таким образом, для банков будет крайне важно располагать специалистами, в том числе в руководящем звене, способными и поддерживать на должном уровне отношения с регулирующими органами и КФС, и организовывать эффективную коммуникацию с общественностью, способствуя продвижению позитивного образа банков в экономике. Внедрение новых правил и правоприменительных действий будет продолжаться. Следовательно, сотрудники банков, обеспечивающие соблюдение законов и правовых норм, продолжат играть ключевую роль по мере введения новых правил  и ответственности перед регуляторами.

По мнению Дональда Лэмсона из компании Shearman & Sterling LLP, управление рисками и внедрение новых технологий потребуют повышенного внимания со стороны руководства банков. Финансовые организации, до сих пор не располагавшие специалистами в этих областях в своем высшем звене, будут вынуждены включить их в состав управленческого персонала по мере роста своих организаций.

Питер Вайнсток из компании Hunton & Williams LLP, прогнозируя развитие существующих тенденций, особо выделяет то обстоятельство, что каждая успешная стратегия управления рисками должна будет включить в себя новые методы взаимодействия для членов совета директоров и управленческих команд. Им придётся налаживать успешные партнерские отношения с соответствующими регулирующими органами – непосредственно, через третьих лиц или с помощью иных методов. Важность тесных связей   с регуляторами возрастет, поскольку деятельность этих организаций будет расширяться, а также становиться все более сложной и… неопределенной.

В настоящее время, осознавая возросшие угрозы со стороны организованной киберпреступности, многие компании по всему миру активно вкладывают деньги в совершенствование своих систем информационной безопасности для противостояния им. И в первую очередь повышенное внимание вопросам информационной безопасности характерно именно для банковского сектора.

 

 

 

Смотрите также

Подпишись на новости!
Подписаться