2 декабря, 2014, BIS Journal №4(15)/2014

Переоценка приоритетов


Неваленный Александр

главный специалист по информационной безопасности (ООО «АТАК» (Группа Auchan))

Новые внешние угрозы требуют пересмотра политики информационной безопасности кредитно-финансовой сферы

В современном мире люди всё чаще используют преимущества электронных устройств. Начиная с телевидения с сетевым адаптером и переводов денежных средств через интернет и заканчивая автоматизацией бизнес-процессов на работе. Но насколько хорошо защищена электронная информация, и с какими проблемами информационной безопасности приходится сталкиваться? В частности, в сфере электронных платежей – профессионалам и обычным клиентам? В какой степени действующие концепции информационной безопасности отвечают реалиям времени?

 

ЗАКУПОРИТЬ ИНФОРМАЦИОННЫЕ ЛАЗЕЙКИ

Электронные расчёты, интернет-банк, мобильные платежи, банковские карты, терминалы самообслуживания слишком выгодны для бизнеса и удобны для клиентов, чтобы от них отказываться. Вместе с тем и граждане России, и торговые точки и банки, услугами которых они пользуются, заинтересованы в обеспечении информационной безопасности. Государственные органы также заинтересованы в защищённости электронных платёжных средств. Потому что на основании доступа к платёжной информации недоброжелатели за рубежом могут достаточно точно вычислить уязвимости в российской экономике.

Например, на основании статистики доходов определить регионы, в которых можно инспирировать «протестные акции». Такие информационные лазейки, которые могут быть использованы против нашей страны, нужно закупорить. Корпоративные расчёты, а также оплата государственных закупок могут служить каналом утечки вовне важной информации. Проведение подобных платежей через международные платёжные системы вроде S.W.I.F.T. потенциально даёт пищу зарубежным аналитикам для определения сомнительных сделок, в том числе коррупционных.

Практика показывает, что отношение к информационной безопасности в банках, как правило, более серьёзное, чем в коммерческих организациях другого профиля. Это обусловлено операциями с денежными средствами в электронном виде, которые являются приоритетной целью для большинства злоумышленников. А также строгим регулированием информационной безопасности кредитно-финансовой сферы со стороны целой плеяды государственных органов – Банка России, ФСБ России, ФСТЭК России, Роскомнадзора, к которым можно прибавить Минкомсвязи РФ, МВД России, Росфинмониторинг и другие ведомства.

ПОМОЩИ ЖДАТЬ БОЛЬШЕ НЕОТКУДА

Несмотря на повышенную угрозу хищений электронных средств, а также возможные санкции со стороны контрольно-надзорных органов, руководство кредитных организаций не всегда в должной мере осознаёт необходимость увеличения расходов на обеспечение информационной безопасности. Сотрудникам профильных подразделений бывает трудно убеждать руководство, «на пальцах» объясняя модель угроз и рисков, доводя до сведения статистику инцидентов. Сказывается инерция высшего образования: вузы, в которых ведётся подготовка по специализации «информационная безопасность банков», можно буквально перечесть по пальцам.

Эта и ряд других проблем обеспечения информационной безопасности в гражданских, публичных сферах в значительной мере связаны с относительно недавним появлением данной  проблематики в России. Но те, кто раньше пошел по этому пути, изъявляют всё меньше готовности нам помогать. Напротив, от них всё больше можно ожидать различного противодействия.

Дальнейшее обострение международных отношений несёт существенные угрозы функционированию российской кредитно-финансовой сферы  – и банков, и платёжных систем. Контрмеры, которые не были готовы заранее, в настоящее время разрабатываются в сжатые сроки. Даже в случае успеха их внедрение потребует определённого времени. До тех пор отсутствие уверенности в безопасности массовых сервисов потребует более сдержанной дипломатии.

Любая российская компания имеет счёт в банке, и подавляющее большинство расчётов совершает в безналичной электронной форме. В перечне жертв зарубежных санкций могут оказаться кто угодно: это уже случилось и с крупными государственными банками ОАО «Сбербанк России», ОАО «Банк ВТБ», и со сравнительно небольшими ОАО «СМП-Банк» и ОАО «АБ «Россия»». Одним из таких последствий стало блокирование расчётов по эмитированным некоторыми из этих банков пластиковым картам международных платёжных систем VISA и MasterCard.

ЗАБЛАГОВРЕМЕННЫЙ ОТВЕТ НА НОВЫЕ УГРОЗЫ

Потенциальной угрозой для российских банков и платёжных систем являются новые зарубежные санкции, которые могут быть поддержаны иностранными производителями программного обеспечения. Возможна приостановка не только поставок новых продуктов, но и обновления уже работающих версий. 

Следует помнить, что программное обеспечение автоматизированных банковских систем и дистанционного банковского обслуживания во многом базируется на продукции Oracle, Microsoft, Symantec, Cisco и других иностранных компаний, даже если они работают в России через дочерние организации. Эти компании в один «прекрасный» момент могут, ссылаясь на санкции, прекратить поддержку своих продуктов компаниям, попавшим под санкции.

Из-за этого критически возрастут уязвимости, которыми способны воспользоваться злоумышленники. Но налицо будет и угроза блокировки извне операционной деятельности банка, которая сделает невозможной расчёты между клиентами, в частности, торговыми предприятиями. Например, сети продуктовых магазинов со складом.

В результате осуществления этой угрозы торговым предприятиям придётся платить штрафы по договорным обязательствам, прекратится поступление продукции на прилавки, начнётся отток покупателей и уменьшение товарооборота. Меры противодействия со стороны России, такие, как требование размещения центров процессинга на территории страны, могут также негативно повлиять на торговлю. Невыполнение этого требования может обернуться убытками, а выполнение – лечь на покупателей, пользующихся для оплаты банковскими картами, грузом удорожания покупок. Эти новые угрозы нужно осознать, чтобы в кратчайшие сроки выработать меры противодействия.

Список перечисленных угроз, далеко не полон. Эти угрозы актуализировались достаточно неожиданно, словно их нельзя было прогнозировать заранее. Причина, возможно, в том, что прежде преобладал узкотехнический подход к информационной безопасности финансовых расчётов, без учёта политических аспектов, в особенности международных. Пришла пора пересмотреть устаревший подход, и переоценить приоритеты.

 

Смотрите также

Подпишись на новости!
Подписаться