Алексей Лукацкий об итогах XI Уральского форума
Наверное, тон задал г-н Скобелкин, который показал крупными мазками на одном слайде все, что делается в сфере информационной безопасности, и элементы этого слайда были раскрыты в течение четырех дней в различных докладах.
С точки зрения Финтеха — это наиболее свежая тема, которую в прошлом году только начинали озвучивать. За прошедшее время были сделаны серьезные изменения, и, если сравнивать нынешнее положение дел в этой сфере с прошлым годом, то есть серьезные подвижки и в части мастерчейна, и СБП, и биометрической идентификации, о которой достаточно много говорилось в рамках этого форума. Наверное, учитывая, что речь идет о регулятора, какие-то вещи не нашли пока свое отражение в конкретных нормативных актах и проектов, то это, наверное, будет заделом на будущее.
С точки зрения цифрового профиля, я много говорить не буду — обращу только внимание на фразу О. Скоробогатовой, что ЦБ смотрит в сторону повсеместного внедрения СКЗИ класса КС3, как минимум на уровне каналов связи. Это для многих не то, что будет сюрпризом, но заставит пересмотреть те решения, которые раньше принимались, поскольку раньше базовым считался КС2.
С точки зрения мастерчейна — эту тему, наверное, озвучили как мэйнстрим в рамках Финтеха, но не было ни одного выступления и доклада, где она раскрывалась подробно с акцентом на вопросы обеспечения безопасности. Единственное, что хотелось бы отметить — я думаю, это будет первый пример использования российской криптографии в официальном проекте блокчейна на территории Российской Федерации.
Также упоминался маркетплейс как новое веяние в части выбора и продажи банковских продуктов для клиентов. То есть, если сейчас приходится пользоваться различными агрегаторами, то подразумевается, что будет создана некая витрина, и можно предположить, что в этом году появится не только прототип этой системы, но и некие требования по информационной безопасности к этой системе. Поэтому как минимум стоит смотреть в сторону безопасности облаков, больших данных, аутсорсинга.
Тема ЕБС была, наверное, одной из самых животрепещущих и обсуждаемых, те секции, которые были ей посвящены, были особенно живыми. Лично у меня изначально возникал вопрос, и он остался после форума — где в этой формуле ФСТЭК? Почему-то ни в одном докладе его не упоминали, хотя ФСТЭК должен участвовать очень активно в защите персональных данных.
С точки зрения предлагаемых сценариев защиты данных, передаваемых в ЕБС — обсуждалось три сценария: облачное, о котором говорил ЦФТ, типовое, о котором говорил Ростелеком, и собственное решение, о котором рассказывал банк «Тинькофф». У каждого этого варианта есть свои плюсы и минусы, и каждый банк в конечном счете должен выбирать, опираясь на свое мнение, в том числе и на финансовые факторы. В кулуарах звучали вопросы — где здесь выгода для банков, и насколько проработана проблема доверия, кто, к примеру, собирает данные, и насколько можно им доверять. На мой взгляд, окончательных ответов я не услышал, и в кулуарах я убедился, что не только у меня есть сомнения по этому поводу. С другой стороны, в любом случае это обязательные требования, которые придется выполнять.
Возникали вопросы и по модели угроз. На мой взгляд, этой теме тоже не было уделено достаточного внимания, ограничилось все заверениями, что эксперты из разных организаций очень много времени и сил посвятили разработке различных моделей угроз. Главное же, что следует понимать, что вы не сможете решить все проблемы в сфере ИБ, приобретя некое готовое решение. Технологические процессы вам придется реализовывать самим, как и защитные мероприятия.
Теме 382-П внимания было уделено гораздо меньше, чем раньше, отчасти потому, что в прошлом году о ней как раз говорилось очень много. Последняя редакция Положения вступила в силу летом прошлого года, многие эксперты ИБ успели ее прочитать. Но остаются вопросы по методике проведения анализа уязвимостей и пентестов, методике анализа уязвимостей банковского платежного софта, особенно учитывая, что взять за основу методику ФСТЭК невозможно. Отсутствия сертификации KSM, которая требуется международными платежными системами с 2022 года — это тоже проблема, поскольку у нас нет лабораторий, которые могли бы осуществлять. Соответственно, должно вложиться государство, чтобы такую лабораторию создать, а времени остается не так уж много.
На мой взгляд, наконец-то четко был получен ответ, что, несмотря на различные проекты и утвержденные нормативные документы о том, что организации должны отправлять информацию об инцидентах в ФИНЦЕРТ и ГОССОПКУ параллельно, можно избежать этого. Достаточно отправлять по одному адресу, уведомив при этом НЦКЦИ.
С точки зрения ФИНЦЕРТ, был интересный рассказ об АСОИ и о планах по развитию этой системы. Часть того, о чем говорилось, освещалось на прошлогоднем форуме. Единственное, что можно тут сказать — это то, что у бюджетной организации всегда есть свои ограничения, поэтому многие планы часто озвучиваются с временным лагом. С другой стороны, были заявлены интересные вещи, которые позволят автоматизировать процесс взаимодействия между кредитными организациями и АСОИ. У нас, правда, произошла дискуссия на тему, что делать, если все банки будут отправлять весь объем информации об инцидентах в АСОИ, не придется ли в этом случае создавать другие организации, чтобы «разгрузить» систему. Но пока это лишь мысли о будущем, поскольку пока АСОИ вполне справляется с объемом информации, поступающей от банков.
С точки зрения противодействия фроду, был очень хороший доклад Артема Сударенко о том, как антифрод-решения помогают финансовым организациям предотвращать финансовые потери. Это то, что можно показать бизнесу — это один из нечастых случаев, когда безопасность действительно может повлиять на объем финансовых потерь в сторону уменьшения. Правда, это в случае, если фрод находится внутри ИБ-подразделения, если ое вынесен отдельно, то это будет темой соответствующего департамента, не имеющего отношения к ИБ. Но во многих организациях такого разделения нет.
Еще одна тема — операционные риски. Ее обсуждали и в прошлом году, но теперь есть положение Банка России, подробное расписывающее, что такое операционные риски с точки зрения кибербезопасности, и самое главное - подробно расписывающее, как следует управлять киберрисками. То есть, появился отдельный документ, в котором киберрискам уделено огромное внимание, и это тоже драйвер, возможность показать руководителям и собственникам банков, какую роль теперь играет информационная безопасность в жизни банков. До них следует донести, как будет вычисляться размер капитала, зарезервированного под киберриски, а любой зарезервированный капитал — это непосредственно участие топ-менеджмента финансовой организации, его компетенция. Налицо прямая связь между безопасностью и деньгами, между направлением по обеспечении кибербезопасности и бизнесом.
Есть легко выглядящая формула, которая позволит вам вычислять, сколько вам придется изымать денег из капитала для покрытия киберрисков. Но если раньше ЦБ собирал о вас информацию, опираясь только на данные 202-ой и 203-ей форм отчетности, то сейчас мониторинг осуществляется сразу по нескольким направлениям, и была очень хорошая часть про то, как реализуется жизненный цикл ИБ с точки зрения надзора. То есть, выбирается сфера регулирования, затем соответственно выбираются мероприятия для включения надзор, как он будет осуществляться — в дистанционном режиме, с помощью инспекций и т. д. При этом будет выноситься оценка по инцидентам и по суммам похищенных средств, чтобы регулятор мог получать максимально полное представление о том, как обстоит дело с информационной безопасностью в той или иной организации. В зависимости от выставляемой регулятором оценки, организация помещается в соответствующий профиль риска. Иными словами, налицо риск-ориентированный подход, то есть не все поднадзорные субъекты будут причесываться под одну гребенку.
Интересная фраза прозвучала от представителя ФСБ, что не надо больше отправлять отчетность по СТО БР в ФСБ и ФСТЭК. Многие до сих пор это делают, поскольку формально СТО БР не отменен, при этом ни ФСБ, ни ФСТЭК с этими данными ничего не делают. У вас есть один канал — ФИНЦЕРТ. В то же время объем отчетности по данной теме возрастает, увеличилось количество форм отчетности. И в перспективе после принятия положения об управлении операционными рисками появится еще одна отчетность по событиям операционного риска. То есть, контроль возрастает, но от этого никуда не деться. ЦБ говорит об этом на протяжении уже многих лет.