
Пасынки системы
О том, какая славная информационная безопасность в «большой пятерке» мы слышим часто и практически отовсюду. Но мы живем в мире, где кроме «большой пятерки» есть еще около 300 банков, существующих в других реалиях.
ЦИТАТА ИЗ ГОСТА И ДВА ПРОЦЕССА
Начнем с цитаты из ГОСТ Р 57580.1-2017: «…для финансовых организаций угрозы безопасности информации представляют существенную опасность, а обеспечение защиты информации является для финансовых организаций одним из основополагающих аспектов их деятельности».
Что происходит в реальности в «малых и средних» банках? Как бизнес воспринимает фразу «обеспечение защиты информации является для финансовых организаций одним из основополагающих аспектов их деятельности»? Чтобы понять, рассмотрим всего пару процессов – мониторинга фродовых операций и проведение внешнего аудита по 382-П.
МОНИТОРИНГ ФРОДА
Мониторинг фрода - одно из направлений информационной безопасности, с необходимостью которого бизнес соглашается, но при этом совершенно не понимает, зачем нужна автоматизация процесса, если все можно сделать «руками». И финансировать внедрение Анти-фрод системы бизнес не спешит.
Пока Анти-фрод «семимильными шагами проносится по просторам банковского сообщества», усиливая свои позиции изменениями в законодательстве (167-ФЗ от 27.06.2018), подразделения ИБ продолжают «околачивать» пороги бизнеса, в очередной раз объясняя необходимость внедрения Анти-фрод системы. Как правило, в «малых и средних» банках, ответственность за обеспечение ИБ (в полном объеме) возлагается всего на одного-двух сотрудников. Так происходит потому, что владельцы «малых и средних» банков оплачивают содержание подразделения ИБ из собственного кармана, а не за счет государственной поддержки, и согласование бюджета на дополнительного сотрудника – это боль. Следовательно, ни о каком усилении служб ИБ квалифицированными специалистами речи не идет. Да и на повышение квалификации имеющихся сотрудников за счет банка рассчитывать не приходится. По этой причине теми же сотрудниками осуществляется и выполнение требований в части противодействия хищению денежных средств «подручными» средствами.
Банковский антифрод – молодая профессия, которая не преподается в вузах даже минимально. И основные инструменты для этих Анти-фрод систем мы обычно берем из трех «источников»:
- аудит – дает нам различные инструменты ревизий, сплошных и выборочных проверок, инспектирований и т.д.;
- криминалистика – содержит богатый инструментарий для выявления мошенничества;
- аналитика – позволяет использовать математический аппарат для разработки антифрод-инструментов и оценки их эффективности.
Банковский «средний и малый» бизнес идет другим путем, формируя менеджмент ИБ из одного-двух человек, и, как правило,ожидает, что эти «полтора» специалиста закроют ВСЕ дыры в рисках информационной безопасности бизнеса. И что получается?
Из года в год со стороны Регулятора идет ужесточение требований к информационной безопасности. Безусловно, это не прихоть - таковы реалии современного мира. Государству приходится повышать защищенность банков, так как банковский сектор – это кровеносная система страны, и ее нужно защищать и содержать в оптимальном состоянии.
Но вот вопрос: правильно ли выбрана методика наведения порядка? Да, она вполне подходит банкам с господдержкой, которым набрать штат для службы ИБ, обучить сотрудников, выделить дополнительное финансирование, утвердить бюджет на защиту инфраструктуры намного проще, чем их «малым и средним» братьям. А что делать этим самым «малым и средним»? Так и хочется назвать их пасынками финансовой сферы!
Все чаще и чаще слышу от менеджеров ИБ «малых и средних» банков, что регулятор не торопится работать с бизнесом, что безопасники постоянно сталкиваются с непониманием, доказывая руководству необходимость той или иной системы, риски от невнедрения которой очень высоки.
ПРО 382-П
Теперь про внешний аудит по 382-П. Сама идея независимого аудита, безусловно, полезна, такой аудит объективно показывает уязвимости внутри инфраструктуры, которые штатные безопасники порой заметить не могут. Но вот вопрос регулятору: кто несет ответственность за этот внешний аудит или за тот же пен-тест? И другой вопрос, который хочется дважды подчеркнуть: почему нет аккредитации организаций на проведение данного вида работ?
Получается, раз вышли изменения в законодательстве, и оценка ИБ поменяла вектор в правильном направлении, то теперь бизнесу выгоднее нанять для определенного вида работ компанию, компетентность которой подтверждена лицензией. И это хорошо. Но вот парадокс: таких подрядчиков становится все больше и больше, а вот их компетентность и профессионализм ничем не подтверждаются.
В итоге менеджмент ИБ постоянно борется с ветряными мельницами, доказывая бизнесу и свою состоятельность, и адекватность требований тех же регуляторов. А хотелось бы, чтобы бизнес выступал в роли заказчика по отношению к менеджменту информационной безопасности.
И тут возникает следующий вопрос: как быть в такой ситуации менеджменту ИБ «малых и средних» банков? Тут, как мне кажется, нужна как раз помощь со стороны регуляторов. Необходимо их активное участие по взаимодействию с бизнесом. Это могут быть ежегодные форумы, конференции на площадках регуляторов и т.д.
Такие форумы и конференции в формате «Бизнес–Регулятор» позволят упростить взаимодействие между бизнесом и подразделениями ИБ и, соответственно, сократить временные и другие издержки при принятии решений в сфере ИБ.
Автор: Денис Антонов, эксперт