XII Уральский форум
Информационная безопасность финансовой сферы

Пост-релиз

XII Уральский форум «Информационная безопасность финансовой сферы»

С 17 по 21 февраля 2020 года при участии государственных регуляторов в области информационной безопасности состоялся XII Уральский форум «Информационная безопасность финансовой сферы». Организатором мероприятия выступил Банк России, оператором — Медиа Группа «Авангард».

В деловой программе XII Уральского форума приняли участие представители руководства Банка России, а также Генеральной прокуратуры РФ, МВД России, Минкомсвязи России, Минобрнауки России, Минфина России, Роскомнадзора, ФСБ России. Участниками ряда дискуссий, заседаний и круглых столов стали представители международных организаций и центральных банков зарубежных стран. Форум является основной площадкой Банка России для обсуждения с участниками рынка и зарубежными экспертами основных направлений развития информационной безопасности в кредитно-финансовой сфере.

В мероприятии приняли участие более 650 человек. Большинство составили руководители и ведущие специалисты департаментов ИБ в банках, некредитных финансовых организациях и платёжных системах, представители российских и зарубежных регуляторов, компаний-разработчиков и интеграторов решений и услуг в сфере защиты от киберугроз, образовательных учреждений и СМИ.

Благодаря открытию новой конференц-площадки Free Zone программа форума проходила двумя полноценными потоками. Это позволило обсудить значительно больше ключевых тем, провести серию мастер-классов и демонстраций новых технологий для решения задач служб ИБ. Помимо основной программы в ходе форума состоялись встречи представителей российских и зарубежных регуляторов финансовой отрасли стран БРИКС и ЕАЭС, которые были посвящены международному сотрудничеству в борьбе с киберпреступностью.


Основные темы XII Уральского форума

  • Развитие риск-ориентированного регулирования в финансовой сфере
  • Новые требования к ИБ финансовых организаций и практика их выполнения
  • Стратегия и методы борьбы с социальной инженерией
  • Кадровое обеспечения отрасли специалистами ИБ
  • Взаимодействие финансовых организаций с правоохранительными органами
  • Развитие открытых интерфейсов (Open API) и применение технологий распределённого реестра
  • Вопросы ИБ в контексте Цифровой экономики РФ
  • Международный опыт регулирования ИБ и управления операционными рисками
  • Построение эффективного центра мониторинга ИБ
  • Оценка качества внешнего аудита ИБ
  • Технологии аутентификации при проведении финансовых операций
  • Вопросы ИБ в работе Системы быстрых платежей
  • Противодействие мошенничеству в платёжных системах
  • ИТ-трансформация деятельности Банка России
  • Перспективные технологии обеспечения ИБ
  • Построение процесса разработки ПО в современных условиях
  • Аутсорсинг услуг информационной безопасности для средних и малых банков

В заключительный день Уральского форума, 21 февраля, впервые был проведён Молодёжный день. Его участниками стали команды учащихся по специальности «Информационная безопасность» из 10 вузов со всей страны. Участники Молодёжного дня прослушали курс лекций, продемонстрировали свои навыки в формате киберучений и представили свои решения, направленные на противодействие кибермошенникам.

На протяжении Уральского форума представители Банка России сделали ряд важных анонсов и заявлений о мерах регулятора, направленных на повышение киберустойчивости российских финансовых организаций, развитие безопасных цифровых финансовых сервисов и укрепление банковской системы страны. Предлагаем вашему вниманию некоторые из наиболее значимых заявлений.

 


Значимость информационной безопасности растет

Заместитель председателя Банка России Дмитрий Скобелкин назвал развитие цифровой среды и высокую скорость развития финансовых технологий факторами, которые повышают значимость информационной безопасности финансового рынка в наше время.

По словам зампреда, развитие цифровой среды — это непрерывное появление и внедрение новых цифровых технологий. В отношении некоторых из них Банк России уже устанавливает требования по информационной безопасности — это единая биометрическая система, система быстрых платежей и платформа Маркетплейс.

«В будущем требования к киберустойчивости финансовой экосистемы мы будем формулировать с учётом глобальных трендов развития финтеха. В первую очередь таких, как использование технологий распределённого реестра, развитие удалённого доступа, Big Data, искусственного интеллекта и „интернета вещей“ как элемента платёжного пространства», — добавил Д. Скобелкин.


Тема персональных данных требует законодательных изменений

Вопрос защиты персональных данных и ужесточения ответственности за их утечки давно назрел. По словам Дмитрия Скобелкина, в Российской Федерации нет уголовной ответственности для юридических лиц, которые виновны в таких утечках. А во многих странах такая форма наказания применяется. Увеличение штрафов может стать одной из мер ужесточения ответственности для юридических лиц. Конечно, формат будет обсуждаться. Однако зампред Банка России считает, что необходимо ввести уголовную ответственность для виновных.

Регулятор направил предложения, касающиеся защиты персональных данных граждан, в Совет безопасности РФ. Параллельно Банк России обратился в Ростелеком и Минкомсвязи для того, чтобы в оперативном порядке начать работу над необходимыми изменениями в законодательстве.

 


Риск-ориентированный подход к безопасности

Базовый стандарт по информационной безопасности должен соблюдаться в любой кредитной организации, но при этом необходимо понимать, что каждый банк обладает своей специализацией, банки отличаются по размерам и масштабам деятельности. И в зависимости от этого должна развиваться ИБ.

Банк России будет пропагандировать риск-ориентированный подход к безопасности. Одна из форм такого подхода — проведение киберучений. «Если мы будем видеть проблемы, которые возникают у участников киберучений, это станет предметом для дальнейших наших действий», — сказал Д.Скобелкин. При этом он отметил, что речь не идёт о санкциях со стороны регулятора. Под риск-ориентированным подходом подразумевается наблюдение за банками, совместная работа над профилактикой проблем и недопущение их реализации.

«Регулирование и информационная безопасность — это единое целое. Мы безусловно будем учитывать риски информационной безопасности в надзорных рисках. Это станет одним из основных и очень важных направлений, которые мы будем совместно с надзорным блоком развивать», — сказал Д.Скобелкин.

Первый заместитель Председателя Банка России Дмитрий Тулин дал свою оценку взаимодействию по вопросам обеспечения ИБ в рамках Центрального банка: «Я представляю блок, который в целом отвечает за комплексную оценку риск-профиля каждой кредитной организации, что включает в себя оценку киберустойчивости, комплаенс-риски. И мы в данном случае очень тесно взаимодействуем как одна команда. Потому что все аспекты деятельности участников финансового рынка могут сказаться на их финансовой устойчивости, — подчеркнул Д.Тулин. — У нас общие подходы и главный заключается в том, что это не карательные меры».


Киберриски — транснациональная проблема

Решить проблему киберрисков в отдельно взятой стране или группе стран практически невозможно. Поэтому Банк России настроен на то, чтобы в его мероприятиях участвовало максимальное число иностранных гостей, представителей зарубежных регуляторов, специальных организаций, которые занимаются проблематикой информационной безопасности.

«Мы со своей стороны принимаем самое активное и непосредственное участие в международных форумах, которые проводятся Всемирным банком, Базельским комитетом и иными международными организациями», — отметил Дмитрий Скобелкин.

В настоящее время практически со всеми партнерами стран ЕАЭС подписаны договора об обмене информацией, налажена хорошая практика взаимодействия. Зампред Банка России выразил надежду на то, что в этом году будут завершены все подготовительные мероприятия и подписаны все соглашения в рамках стран БРИГС.

Российский регулятор открыт для сотрудничества в области информационной безопасности для любой страны, независимо от её юрисдикции. «В данном случае вопрос находится вне политики», — уверен Д.Скобелкин.


Высокотехнологичный и образованный регулятор

Топ-менеджеры Банка России из разных департаментов в ходе очередной сессии обсудили, что должен делать регулятор, чтобы оставаться высокотехнологичным, образованным, хорошо знающим и глубоко понимающим все процессы, происходящие на финансовых рынках и тем самым способствовать решению всех актуальных задач совместно с участниками рынка.

Для изучения всех инноваций в рамках ЦБ был специально создан Департамент финансовых технологий. Департамент национальной платежной системы также работает в коллаборации с технологическими партнерами.

Директор Департамента национальной платежной системы Банка России Алла Бакина уверена, что регулятору необходимо не только оценивать все процессы, происходящие на внутреннем рынке, но и анализировать мировые тенденции, видеть общие тренды.

Начальник Управления анализа и регулирования в сфере финансовых технологий Банка России Дмитрий Дубынин отметил, что технологическое развитие всегда происходит быстрее, чем развитие регулирования, тем не менее, Центробанку необходимо своевременно реагировать на появление новых технологий. У банка есть для этого специальная ассоциация, которая работает с рынком, рабочие группы по разным проектам, а также такой механизм, как регулятивная песочница.

Заместитель директора Департамента обработки отчетности Банка России Станислав Короп добавил, что Центробанк сильно продвинулся в области сбора и обработки отчетности. Так, в 2018 году банк ввел для некоторых своих подконтрольных организаций новый стандарт отчетности — XBRL.

Заместитель директора Департамента безопасности Банка России Андрей Каршин пояснил, что в результате долгого взаимодействия между подразделениями ИТ и ИБ коллеги выработали схему наиболее эффективного взаимодействия. Она заключается в том, что вопросы ИБ должны учитываться при разработке того или иного ИТ-решения уже на этапе постановки задачи и закладываться в архитектуру решения.


Главная мера — совершенствование законодательства

На XII Уральском форуме Банк России представил ежегодный отчёт по операциям без согласия клиента. Заместитель начальника департамента информационной безопасности БР Артём Сычёв привел всю соответствующую статистику, рассказал о наиболее распространенных способах хищения — лидерство по-прежнему сохраняется за хищениями через системы ДБО.

А.Сычёв рассказал о тех мерах, которые регулятор собирается предпринять, чтобы «статистика всё-таки улучшалась, а не скатывалась в пропасть. Прежде всего это совершенствование законодательства». В проработке сейчас находятся два законопроекта: Закон о блокировках сайтов и Закон об обмене информацией между телеком-операторами и банковскими организациями. Продолжается развитие нормативной базы.

Другая важная мера — повышение финансовой грамотности. «Мы нацелены на то, что в эту работу активно будем вовлекать финансовые организации. Они и сейчас обязаны это делать, но более широкое их участие — это один из наших приоритетов», — подчеркнул А.Сычёв.

Еще одна эффективная мера — совершенствование информационного обмена на базе FinCERT, который стал не просто источником надзорной информации, а прежде всего источником информации о том, как обстоят дела в отрасли.


Банк России заявил о пятикратном росте ИБ-нарушений

Банк России обнаружил, что количество нарушений кибербезопасности банками и другими финансовыми организациями выросло более чем в пять раз. По словам главы отдела проверок и контроля применения информационных технологий ФинЦЕРТ Банка России Александра Дудки, в прошлом году ЦБ РФ выявил в банках более 1100 различных нарушений, связанных с информационной безопасностью. В 2018 году их было лишь около 200.

Главные причины нарушений — неосведомленность и низкая ответственность банковского персонала, недостаточное внимание со стороны служб внутреннего контроля, а также формальное отношение к этому вопросу со стороны собственников и руководителей кредитных организаций.


Необходимо взаимодействие

Представители Банка России, Генеральной Прокуратуры и МВД в ходе форума много говорили о необходимости взаимодействия финансовых организаций и правоохранительных органов. Несмотря на неутешительную статистику по итогам прошлого года, такое взаимодействие позволяет увеличить число пресеченных неправомерных действий. Так, в 2019 году департамент ИБ заблокировал в 5 раз больше фишинговых ресурсов, чем в 2018 году — более 10 тыс. Заблокированы также более 1100 ресурсов, распространяющих вредоносное ПО и более 13 тыс. телефонных номеров, с которых мошенники пытались получить доступ к пользовательским данным.

Кроме того специалисты технической лаборатории Департамента информационной безопасности БР по запросу правоохранительных органов проводят исследования носителей информации, подвергшихся воздействию вредоносного ПО.

Еще одной бедой современного цифрового общества стали финансовые пирамиды, когда сомнительные инвестиции, в том числе криптовалютные, привлекаются через интернет, причем организаторы пирамид, как и прежде, обещают участникам солидный заработок «на халяву». О методах противодействия такому виду мошенничества рассказал глава департамента Банка России по противодействию недобросовестным практикам Валерий Лях.


Тематические сессии

В рамках форума состоялось много содержательных тематических сессий, посвященных различным вопросам информационной безопасности.

На одной из них речь шла о построении эффективного центра мониторинга событий информационной безопасности (Security Operations Center). Аналитик центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар» Алексей Павлов показал примеры правильных и неправильных задач, которые организация ставит перед собственным или аутсорсинговым SOC.

SOC может выполнять как функции только мониторинга или реагирования, так и полного цикла расследования. Для его эффективной работы специалистам SOC необходим диалог с подразделениями заказчика, отвечающими за бизнес и ИТ.

Другая сессия была посвящена идентификации и аутентификации пользователя в банковских системах. Опытом применения в своем банке аутентификации и электронной подписи поделился заместитель начальника департамента защиты информации АО «Газпромбанк» Сергей Горленко. Заместитель генерального директора компании «Аладдин Р.Д.» Алексей Сабанов представил аутентификацию как основу доверия online-транзакциям.

«Система быстрых платежей: безопасность или иллюзия?» — этот вопрос стал центром обсуждения еще одной тематической сессии. К системе быстрых платежей как к системе национального масштаба предъявляются максимальные требования безопасности. Чтобы их выполнять, используются самые современные и актуальные международные практики по обеспечению ИБ. Безопасность в системе заложена на всех возможных уровнях: на транспортном, прикладном, системном.

Две специализированные сессии были посвящены технологиям распределенного реестра и современным методологиям разработки ПО. Большинство участников высказали мнение, что при выборе между процессами гибкой разработки и классического waterfall организациям нужно уметь совмещать у себя эти подходы.


«Мнение отрасли будет услышано»

В заключении третьего дня форума бизнес-консультант по ИБ Алексей Лукацкий подвел своеобразный итог всех прошедших выступлений. По его убеждению, сегодня концепция ИБ-аудита регулятора меняется в сторону непрерывного мониторинга, проверки реализуются с помощью разных каналов, к которым подводится законодательная база: пентесты, анализы защищенности, киберучения, информирование ФинЦЕРТа об инцидентах и рисках. Меняются и ключевые показатели, по которым будут оцениваться финансовые организации, не только кредитные, — для того, чтобы у них не было возможности манипулировать отчетностью, завышая свой уровень оценки соответствия. Появляются новые механизмы отчетности, связанные с анализом данных об инцидентах, «бумажная» составляющая сдвигается на второй план.

«Далеко не все довольны теми большими нормативными изменениями, которые готовит Банк России. Наверное, это объясняется тем, что мы сейчас находимся на переходе от комплаенс-ориентированного подхода к ИБ в сторону риск-ориентированного, и появление новых полномочий регулятора как раз означает появление новых документов, которые раньше ничем и никем не закрывались. К счастью, различные формы взаимодействия с регулятором позволяют нам надеяться, что мнение отрасли будет услышано в новых нормативных актах или в обновлениях существующих, которые готовит ЦБ», — резюмировал спикер.

Важнейшие события и выступления Уральского мероприятия широко освещались в ряде федеральных, региональных и отраслевых СМИ.

 

Подробная информация, материалы и фотоотчёт с XII Уральского форума публикуются на официальном сайте: https://ib-bank.ru/ural

Контакты для СМИ:
Анна Воробьёва
+7 916 942-42-58
annavorobeva@avangardpro.ru