Decorltd.ru

ООО «Декор»
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Информационная безопасность в цифровом банке

Информационная безопасность в цифровом банке

Банки с каждым годом сокращают количество отделений, предпочитая развивать цифровые каналы взаимодействия с клиентами. По данным «Коммерсанта», в прошлом году российские банки закрыли 10% офисов. «Тинькофф Банк», пионер цифровизации и дистанционного обслуживания в России, позиционирует себя как ИТ-компанию, «Сбербанк» — как «уже не совсем банк». И дело не только в том, что технологические компании выше котируются на бирже: границы между банками, ИТ, ритейлом и финтехом чем дальше, тем больше стираются. Это же касается и внутренних бизнес-процессов.

У банковской цифровизации два базовых преимущества — удобство (для самого банка и для клиентов) и экономия. В числе минусов — новые риски информационной безопасности, включая киберугрозы, которые сопутствуют ИТ-компаниям. В этом посте поговорим о цифровизации банков как раз в контексте обеспечения ИБ. Но для начала — о тенденциях.

Миграция в цифру

Трансформация банков — вопрос не моды, а конкурентноспособности. Когда клиенты «живут» в смартфонах, в соцсетях, странно бороться за них в офлайне. У банков, входящих Топ-50, практически все операции, за исключением разве что банковских ячеек, дублируются онлайн. Та же процедура получения кредита, даже ипотечного, донельзя упрощена и диджитализирована. Причина, конечно, не в том, что банки стремятся облегчить жизнь клиентам. Просто сейчас банкам доступно множество источников информации о них — от кредитной истории до «резюме» правоохранительных органов, а также средства аналитики с применением AI (искусственного интеллекта). Этот инструментарий упрощает и ускоряет процедуру проверки кредитоспособности клиента, а в итоге и выдачу денег.

Учитывая, что у некоторых банков доля дистанционных контактов с клиентами доходит чуть ли не до 100%, необходимость сокращения физических офисов очевидна — их содержание становится нерентабельным. Так, например, «Райффайзенбанк» в ближайшее время собирается закрыть четверть офисов, а в некоторых городах оставит только удаленный формат обслуживания. Вообще, рост количества необанков — банков без отделений, — говорит о том, куда всё движется.

Еще одна причина банковской диджитализации и финансовых вливаний в нее — необходимость создания собственных цифровых продуктов: мобильных приложений, систем дистанционного банковского обслуживания, инструментов для анализа больших данных и сбора статистики, развития веб-сайтов и т. д. Здесь, как и в ИТ, важной стала скорость вывода новых продуктов на рынок.

Потребность в быстром запуске новых финансовых сервисов вынуждает банки прибегать к стратегии ИТ-компаний, специализирующихся на разработке софта, осваивая и соответствующие методики — Agile и CI/CD. Для примера, у того же «Тинькофф Банка» есть собственная сеть центров разработки, где обучаются молодые программисты из регионов — с прицелом на будущее включение в штат. «Сбербанк» еще в 2011 году создал отдельную ИТ-компанию, «СберТех», которая занимается исключительно развитием цифровой экосистемы банка. Цифровая конкуренция между первым российским необанком и мегакорпорацией, выросшей из «Гострудсберкасс», — это то, что среди прочего двигает цифровизацию вперед. Российская банковская сфера по темпам цифровой трансформации, как отмечает аналитическое агентство McKinsey, — одна из лучших в мире.

Другой вопрос, насколько этот «цифровой тур де форс» совпадает с усилиями банков по обеспечению информационной безопасности инфраструктуры. И нет ли между ними тревожного (для клиентов) зазора.

Нерадужная статистика

По данным ФинЦЕРТ — Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере при ЦБ РФ, в прошлом году на российские банки было совершено 700 кибератак. 180 из них — нападения с целью извлечения финансовый выгоды, 100 — DDoS-атаки. Кроме этого, на банки и клиентов было направлено 70 кампаний по распространению вредоносных программ. ФинЦЕРТ зафиксировал 550 интернет-ресурсов, распространяющих вредоносное программное обеспечение, и ВПО-серверов. Ущерб российских банков от атак хакеров составил 58 млн рублей.

Главный метод киберпреступников — социальная инженерия: злоумышленники звонят клиентам как «представители банка», требуя сообщить номер карты (PAN), одноразовый пин-код (OTP) или CVV/CVC-код. Другой популярный инструмент — распространение ВПО; при этом для атак на финансовые организации и клиентов используются email-рассылки с зараженными файлами или гиперссылками на сайты с вредоносами, в том числе с программами-вымогателями.

Немалую роль в той же социальной инженерии играют утечки персональных данных клиентов (ПДн). Новости об очередном «сливе» появляются регулярно. Один из недавних произошел в конце октября 2019: по сообщению «Коммерсанта», на черном рынке выложили на продажу базу данных кредитных клиентов «Сбербанка» с подробными ПДн — паспорта, телефоны, адреса, сумма на счете, сумма остатка и даже аудиозаписи разговоров с банком; в базе содержался 1 млн записей. Годом ранее в общий доступ утекла информация о 420 тыс. записей с ФИО сотрудников «Сбербанка» и логинами для входа в операционную систему; логины, как правило, совпадали с адресами служебной электронной почты. Из других примеров — недавняя утечка данных 3,5 тысяч держателей кредиток «Альфа-банка» и еще столько же — клиентов «Альфастрахования».

В чем причины?

По данным ФинЦЕРТ, большинство случаев реального ущерба для банков — финансовых хищений, утечек клиентских данных и пр. — происходит по трем причинам:

  • Многочисленные нарушения федеральных законов и нормативных актов регулятора в части обеспечения защиты информации — того же Положения № 382-П.
  • Отсутствие должного внутреннего контроля внутри банков и других финансовых организаций (ФИ) по вопросам ИБ (например, не анализируются события безопасности и не устанавливаются соответствующие инструменты).
  • Недостаточная осведомленность сотрудников об угрозах ИБ, включая методы социальной инженерии.

Охотнее прочего банки нарушают Положение № 382-П (447 случаев), которое определяет правила обеспечения безопасности при денежных переводах. Нарушения 382-П разнообразны: нет разграничения прав доступа к защищаемой информации, не выявляются инциденты, не контролируются обновления ПО и актуальные уязвимости, и так далее. В числе других законов и актов, которыми пренебрегают российские банки: № 161-ФЗ, № 395-1, № 325-ФЗ, № 672-П, № 683-П и № 684-П.

В качестве примера, к чему приводят нарушения требований регулятора, ФинЦЕРТ упоминает одну неназванную кредитную организацию, на которую в конце 2018 года была совершена хакерская атака. В результате мошенники осуществили несколько несанкционированных денежных переводов на общую сумму 5,5 млн рублей и 15000 евро. На этом фоне банкам приходится думать не только о защите от прямых внешних атак, но также и над противодействием внутреннему фроду (в том числе с помощью внедрения UBA-программ — User Behavior Analytics), мошенничеству с биометрическими данными, обходу двухфакторной аутентификации и не только.

Заключение

Трансформация банков в ИТ-компании — история, которая, кроме оптимизации технологических процессов, требует и не менее активной оптимизации ИБ. Чем больше банки цифровизуются, тем более реальными для них становятся угрозы, характерные для ИТ-рынка вообще. Пренебрежение рисками информационной безопасности может повлечь для банков как финансовые, так и репутационные убытки. Кроме этого, несоблюдение нормативов, федеральных законов и стандартов ЦБ РФ грозит штрафами, что, в сочетании с уроном от злоумышленников, может поставить банк на грань банкротства.

Один из эффективных способов защитить банк от угроз — обратиться к аудиторской компании, которая может провести экспертную оценку соответствия стандартам ИБ, включая полный аудит информационной безопасности ИТ-инфраструктуры и тест на проникновение, и дать подробные рекомендации по повышению уровня защищенности.

Информационная безопасность региональных банков

автор Анатолий Скородумов , дата 19 декабря 2018 г. 10:00:00 MSK

Финансовые организации исторически, наряду с нефтегазовой отраслью и телекомом, являются одними из лидеров по построению комплексных систем ИБ, использованию в них самых современных технологий и решений. С начала 2000-х гг. в финансовой отрасли действует отраслевой стандарт по ИБ, разработанный Банком России. К 2018 г. вышло уже четыре редакции данного стандарта, и в 2017 г. году на его основе был принят ГОСТ Р 57580.1.–2017 по обеспечению безопасности финансовых операций. Анатолий Скородумов, н ачальник Управления по обеспечению информационной безопасности Банка «Санкт-Петербург», рассказывает о том, как развивается направление ИБ в банках и чего можно ожидать в будущем.

За прошедший год произошли важные изменения и появились нововведения в законодательстве, связанные с ИБ:

  • вступило в силу постановление европейской комиссии о защите данных (GDPR);
  • издан и вступил в силу закон 167-фЗ «о внесении изменений в отдельные законодательные акты рф в части противодействия хищению денежных средств»;
  • разработан большой пул подзаконных актов в части внедрения единой системы идентификации и аутентификации (ЕСИА).

Реализация требований этих документов достаточна сложна и затратна. Диджитализация бизнеса, растущее количество изменений в ИТ-инфраструктуре организации, вновь появляющиеся киберугрозы и кибератаки также требуют адекватного реагирования от специалистов по ИБ. В итоге в современных условиях построение комплексной системы ИБ превращается в непрерывный процесс внедрения все новых методов и средств защиты и совершенствования уже существующих.

Основные типы преступлений в банковской сфере

Наиболее опасными в финансовых организациях являются атаки на платежную инфраструктуру. в этих случаях банк несет прямые финансовые потери, которые исчисляются десятками и сотнями милллионов рублей.

Специалисты по ИБ прекрасно помнят серию атак 2016 г. на платежную систему Банка России (атаки на арМ кБр), общий ущерб от которых превысил 1,5 млрд рублей. Свежи в памяти произошедшие в 2016–2017 гг. несанкционированные списания с корреспондентских счетов банков через систему SWIFT.

Другой опасный тренд последних лет – атаки на процессинговые центры банков с выводом средств через банкоматы. Эти атаки условно можно разделить на две категории. Первая – это заражение подсистемы управления банкоматами или через нее – самих банкоматов, с последующей подачей команды на выдачу наличных. Злоумышленникам остается только в нужный момент подойти к банкомату с рюкзаком достаточного объема и принять купюры. Второй способ – это взлом процессинга с последующим зачислением на заранее полученные карты очень значительных сумм. Далее происходит обналичивание этих средств через банкоматы различных банков.

Читать еще:  Возврат бижутерии в течении 14

Продолжаются атаки злоумышленников на системы дистанционного банковского обслуживания (ДБо) клиентов. В основном они реализуются через заражение устройств, с которых клиенты дистанционно управляют своими счетами. С учетом того что многие банки внедрили технологии подтверждения переводов (операций) одноразовыми кодами, получаемыми, например, через СМС, злоумышленники используют различные методы социальной инженерии для выманивания у клиентов этих кодов. вообще мошенничество с использованием методов социальной инженерии, а проще говоря «развода» клиента, – это еще один из трендов последних двух лет. особенно часто он используется для выманивания у людей данных их платежных карт и одноразовых кодов (3dsec-кодов) подтверждения операций. Злоумышленники даже частично автоматизировали процесс «развода», первоначальный обзвон производится обычно программно. Aвтоинформатор обычно сообщает, что по вашей карте произошла операция и для ее отмены вам необходимо на телефоне нажать любую клавишу. Если вы нажимаете клавишу, автоинформатор якобы переводит вас на службу технической поддержки банка (при этом все выглядит очень натурально), на самом деле вас переключают на «специалиста» по выуживанию данных платежных карт. Действуют злоумышленники очень профессионально, и неподготовленные люди, особенно пожилого возраста, зачастую попадаются на эту удочку.

И последняя разновидность внешних атак, на которую я хотел бы обратить внимание, – это вымогательство. На общий e-mail банка приходит письмо с угрозой и предложением перечислить необходимую сумму в биткоинах на такой-то электронный кошелек. Варианты угроз могут быть совершенно разными. Могут утверждать, что все компьютеры вашей сети заражены неизвестным вирусом, который не ловит еще ни один антивирус. Могут написать, что процессинг вашего банка взломан и если вы не перечислите требуемую сумму, то потеряете в десятки раз больше. Могут шантажировать тем, что взломали вашу корпоративную сеть и скачали какую-то чувствительную информацию, и если деньги не будут перечислены, они опубликуют эту информацию в открытых источниках. В большинстве случаев это чистый фейк.

Помимо внешних атак существуют и злоупотребления со стороны работников самой финансовой организации. И вариантов таких нечистоплотных действий достаточно много.

Элементы системы обеспечения информационной безопасности в банках

Некоторое время назад систему информационной безопасности обычно делили на две части: защиту периметра вычислительной сети организации и защиту внутренних хостов. В качестве периметровых средств защиты использовались:

  • системы межсетевого экранирования (МсЭ);
  • системы обнаружения/предотвращения атак (IDS/IPS);
  • модули DLP-систем для контроля почтового и Web-трафика;
  • системы контентной фильтрации при доступе работников организации в сеть Интернет;
  • антивирусные средства на почтовом сервере и на прокси-сервере доступа в сеть Интернет и ряд других средств.

В качестве защиты хостов, как правило, применялись:

  • антивирусные средства;
  • персональные МсЭ;
  • хостовые модули систем IDS/IPS;
  • хостовые модули DLP-систем;
  • средства контроля использования работником периферийных устройств, прежде всего USB-накопителей.

Многие решения для защиты конечных устройств (Endpoint) стали объединять в себе значительную часть перечисленного функционала.

В последнее время и в периметровую, и в хостовую части стали добавлять средства защиты от таргетированных атак (средства класса APT, EDR). Кроме того, в последнее время разработчики уделяют внимание взаимодействию периметровых и хостовых средств защиты для повышения эффективности выявления и противодействия современным кибератакам. Поэтому зачастую использование периметровых и хостовых средств защиты одного производителя имеет дополнительные бонусы в части более тесного взаимодействия этих средств между собой.

Процессный подход

Конкретное средство защиты – это всего лишь инструмент. А все мы прекрасно знаем, что самый хороший инструмент эффективен только в умелых руках, а мастер может и из топора кашу сварить. Поэтому залогом эффективности использования того или иного средства защиты является правильно выстроенный процесс и квалификация персонала, его осуществляющего. Можно выделить такие процессы верхнего уровня:

  • защита от вредоносного ПО;
  • защита от утечки данных;
  • защита систем электронного документооборота;
  • защита вычислительных сетей;
  • защита информации у мобильных пользователей;
  • управление правами доступа;
  • управление уязвимостями;
  • мониторинг и реагирование на инциденты ИБ;
  • управление информационными активами;
  • управление рисками ИБ;
  • управление соответствием (комплайнсом);
  • безопасная разработка По;
  • повышение осведомленности сотрудников в вопросах ИБ.

Специфика ИБ в банковской сфере

Особенности систем ИБ в банках связаны прежде всего с тем, что в них обрабатывается информация о реальных денежных средствах, расчетных счетах, реальных денежных переводах, а также с тем, что из этих автоматизированных систем осуществляется управление устройствами, выдающими реальные деньги, – банкоматами. Для того чтобы увидеть у себя на счете цифру с 6–7 нулями, не обязательно всю жизнь упорно трудиться, можно просто дописать несколько нулей к уже имеющейся там сумме.

Поэтому значительные усилия специалистов по ИБ в финансовых организациях направлены на защиту платежной инфраструктуры и платежных процессов.

В отличие от других организаций, в банках существует понятие банковской тайны – это информация об операциях, счетах и вкладах клиентов и корреспондентов банка. Так как большинство банковских операций и большая часть обрабатываемой в банке информации относятся к банковской тайне, задача обеспечения ее защиты может быть решена только путем построения сложной комплексной системы защиты.

Схожая ситуация складывается и с защитой персональных данных. В банках они обрабатываются в значительных объемах, и их необходимо защищать в соответствии с законом 152-фЗ «о персональных данных».

Критерии выбора оборудования и решений

Требования к поставщикам и производителям оборудования для информационной безопасности достаточно стандартны: функциональность, надежность, простота и удобство эксплуатации при приемлемой стоимости.

В настоящее время возрастает роль эффективного взаимодействия средств защиты между собой и с системами управления информационной безопасностью. Хорошо, когда разные продукты одного производителя эффективно интегрируются друг с другом, но хочется такого же эффективного взаимодействия и от решений разных производителей.

Очень желательно, чтобы ведущими игроками в ИТ- и ИБ-секторах вкладывались средства в перспективные исследования и разработки и чтобы системы информационной безопасности совершенствовались не в связи с произошедшими преступлениями, а позволяли предотвратить в том числе совершенно новые, еще ранее неизвестные типы атак.

Любые решения и сервисы в сфере ИБ требуют постоянного совершенствования и развития. Они должны быть адекватны современным угрозам, которые, в свою очередь, тоже постоянно развиваются и совершенствуются.

И, безусловно, задача производителей и поставщиков решений по ИБ не только в том, чтобы продать эти решения, а в том, чтобы эти решения эффективно функционировали и приносили организациям, где они работают, реальную пользу. Поэтому требуется активное их участие на этапе как внедрения продукта, так и его эксплуатации.

Внедрение новых технологий

Современные системы ИБ стараются максимально использовать все новые технологии. Прежде всего это Big Data, машинное обучение, нейронные сети, искусственный интеллект.

На самом деле сами принципы выявления и расследования преступлений не сильно изменились. Дедуктивные методы Шерлока Холмса продолжают работать и в электронной среде. Как известно, «дьявол кроется в деталях», но выявить эти детали в современном огромном объеме информации очень непросто. Подобные задачи обычно и решаются системами безопасности с использованием нейронных сетей и элементов искусственного интеллекта. На данный момент эти технологии активно используются в системах фрод-анализа, то есть для борьбы с внешним и внутренним мошенничеством. Но со временем, я думаю, им найдется применение и в других направлениях обеспечения ИБ.

Достаточно перспективными видятся самообучающиеся системы. Специалистам по ИБ все сложнее угнаться за миллионами изменений в современных цифровых технологиях и сервисах, каждое из которых может нести определенные угрозы. Поэтому все чаще используются системы, основанные на выявлении аномалий. Они строят и постоянно актуализируют «нормальное» поведение объекта или человека и реагируют на существенные отклонения от этого «нормального» поведения.

Единая система идентификации и аутентификации (ЕСИА)

Идея единой системы удаленной идентификации интересна и актуальна. Наличие в государстве единой централизованной доверенной системы идентификации и аутентификации граждан позволило бы решить ряд серьезных проблем и снять часть головной боли с банковских специалистов по ИБ.

Использование данной системы призвано существенно упростить для банков задачу идентификации клиентов в соответствии с 115-фЗ «о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» и продвижение своих продуктов и услуг, в том числе в регионах, где нет физического присутствия конкретной финансовой организации.

Но реальную пользу система ЕСИА принесет только в том случае, если в ней будут храниться биометрические данные значительного числа жителей рф. На данный момент не совсем понятно, что побудит человека регистрировать в системе ЕСИА свои биометрические данные. Если ее наполненность будет на уровне выданных токенов с электронной подписью для доступа к порталу госуслуг, толку от нее никакого не будет.

У специалистов по ИБ есть серьезные вопросы к выбранной биометрической аутентификации. Понятно, почему в качестве технологии идентификации в есИа выбраны изображение лица и голос. Это единственные технологии биометрической аутентификации, которыми можно охватить значительное число граждан рф, так как они могут быть реализованы с помощью мобильного телефона. Но у них есть серьезные недостатки. Поэтому у меня нет уверенности, что внедрение есИа станет каким-то прорывом в банковской ИБ.

Прогнозы развития

В современном мире достаточно сложно заглянуть даже на несколько лет вперед. Все так быстро меняется!

Очевидно, что направление ИБ в банках (и не только) продолжит активно развиваться. Этому будут способствовать требования законодательства, цифровизация бизнеса, перевод всех процессов в цифровой формат, прежде всего реализация государственных программ по переходу в электронную среду. Участившиеся случаи громких компьютерных преступлений и постоянный рост сумм потерь от них также будут стимулировать данный процесс.

Читать еще:  Как вернуть страховку по потребит кредиту втб краснодар

С учетом все большего переноса бизнеса в электронную среду значимость вопросов обеспечения ИБ будет возрастать. Безопасность продукта или сервиса станет реальным конкурентным преимуществом.

С течением времени мы в меньшей степени будем использовать наложенные средства защиты, используя встроенные. Это закономерный процесс. основной фокус с точки зрения построения систем ИБ будет направлен на управление системой ИБ.

Хочется надеяться, что усилия Банка россии в области обеспечения ИБ приведут к тому, что задача по противодействию современным кибератакам уже в ближайшее время будет решаться финансовыми организациями сообща при активной поддержке Банка россии.

Активно станет развиваться рынок услуг ИБ, так как держать у себя в штате значительное число высококвалифицированных специалистов смогут только самые крупные банки.

В рамках деловой программы ТБ Форума 2019 состоится конференция «Защитные технологии банка будущего», где будут представлены кейсы о новейших технологиях в финансовом секторе.

Комплексная территориально распределённая система защиты информации в департаменте финансов г.Москвы

Построенная комплексная система защиты информации обеспечивает безопасность передачи данных между Департаментом финансов и его подразделениями, расположенными в 10 административных округах г. Москвы. Она включает подсистемы межсетевого экранирования, защиты каналов связи, обнаружения вторжений на уровне сети и узлов, удостоверяющий центр и ЭЦП, систему антивирусной защиты и центр управления системой ИБ. Созданная комплексная система ИБ была аттестована по классу 1Г.

Заказчик Ведущая газодобывающая компания

Отрасль Нефтегазовая индустрия и энергетика

Услуги и решения Информационная безопасность

Финансовая сфера

  • Журнал
  • Конференции
  • FINAWARD
  • Новости
  • Аналитика
  • Практика
  • Мероприятия отрасли
  • Соцпрограммы
  • Персоны
  • Рейтинги
  • Разговоры

  • Номера
  • Подписка

Киберриски финансового рынка требуют смены мышления и бизнес-моделей

На пленарном заседании «Кибербезопасность в цифровой экономике» XI Уральского форума «Информационная безопасность финансовой сферы» представители регулятора, законодательной власти и финансового рынка обсудили специфику цифровой трансформации в финансовой сфере, генерируемые ей риски и необходимость изменения бизнес-моделей и мышления.

Заместитель председателя Банка России Дмитрий Скобелкин изложил точку зрения регулятора на основные направления развития информационной безопасности. Он отметил, что цифровая трансформация создает многочисленные преимущества для клиентов финансовых организаций, однако за рост качества, скорости, доступности взаимодействия и снижение стоимости услуг приходится платить дополнительными рисками. Сославшись на экспертов Всемирного экономического форума в Давосе, определивших кибератаки как базовый глобальный технологический риск 2019 года, спикер напомнил, что сегодня необходимы скоординированные действия регулятора, поднадзорных организаций и потребителей финансовых услуг.

Дмитрий Скобелкин, (Банк России) Фото: Уральское ГУ ЦБ РФ

Дмитрий Скобелкин сообщил, что Банком России до сих пор не были зафиксированы случаи получения существенного ущерба системно-значимыми кредитными организациями в результате кибератак. Однако известны инциденты в сфере информационной безопасности, которые приводили к нарушению непрерывности предоставления финансовых услуг и как следствие к росту социальной напряженности и оттоку клиентов. «Мы отслеживаем настроения в социальных сетях и видим, что клиенты чутко и быстро реагируют на любые технологические проблемы банков», — отметил Скобелкин.

Немаловажно, что риску хищений подвержен объем денежных средств, сопоставимый со средним дневным остатком по корреспондентскому счету кредитной организации в Банке России, суммированным со средним дневным приходом по соответствующему корреспондентскому счету. Для небольших кредитных организаций такой объем средств зачастую сравним с размером уставного капитала, «поэтому паника и уход клиентов на фоне компьютерных инцидентов могут стать одной из причин прекращения деятельности кредитной организации».

Дмитрий Скобелкин: Мы отслеживаем настроения в социальных сетях и видим, что клиенты чутко и быстро реагируют на любые технологические проблемы банков

Зампред ЦБ РФ сослался на результаты опросов 2017-2018 годов, проводившихся среди клиентов банков в целях выяснения уровня доверия населения к используемым услугам с точки зрения их информационной безопасности. Если в 2017 году этот показатель составлял чуть более 40%, то в конце прошлого года был зафиксирован уровень 70%. «Вместе с тем, — подчеркнул Дмитирий Скобелкин, — главным критерием, по которому клиенты оценивают надежность банковских услуг и сервисов, является уровень хищений». Основной показатель в этом случае представляет собой долю несанкционированных переводов денежных средств с использованием платежных карт. Задача Банка России состоит в том, чтобы эта доля в целом по банковской системе не превышала 0,005% или 5 коп. на 1 тыс. рублей переводов. В 2018 году показатель составил 1,8 коп. на 1 тыс. рублей, это несколько выше, чем годом ранее, когда он был равен 1,6 коп. Регулятор связывает ухудшение показателя с ростом прозрачности данных, которые Банк России получает от кредитных организаций.

Конкуренция между банками заставляет повышать удобство и качество финансовых услуг, одновременно расширяются риски клиентов с точки зрения возможных потерь, поэтому «фактор киберриска объективно интегрируется в состав основных рисков финансовых организаций». Благодаря принятому в сентябре прошлого года Закону № 167-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средст» Банк России получил больше полномочий. Прежний добровольный информационный обмен с ФинЦЕРТ стал обязательным. Сегодня к Автоматизированной системе обработки инцидентов ФинЦЕРТ подключены более 600 организаций. Среди них 437 банков, 39 НКО, 77 страховых организаций и 63 иные организаций.

По словам Дмитрия Скобелкина, риск-ориентированный подход должен быть реализован на трех технологических уровнях: уровне инфраструктуры, уровне прикладного программного обеспечения, или уровне приложений, и уровне технологий процессов обработки данных.

Зампред ЦБ напомнил, что год назад он объявил в том же зале о создании в Банке России нового профильного департамента, и теперь можно констатировать, что «он состоялся». Позже, на пресс-подходе, он прямо сказал, что, несмотря на оптимизацию расходов, экономить на кибербезопасности регулятор не планирует.

Игорь Ляпунов, (Ростелеком) Фото: Уральское ГУ ЦБ РФ

По завершении ключевого доклада модератор, вице-президент Ростелекома Игорь Ляпунов, подчеркнул, что кибербезопасность в кредитно-финансовой сфере обеспечивает наиболее профессиональное сообщество, оказавшееся «на острие атак» первых реальных угроз и в силу этого поставляющее идеи и технологические решения для других отраслей. По его мнению, некогда поддерживающая функция со временем стала конкурентным преимуществом. По сути, она превратилась в бизнес-драйвер.

Нужны идеи

Представитель Совета Федерации Людмила Бокова заявила, что участникам Форума следует принять активное участие в законотворчестве в качестве экспертов, «выступить с идеями и предложениями в подготовке законопроектов».

В отношении предотвращения целевых атак на финансовый рынок, по мнению Людмилы Боковой, можно говорить об улучшении ситуации. «Согласно статистике, за восемь месяцев 2018 года доля успешных (в кавычках, конечно же) атак снижается, как и ущерб от них — сказала она. Вместе с тем цифровая уязвимость банковской сферы еще весьма ощутима. По оценкам экспертов, «за последнюю пару лет атаки в кредитно-финансовой сфере России нанесли ущерб в размере 3 млрд рублей, что определяет необходимость поиска новых решений в области киберустойчивости как финансового сектора, так в целом по стране».

Людмила Бокова (Совет Федерации) Фото: Уральское ГУ ЦБ РФ

Представитель Совета Федерации остановилась на национальных проектах с одобренными паспортами, в том числе на проекте «Цифровая экономика», в рамках которого предусмотрена реализация шести федеральных проектов. Один из них — проект «Информационная безопасность» — заслуживает особого внимания. Он предусматривает в качестве приоритетного направления разработку отечественного программного обеспечения и увеличение его доли на рынке. В частности, долю российского программного продукта в государственных структурах планируется увеличить к 2024 году до 90%, а в государственных компаниях довести не менее чем до 70%. Также на информационную безопасность в ближайшие шесть лет планируется выделить более 30 млрд рублей. В Совете Федерации считают, что «цифровая экономика должна базироваться на российском программном обеспечении и, где это возможно, на отечественной элементной базе».

Объединить усилия

Президент Ассоциации банков России (АБР) Георгий Лунтовский обратил внимание участников Форума на то, как серьезно изменился формат мероприятия, где теперь «обсуждаются не только вопросы, связанные с информационной безопасностью, но и вопросы функционирования собственно финансовой системы, вопросы функционирования платежной системы, вопросы перевода на цифровые технологии банковского надзора». Президент АБР упомянул, что в Форуме принимают участие представители 101 банка против около 80 в прошлом году.

«Развитие цифровых технологий изменяет и уже изменило конкурентную среду», — отметил Георгий Лунтовский, ссылаясь на снижение издержек коммерческих банков, предоставление новых конкурентных возможностей в первую очередь небольшим и средним банкам. В то же время затраты на внедрение цифровых технологий для большинства кредитных организаций остаются значительными, особенно для банков с базовой лицензией, которые в текущей ситуации крайне заинтересованы в снижении издержек. «На мой взгляд, важно не допустить монополизации киберпространства», — заявил глава Ассоциации. Он считает опасность такой реальной, что на плечи регулятора и законодателей ложится проблема поддержания конкурентной среды.

Фото: Уральское ГУ ЦБ РФ

Как сообщил Георгий Лунтовский, урон, который наносят кибератаки мировой экономике, оценивается суммой выше 1 трлн долларов, при этом ландшафт киберугроз становится все разнообразнее и обширнее. Вместе с тем банки жалуются, что им сложно выполнять регуляторные требования, в регионах не хватает специалистов. Есть понимание, что ущерб от кибератаки может стать критическим, но и затраты очень тяжелы, особенно для небольших банков с базовой лицензией, в том числе региональных. Приходится признать, что зачастую расходы по обеспечению кибербезопасности планируются по остаточному принципу. В Ассоциации считают, что Банку России надо активнее дифференцировать требования безопасности, поскольку риски, характерные для крупной финансовой организации, иные, как и последствия реализации этих рисков для экономики в целом.

Кроме того, Георгий Лунтовский выразил опасения в связи с низким уровнем кибербезопасности сотрудников и клиентов банка и упомянул, что, по статистике, более 80% успешных атак реализуется с помощью методов социальной инженерии. Самым популярным методом сегодня являются фишинговые рассылки. По информации экспертов, около 18% сотрудников переходят на ссылки из фишингового письма и примерно и 9% вводят учетные данные на сайте. Другой эффективный метод — это телефонный фишинг, результативность таких атак, по оценкам экспертов, еще выше, напомнил спикер. В заключение он отметил, что риски, связанные с ростом киберугроз, требуют оперативного и своевременного мониторинга, обнаружения и оперативного реагирования.

Читать еще:  Если в браке за гражданином

На языке бизнес-процессов

«Без смены бизнес-моделей не обойтись в противостоянии цифровой лихорадке», — считает исполнительный директор Ассоциации российских банков Валерий Шипилов. Наблюдаемые процессы, по его мнению, связаны с постоянным появлением новых информационных технологий, бизнес-моделей применения IT (называемых цифровыми, чтобы отличить их от уже традиционных), интернет-устройств, нового поколения продвинутых, «квалифицированных» пользователей, ориентированных на своевременное получение широкого спектра качественных услуг, доступных «здесь и сейчас».

По мнению Валерия Шипилова, одновендорные системы уходят в прошлое из-за их тяжеловесности и неспособности к быстрым изменениям. Кроме того, трансформация информационной архитектуры предполагает разделение технологий банка на фронт-офис и бэк-офис. Цифровая трансформация предполагает переход от документоцентричности к дата-центричности. Сейчас большинство банков ориентировано на финансовые документы — платежные поручения, кредитные договоры, гарантии. Основной актив цифровой организации — это ее данные. Дата-центричность предполагает учет не только численных данных, но также их семантического смысла, что предполагает единство формы и содержания. Финансовая цифровая услуга должна начинаться со стадии проектирования и оставаться цифровой от начала до конца.

Фото: Уральское ГУ ЦБ РФ

Открываются возможности прогнозирования поведения клиента, выявления клиентских потребностей и предпочтений. Банки должны приспосабливаться к изменениям внешней среды, вливаясь в финансовые экосистемы, делая своих клиентов их частью, заявил Валерий Шипилов. Принадлежность одной экосистеме предполагает наличие информационного обмена. Клиенты оставляют цифровые следы, и банки при принятии решений должны опираться на информацию, которая генерируется поведением клиента. Возникает необходимость в цифровой финансовой платформе, создание которой под силу не каждому банку. Нужны серьезная консолидация и в конечном счете изменение мышления.

Для продуктов информационных технологий необходимо определить функции безопасности. Шипилов убежден, что обеспечить безопасность IT-сервисов и доверие к ним должен тот, кто эти сервисы разрабатывает.

Валерий Шипилов: Банки должны приспосабливаться к изменениям внешней среды, вливаясь в финансовые экосистемы, делая своих клиентов их частью

Первый вице-президент Национальной ассоциации участников фондового рынка (НАУФОР) Алексей Артамонов в начале своего доклада об информационной безопасности в условиях цифровизации услуг некредитных финансовых организаций также отметил смену бизнес-модели. «Конечно, это привело к колоссальной нагрузке на бэк-офис, — подчеркнул он. — К такому объему данных большинство участников было не готово три года назад, потому что многие процедуры проводились либо вручную, либо с участием человека».

По мнению Алексея Артамонова, до сих пор риски некредитных финансовых организаций были значительно ниже банковских.

В свою очередь, модератор высказал предположение, что динамика ставок по депозитам будет способствовать росту интереса к рынку ценных бумаг, который также подвержен киберугрозам, поэтому возникновение нового направления регулирования и обеспечения безопасности операций с ценными бумагами будет одним из серьезных дополнительных драйверов для развития рынка.

8.3. Требования к определению/коррекции области действия системы обеспечения информационной безопасности

8.3.1. Должна быть документально определена/скорректирована опись структурированных по классам защищаемых информационных активов (типов информационных активов — типов информации). Классификацию информационных активов рекомендуется проводить на основании оценок ценности информационных активов для интересов (целей) организации БС РФ, например, в соответствии с тяжестью последствий потери свойств ИБ информационных активов.

8.3.2. В случае наличия в организации БС РФ классификации информационных активов опись информационных активов должна содержать информацию о принадлежности конкретного информационного актива к выделенным типам информационных активов.

8.3.3. Опись информационных активов (типов информационных активов) должна содержать перечень их объектов среды. Перечень объектов среды должен покрывать все уровни информационной инфраструктуры организации БС РФ, определенной в разделе 6 настоящего стандарта.


    8.3.4. Должны быть документально определены процедуры анализа и пересмотра области действия СОИБ, в частности, процедуры пересмотра при изменении перечня информационных активов организации (типов информационных активов).

8.3.5. В организации БС РФ должны быть документально определены роли по определению/коррекции области действия СОИБ, по составлению и пересмотру описи информационных активов (типов информационных активов), находящихся в области действия СОИБ. В организации БС РФ должны быть назначены ответственные за выполнение указанных ролей.

Меры, помогающие обеспечить защиту банковской информации

В банковских информационных системах и базах данных содержится конфиденциальная информация о банковских клиентах, о состоянии их счетов и о том, какие ими проводятся финансовые операции.

То, что информационная безопасность таких данных должна быть превыше всего – факт очевидный. При этом, если быстрый и своевременный обмен и обработка информации отсутствуют – произойдет сбой банковской системы. Поэтому необходимо наличие целой структуры, благодаря которой возможно обеспечение защиты банковской информации и конфиденциальности клиентской базы.

Меры по защите данных такого типа должны осуществляться последовательно:

  • Сперва оценивается и разрабатывается конфиденциальная информация;
  • Оборудуется объект для осуществления защиты.
  • Контролируется эффективность принятых мер.

    Банком может полностью осуществляться его деятельность лишь тогда, когда есть налаженный обмен внутренними данными и присутствует надежная защитная система. Оборудование такой защиты банковских объектов обладает различными формами.

    Специалистами в сфере обеспечения информационной банковской безопасности могут создаваться как разновидности локальных систем, так и централизованных защитных программ.

    При выборе конкретной защитной формы стоит уточнить следующее: нужно продумать вопрос о всевозможных способах взлома и утечки данных. В случае грамотного и профессионального подхода к обеспечению безопасности работа всех банковских отделений будет слаженной – а, значит, финансовые системы будут функционировать беспрерывно.

    Комплекс защитных мер, направленный на предотвращение нарушения конфиденциальности данных обладает следующими конкретными действиями:

  • Контролируется обмен данных, они строго регламентированы.
  • Банковские сотрудники проходят подготовку и соблюдают все требования безопасности
  • Каналы и сервера подвергаются строгому учету
  • Анализируется эффективность.

    В каждом направлении есть различные рабочие этапы. Например, при контроле обмена данных, проводится не только обработка скорости передачи информации, — также своевременно уничтожаются остаточные сведения.

    Чтобы открыть ООО – необходимо наличие учредителей. Учредитель – любое юридическое лицо, то есть какая-либо фирма, либо же физическое лицо, то есть гражданин.

    Решившись на открытие своей фирмы, и составляя бизнес-план, большинство граждан не знают, что именно им необходимо проделать для получения государственной регистрации.

    Доступ к банковским данным защищен с помощью идентификационной системы, то есть ее охраняют пароли или электронные ключи. Работа с сотрудниками, пользующимися банковскими данными, включает в себя различные инструктажи и слежку за выполнением нужных регламентов.

    Каналы и сервера подлежат строгому учету, также есть меры, направленные на обеспечение технической защиты информации и банковской безопасности – то есть защищаются резервные копии, обеспечивается бесперебойное питание оборудования, обладающего ценной информацией, ограничивается доступ к сейфам.

    Чтобы анализировать, насколько эффективны принятые меры, необходимо ведение учета или записи, благодаря которым будет отмечаться работоспособность и действенность используемых средств защиты информации в банковском учреждении.

    Угрозы информационной безопасности банка

    Человеческий фактор является основной и главной угрозой информационной безопасности, напрямую зависящей от человеческих отношений. Большая часть утечки информации объясняется халатностью персонала банка.

    По статистике, около 80% правонарушений приходится на сотрудников банка, то есть на тех, кто непосредственно имел или имеет доступ к данным.

    Однако, обеспечение внутренней информационной безопасности банка крайне необходимая мера не только для защиты конфиденциальности данных от профессиональной халатности и безалаберности, но и от намеренного взлома баз данных.

    Кроме внутреннего фактора, существует также техническая угроза информационной безопасности как банков так и предприятий. К техническим угрозам относятся взломы информационных систем, лицами, не имеющими прямого доступа к системе, криминальными или конкурирующими организациями.

    Съем и получение информации в данном случае производится с применением специальной аудио или видео аппаратуры. Одной из современных форм взлома является использование электрических и электромагнитных излучений, обеспечивающих злоумышленникам возможность получения конфиденциальной информации, ЭЦП и представляющих техническую угрозу утечки.

    Опасность и угрозу для программного обеспечения могут представлять также различные вредоносные для носителя информации компьютерные вирусы, программные закладки, которые способны разрушить введенные коды.

    Самым известным способом решения вирусных проблем программного обеспечения являются лицензионные антивирусные программы, успешно справляющиеся с данной проблемой.

    Защитить банковскую информацию от внутренних и внешних утечек поможет грамотный специалист в этой области и программное обеспечение, позволяющее отслеживать и блокировать передачу информации на съемные носители (например – флешки).

    Факторы, необходимые для успешной автоматизации склада: чёткое представление складских процессов, достаточные исходные данные о товаре, интегрируемая информационная корпоративная система, подготовленный персонал.

    Ни один склад не будет эффективно работать без участия таких высококвалифицированных специалистов, как: заведующий складом, кладовщики, грузчики и уборщицы. О том как организовать работу склада читайте тут.

    Важным направлением защиты также является своевременное распознавание и ограничение утечек различного вида.

    В заключение можно отметить, что в силу экономической важности банковских систем, обеспечение их информационной безопасности является обязательным условием. Поскольку информация, находящаяся в базе данных банков представляет собой реальную материальную стоимость, то требования к хранению и обработке этой информации всегда будут повышенными.

    Специфика и особенности системы обеспечения безопасности, безусловно, индивидуальны для каждого отдельного банка, поэтому комплексное и профессиональное предоставление систем защиты является необходимым условием работы всей банковской системы.

  • Ссылка на основную публикацию
    ВсеИнструменты
    Adblock
    detector