02.03.2018

Аутсорсинг – эффективный путь оптимизации расходов банка на информационную безопасность

Интернет-портал Viperson.ru, март, 2018<br>
Экспертный комментарий Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д."

Таково мнение участников панельной дискуссии "Информационная безопасность в кредитно-финансовой сфере: угрозы, риски и решения-2018", которая прошла в рамках Инфофорума-2018. Поручив услуги обеспечения ИБ третьей стороне, банк получает адекватный рискам уровень защиты от атак и при этом не сильно теряет на операционных расходах. Централизация услуг аутсорсингапод эгидой ЦБ сегодня нецелесообразна, а машинный интеллект, хотя и "удесятеряет" возможности человека в сфере ИБ, без присутствия оператора пока обойтись не может. К биоидентификации пока надо относиться осторожно – таковы основные выводы участников дискуссии.


Открывая дискуссию, зампред подкомитета ТПП РФ по платежным системам и информационной безопасности Тимур Аитов напомнил, что тема безопасности финансовой отрасли стоит весьма остро. Объем хищений за 2016 год по оценкам ЦБ составил 4 млрдрублей. Проблемы и задачи противодействия киберпреступникам, включая вопросы пропаганды правильного (безопасного) использования инструментов платежей, также весьма важны – 75% всех хищений совершается методами социальной инженерии, когда клиента банка попросту обманывают. Сложность нынешней ситуации и в том, что банки вынуждены сокращать операционные расходы. Если дело касается малых и средних банков, то чаще всего это происходит за счет экономии на ИБ.

Единственным способом обеспечения надежной защищенности для многих малых банков становится аутсорсинг услуг ИБ. Как правильно разграничить зоны ответственности банка и аутсорсера? Как добиться того, чтобы банк не сел "на иглу" к конкретному аутсорсеру? Каковы возможности искусственного интеллекта в сфере ИБ, и в какой мере можно доверять методам и технологиям биоидентификации сегодня? Эти и другие вопросы и стали предметом дискуссии.

Советник начальника Главного управления безопасности и защиты информации Банка России (ГУБЗИ) Дмитрий Фролов сообщил, что за последние два года количество нецелевых атак на банковскую сферу достигло 407 инцидентов, а основные угрозы 2017 года перейдут и в 2018 год. В их числе "шифровальщики", банковские трояны, DDoS-атаки и фишинг. ЦБ ожидает усиления атак на инфраструктуру и роста числа атак на банки, внедряющие новые технологии.

По мнению заместителя начальника ГУБЗИ Банка России Алексея Овчинникова, любой аутсорсингпредставляет синергию возможностей банка и квалификации компании-аутсорсера. Важно, чтобы банки не боялись передавать на аутсорсинг процессы обеспечения ИБ, но при этом контролировали процессы и четко понимали – какими требованиями следует руководствоваться в отношении выбора аутсорсера. Стандарт Банка России СТО БР ИББС определяет набор базовых требований к подрядной организации, опираясь на него, можно определиться, кто именно подходит для выполнения необходимых функций. Реестра рекомендованных компаний-аутсорсеров нет и не будет. При этом следует понимать, что передавая любые функции на аутсорсинг, банк по прежнему несет все риски.

Руководитель департамента ЦИБИТ Василий Окулесский поддержал коллегу из ЦБ и выразил уверенность, что аутсорсинг – неотъемлемая составляющая текущей действительности. Хотя конкретный объем и состав услуг зависят от многих условий (уровня зрелости компании, готовности "потерять" отдаваемую часть бизнеса и т.д.), ключевым условием всегда остается ответственность за риски и за последствия, которая всегда лежит на заказчике.

Если риски остаются на той стороне, которая их передает, то это не совсем тот аутсорсинг, который должен быть – вступил в дискуссию председатель правления Ассоциации "Финансовые инновации" Роман Прохоров. По его мнению, затратные аутсорс-услуги, включающие ПОДФТ и комплаенс, мало того что весьма дорого обходятся банкам – фактически выполняются не в прямых интересах банков, как субъектов рынка. Идут обсуждения с регуляторами возможностей расширения применения аутсорсинговыхподходов в различных "затратных" направлениях поддержки финансовых операций – это и бэк-офисныйфункционал, включающий отчетность и KYC. Всегда возникает вопрос "водораздела" – определения того функционала, который в принципе не подлежит аутсорсингу. Связано это с тем, что в используемой в настоящее время модели аутсорсинга риски, в том числе регуляторные, как правило, не передаются аутсорсеру, что является одним из ключевых сдерживающих факторов. Выходом будет создание госкомпаний-аутсорсеров, принимающих регуляторные риски. Зачатки такой модели уже начали реализовываться – это и НСПК, и ФинЦЕРТБанка России, и создание биометрической платформы, сказал Прохоров.

Свою идею высказал управляющий партнер ГК "Аудит Групп" и "Финансовый интегратор", председатель комитета ТПП РФ по финансовым рынкам и кредитным организациям Владимир Гамза. По его мнению, "хорошо, чтобы функции аутсорсера взял на себя ЦБ". Большинство банков в силу своего состояния не способны обеспечить серьезную защиту, банки станут искать тех, кто "подешевле". В результате попадут на обслуживание не к самым квалифицированным и к не самым добросовестным.

Однако идею подержали не все. Перенести всё в одно место – это значит всех "обезглавить, обезручить и обезглазить", образно сказал Окулесский, а в разговорах об ИБ эта идея "даже звучать не должна". Однако ЦБ высказался не столь категорично. Идея заслушивает внимания, сообщил Дмитрий Фролов. Не отдавайте на аутсорсинг то, что не готовы потерять, – дал свой совет управляющий директор-начальник управления стандартов и процессов информационной безопасности департамента безопасности ПАО "Сбербанк" Алексей Волков. Это заявление было встречено одобрительными аплодисментами зала.

По мнению Георгия Лагоды, советника по ИБ группы компаний "Программный Продукт", сотрудники служб ИБ банка основной акцент в работе делают на соответствии задач текущей нормативно-правовой базе, а вот аутсорсерыв фокусе держат аудит систем ИБ. Риски, связанные с открытием доступа аудиторов к системам банка, эксперт оценил как "незначительные". наша практика такова – после аудита, результаты в соответствии с NDA передаются ограниченному кругу лиц из числа сотрудников банка и утечек тогда не возникает. Тем не менее, есть существенные риски в отношении ПО сторонних производителей, которое часто используют аутсорсеры. Эксперт напомнил известный случай с бангладешским банком, который взломали именно по этой причине, подменив один из файлов. Не уверен, что в РФ все аудиторы прошли необходимые проверки, а проверять и сертифицировать надо абсолютно все, подчеркнул Лагода. Введение единого аутсорсера в России приведет к росту цен. Если же компаний на рынке будет много, то банки смогут выбирать подходящие для себя как по квалификации, так и по уровню цен. Главное, чтобы все имели необходимую аккредитацию в компетентных службах. Эта позиция совершенно правильная, дал реплику Овчинников, однако хочу подчеркнуть, что на аутсорингбанк передает аудит ИБ. За выявленными уязвимостями надо постоянно наблюдать. Залогом успеха в этом станут и экспертиза аутсорсера, и активное участие во всех процессах внутренних служб ИБ банка.

По мнению Андрея Погодина, члена совета директоров Энерготрансбанка, вопросы кибербезопасности следует включать в сферу ответственности Совета директоров и к кибербезопасности следует подходить как к общей корпоративной проблеме управления рисками. Дискуссии на Совете директоров с привлечением топ-менеджеровдолжны включать идентификацию рисков – которые можно избежать, принять, ослабить или перевести на страхование. Необходим специфический план по каждому из подходов. 

Острый обмен мнениями вызвала тема уровня образованности сотрудников отрасли. Зав кафедрой "Защита информации" МТУ, заместитель директора "Транссвязь безопасность" АО "ФЦНИВТ "СНПО "Элерон" Валентин Масановец напомнил, что в соответствии с Федеральным законом №187-ФЗ банковский сектор относится к критической информационной инфраструктуре (КИИ). На сегодняшний день требования к собственным службам информационной безопасности банковских структур определены п.12 приказа ФСТЭК России "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования". Работники структурного подразделения по безопасности должны иметь высшее или среднее профессиональное образование по направлению "Информационная безопасность" или иное высшее или среднее профессиональное образование и при этом пройти обучение по программам профессиональной переподготовки по одной из специальностей по направлениям подготовки "Информационная безопасность" с проведением периодического повышения квалификации не реже 1 раза в 5 лет. Таким образом, сотрудникам службы безопасности банковской отрасли, как и любой другой, которая относится к КИИ, должны быть специалисты со специальным уровнем знаний в области обеспечения безопасности информации. В соответствии со ст.1 федерального закона №193-ФЗ все меры по обеспечению безопасности КИИ РФ и состоянии её защищенности от компьютерных атак являются государственной тайной. Данные нововведения накладывают требования и на сотрудников службы информационной безопасности.

Режим гостайны действительно необходим, но не везде, а только для отдельных сегментов сети – внес ясность Овчинников. С гостайной работают только госбанки, а в коммерческих банках ее просто нет, выразил уверенность Александр Виноградов, начальник управления информационной безопасности АО КБ "Златкомбанк". Что касается обучения – каждый сотрудник внутренней службы ИБ имеет обязательное образование в области ИБ – это 500 часов согласно требованиям ФСБ России. Регулярное прохождение переобучения – это совершенно правильное требование. Хакеры не спят, они регулярно изобретают новые и изощренные способы атак и проникновения в банк. Взять, например, последние случаи с "шифровальщиками" – раньше их не было. ФинЦЕРТвовремя направил об этом необходимую информацию, но новых механизмов противостояния атаке не поступило. Уверен, обучающие семинары, как и курсы повышения квалификации – эти мероприятия жизненно необходимы для любой службы ИБ любого банка – и государственного и коммерческого.

Обсуждая тему технологий биодентификации Юлия Дудкина, коммерческий директор проектного офиса "Цифровая идентичность" Ростелекома, сообщила, что, переход в "цифру" стал одним из способов снижения расходов на операционную деятельность для банка. Концепция digital banking позволила сократить или отказаться от наращивания физического присутствия в регионах, укрепив позиции банка за счет предоставления более выгодных условий. Принятие закона 482-ФЗ дает возможность банкам открывать счета, вклады и выдавать кредиты без необходимости физического присутствия нового клиента в офисе банка. Эксперт отметила, что внедрение удаленной биометрической идентификации позволяет банкам сконцентрироваться на предоставлении качественных цифровых услуг и развивать ИТ-инфраструктуру, сокращая общие операционные издержки.
 

Алексей Сабанов, заместитель генерального директора компании "Аладдин Р.Д.", посетовал, что ключевые вопросы применения биометрических технологий для удалённой идентификации граждан пока остаются без ответа. Кто должен взять на себя риск недостоверной первичной идентификации? Как будет определяться уровень доверия к результатам идентификации? Кто в ответе за действия, от которых доказательно откажется гражданин, на кого лягут эти риски? Эти и другие аналогичные вопросы пока без ответа. Во многих развитых странах принята государственная стратегия идентификации и аутентификации. Может и нам имеет смысл сначала заложить основу?, - задал риторический вопрос Сабанов.

Продолжая тему инновационных технологий, Андрей Погодин обратил внимание участников на важность развития технологий искусственного интеллекта (ИИ). Это развитие находится пока в зачаточном состоянии, но учитывая взрывное развитие нейробиологии, генетики и квантовых вычислений, существует большая вероятность построения антропоморфного ИИ, обладающего необходимым целеполаганием. Уже сейчас алгоритмы ИИ применяются как для "защиты", так и для "нападения", кибератаки и их обнаружение переходят в режим "реального времени", когда скорость проведения деструктивных воздействий и ответной реакции исключает возможное участие человека. Объекты КИИ в ближайшем будущем станут основной целью кибератак, основная роль здесь будет принадлежать ИИ. Поражение объектов КИИ, даже непреднамеренное, может привести к непоправимым для цивилизации последствиям, сообщил Погодин.

Подводя итоги дискуссии, Тимур Аитов отметил, что ИБ-аутсорсинг для малых и средних банков остался единственным способом снижения расходов на задачи ИБ. Поручив сервисы обеспечения ИБ третьей стороне, банк получает взамен адекватный рискам уровень защиты. Однако, "затратные" аутсорс-услуги, включающие ПОД/ФТ и комплаенс, дорого обходятся банкам и фактически выполняются не в их прямых интересах. Централизация услуг аутсорсинга под эгидой ЦБ пока нецелесообразна, введение единого аутсорсера приведет к росту цен на услуги. ИИ хотя и "удесятеряет" возможности человека в сфере ИБ, без присутствия оператора пока работать не может. Надежд терять нельзя – в обозримой перспективевозможно будет создан антропоморфный ИИ, обладающий необходимым целеполаганием. К методам биоидентификации пока надо относиться осторожно, а для страны необходима единая государственная стратегия развития методов идентификации и аутентификации, которой нет.