04.08.2014

Забота наша простая…

"Национальный банковский журнал", № 8 (123), август, 2014<br>
Экспертный комментарий Сергея Котова, эксперта по информационной безопасности компании "Аладдин Р.Д."

Наверное, не вызывает сомнений тот факт, что банки в первую очередь заботятся о профилактике своих потерь, защищая клиентов в той мере, в какой это достаточно для безопасности своего бизнеса, своей репутации и своих конкурентных преимуществ. Частые потери отдельных клиентов – несанкционированные списания с карточных счетов при электронных транзакциях и других операциях – пока не являются достаточным стимулом для выстраивания непреодолимой китайской стены между доверенными банку деньгами и киберзлоумышленниками. Однако финансово-кредитные организации активно работают в этом направлении, поскольку понимают: экономия на средствах защиты может обернуться огромными потерями, причём не только финансовыми.

Стандарты пишутся, проблемы остаются

Центр тяжести решений по безопасности платежей, по мнению советника генерального директора Финансовой корпорации "Открытие" Михаила Левашова, находится в банке и в промежутке между банком и клиентом. Можно добавить, что в наиболее критических случаях он практически "проваливается" в этот промежуток. Как иронично замечает эксперт по информационной безопасности компании "Аладдин Р.Д." Сергей Котов, девятая статья ФЗ № 161 вступила в силу, а ничего во взаимоотношениях между банками и клиентами, в случае хищения средств последних, не изменилось. Как и раньше, кредитные организации часто реагируют с подкупающей простотой на подобные жалобы, но без подкупающей отзывчивости: "У вас украли деньги? Как жаль, мы ничем не можем помочь!"

А между тем среда, испытывающая защищённость банковских технологий и процедур на прочность, становится агрессивнее. Весной этого года атаке подверглись информационные системы Альфа-Банка, ТКС Банка и Промсвязьбанка. Центробанк располагает данными о том, что в России в месяц происходит более 20 тысяч кибератак на банки, при этом даже организации, считающиеся безусловными лидерами рынка – Сбербанк и ВТБ, не застрахованы на 100% от нападений злоумышленников. Ранее публиковалось в СМИ сообщение МВД  РФ, что в результате кибератак российские финансовые институты уже потеряли 70 млн рублей.

Разумеется, развитие средств нападения почти всегда опережает развитие инструментов защиты. Системы безопасности формируются как реакция на угрозы – это очень недешёвое удовольствие. Дорого стоят технологии и "железо", недёшевы и специалисты, конечно, при условии, что банк не стремится укомплектовать штат своего ИБ-департамента "мальчиками" и "девочками", не имеющими опыта и необходимых навыков и знаний.

"Крупные игроки в состоянии позволить себе защиту от угроз, которые только возникают или могут возникнуть. Но службы безопасности организаций, не имеющих значительных ресурсов, в большей степени ждут ценных указаний от регулятора и нормативных документов, чтобы иметь возможность прийти к руководителю, рассказать о требованиях закона и заложить определенный бюджет под нужды информационной безопасности", – сетует начальник отдела методологии процессов ИБ Связного Банка Игорь Усачёв. Найдут ИБ-директора понимание у топ-менеджеров своих банков или нет – другой вопрос, единого ответа на который, конечно, не может быть.

Само существование служб информационной безопасности стало неизбежным только после выхода в 2012 году Положения Банка России № 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств". Раньше службу ИБ представлял человек или группа людей, которые не имели правового статуса.

Регулятор между тем формулирует рекомендации и стандарты – взвешенные, адекватные ситуации, но не обязательные к исполнению. Как сообщил в интервью NBJ заместитель начальника Главного управления безопасности и защиты информации Банка России Артём Сычёв, новый стандарт ЦБ РФ по обеспечению информационной безопасности создаёт подробную методологическую базу. В его предложениях специалисты кредитных организаций найдут ответы на многие вопросы: как выстроить процесс реагирования при выявлении инцидентов, возможно ли минимизировать последствия прецедентов, какую связь имеют кибератаки с внутренними нарушениями? Весь комплекс стандартов исходит из одной простой задачи: риски возникают в результате деятельности самих финансовых институтов и зависят от проводимых операций, масштабов бизнеса, характера того окружения, в котором они работают. "Наши рекомендации в области стандартизации не нацелены на то, чтобы выполнять их от а до я – это могут лишь крупные игроки, – резюмирует Артём Сычёв. – Документ отражает актуальные тенденции и даёт банкам возможность оценить, насколько тот или иной риск характерен для их бизнеса. Если после ознакомления с нашими методиками специалисты выявляют те или иные проблемы в бизнесе, то в "учебнике" – комплексе документов в области стандартизации информационной безопасности (СТО БР ИББС) – они найдут рецепты их устранения".

Закон суров, но необходим

Эксперты по безопасности приветствовали публикацию письма Центрального банка РФ от 24 марта 2014 года № 49-Т "О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности" за подписью первого заместителя председателя Банка России Алексея Симановского. Но речь опять же идёт только о рекомендациях финансовым институтам по защите от вредоносного кода (ВК) на объектах собственной инфраструктуры таким образом, чтобы защитить не только сами банки от ВК, но и клиентов систем дистанционного банковского обслуживания (ДБО). При этом предполагается внести пункты об организации защиты от ВК в договоры с клиентами и провайдерами.

 Среди требований по защите, отмечают эксперты Ассоциации по вопросам защиты информации, есть экзотические, например системно-независимый контроль на наличие ВК, который предполагает загрузку системы с заведомо чистого носителя и выполнение проверки из независимой операционной системы. Впрочем, требования такие, что внедрением просто антивирусных продуктов их реализовать не получится. Нужен также контроль съёмных носителей, централизованный анализ системных журналов средств защиты от ВК, системно независимый мониторинг и др. Исполнение рекомендаций потребует от кредитной организации выстраивания полноценной системы защиты от вирусов, которая к тому же будет интегрирована с аналогичными системами клиентов и провайдеров.

 Законодательные требования для банков по защите от вредоносных кодов назрели уже достаточно давно, делают вывод эксперты Ассоциации. Отмечается переключение хакеров с атак на клиентов ДБО на сами банковские системы, что становится уже опасным для бесперебойного функционирования финансово-кредитных организаций в целом. Собственно, требования по защите от вредоносных кодов есть и в различных стандартах в области информационной безопасности, в том числе и самого Центробанка. Есть надежда, что после распространения данного письма банки всё-таки будут вынуждены реализовать указанные в нем требования по защите от ВК.

Среди других наиболее важных пунктов новых рекомендаций эксперты отмечают необходимость банков разработать внутренние регламенты борьбы с хакерскими атаками. Результаты мониторинга кибербезопасности кредитной организации рекомендовано оценивать не реже чем раз в квартал.

И всё же общее настроение рынка в отношении скрижалей, на которых должна быть выстроена система информационной безопасности российского банкинга, выражается в ожиданиях профильного закона. Как сказал по этому поводу председатель комитета Ассоциации российских банков по банковской безопасности Александр Велигура, получается какой-то замкнутый круг: пока не заставят сверху, никто безопасность обеспечивать не будет. А пока всё подчиняется известному закону, сформулированному классиками марксизма-ленинизма: верхи в силу каких-то причин не могут, а низы не хотят.