Какие вызовы ставит современный мир перед банковскими службами информационной безопасности, почему киберрискам придаётся всё большее значение, и отчего происходят громкие утечки данных в банках? Об этом в интервью NBJ рассказал генеральный директор АО НИП «Информзащита» Пётр Ефимов.
- Пётр Валентинович, в прессе всё чаще появляются сообщения об утечках данных в банковских структурах. Возникает ощущение, что ситуация с кибербезопасностью в банковской отрасли находится на катастрофическом уровне, так ли это?
- Если отвлечься от аналитических отчётов производителей различных продуктов для кибербезопасности и заголовков новостных сайтов и посмотреть сухую статистику того же Центрального Банка, то мы увидим другую картину. Во-первых, количество успешных атак на банки снижается, а во-вторых, уровень несанкционированных операций с использованием платёжных карт (0,0018%) примерно в 3 раза ниже установленного Европейской службой банковского надзора норматива (0,005%).
Так что, на мой взгляд, ситуация с кибербезопасностью скорее постепенно улучшается. Те же утечки данных, о которых так громко говорит пресса, связаны не с проникновением хакеров или изощренными компьютерными атаками, а скорее всего с недобросовестным персоналом, штатно допущенным к таким данным. Я думаю, что немалую роль в широком распространении информации о подобных утечках сыграло желание получить «горячие» новости, а не реальный масштаб бедствия. Но это не означает, что можно расслабиться и успокоиться. Эти положительные данные являются плодом усилий банков в вопросах защиты информации.
- Тогда хотелось бы понимать, какие тенденции и вызовы вы видите в банковской отрасли, которые могут оказать реальное влияние на вопросы обеспечения информационной безопасности?
- Вы знаете, мы живём в удивительное время. Мог ли я ещё десять лет назад предположить, что, имея только счёт в банке и мобильный телефон, я смогу в мгновение ока совершать тысячу взаимодействий с внешним миром, начиная с оплаты счета в ресторане и заканчивая инвестированием на фондовом рынке и общением с врачами? Все мы являемся свидетелями беспрецедентной цифровой трансформации экономики, и банковский сектор находится на первом рубеже этой революции. Здесь сошлись два движущих фактора: с одной стороны, запросы на новые цифровые продукты от входящей в активную фазу экономической жизни молодёжи и, с другой, – желание осуществить качественный переход в экономике руководства страны и отрасли.
Мы можем наблюдать, как изменяется западный банковский сектор в связи с адаптацией таких директив, как PSD2 и концепции Bank-as-a-Service, появлением различных финтех компаний. Мы видим инициативы Центрального Банка Российской Федерации по построению технологической инфраструктуры цифровой трансформации. Я думаю, что скорость развития и адаптации новых технологий и есть основной тренд, который бросает вызов не только функции информационной безопасности в банке, но и самому банковскому бизнесу.
- Каковы основные вызовы для служб информационной безопасности современного банка?
- Во-первых, в силу трендов на цифровую трансформацию, уже упомянутых мною, информационная безопасность должна изменяться быстрее основного бизнеса, для того чтобы выступать не в качестве запретительно-ограничительной службы, висящей гирей на проектах новых цифровых продуктов, а помощником и центром компетенции по выравниванию уровня рисков с необходимой функциональностью. Для этого сотрудники служб информационной безопасности должны понимать весь стек современных технологий не хуже разработчиков и DevOps’ов. К сожалению, нам иногда приходится наблюдать, как традиционная ИБ просто не способна общаться на одном языке с продуктовыми командами инновационных проектов, столкнувшись не со штатным банковским служащим, а с программистом из коворкинга, работающего на «маке», раз в две недели выдающего релиз, который разворачивают в среде контейнеризации какого-нибудь облака в рамках концепции «инфраструктура-как-код». А на подходе искусственный интеллект, роботизация, дополненная реальность.
Во-вторых, сейчас рынок ИБ испытывает острейшую нехватку квалифицированных кадров. С укрупнением и выходом на рынок новых больших специализированных игроков, конкуренция за персонал крайне возросла.
В-третьих, мы сейчас наблюдаем смещение акцентов от бумажной безопасности к защите от реальных киберугроз, что ещё больше повышает требования к квалификации и знаниям сотрудников. Ну и нельзя забывать о всё более усиливающемся регулировании, в рамках которого зачастую даже просто понять перечень требований всех регуляторов, актуальных для организации, очень непросто. Опять хочу заметить, что вероятнее всего, для многих заказчиков в скором времени единственным выходом будет отдавать такие активности специализированным поставщикам сервисов.
- Что вы можете сказать о роли информационной безопасности в процессе управления рисками в банке?
- Для любой банковской организации в первую очередь актуальны ключевые риски, связанные с финансовыми потерями частных лиц и организаций, нарушением операционной надёжности и непрерывности оказания финансовых услуг, какими-то системными кризисами, вызванными кибератаками. Хочу заметить, что встраивание именно рисков информационной безопасности в общий процесс управления рисками организации – крайне сложное и кропотливое дело. К сожалению, мы видим очень большую разницу и в методах, и в реализации этого процесса у наших заказчиков. Часто риски в информационной безопасности оцениваются «для галочки» – выполнить требования внешних регуляторов. Распространено также мнение: зачем рассчитывать риски, нам и так всё понятно. И, наконец, некоторые доходят до собственно расчётов, однако лишь для того, чтобы доказать необходимость покупки и внедрения чего бы то ни было. В таком случае расчёты так же неинформативны, потому что делаются с подгонкой под необходимый результат. Но ситуация, на мой взгляд, начинает выправляться. Мы сейчас можем наблюдать активную регуляторную деятельность по интеграции показателей киберрисков в общую систему риск-менеджмента банка в частности и показателей устойчивости финансовой системы Российской Федерации в целом.
Ещё раз хочу напомнить, что процесс анализа рисков – это не одноразовая активность, выполненная по требованию регулятора или для обоснования бюджета. Это именно итеративный процесс, связанный с непрерывным анализом, оценкой эффективности, корректировкой методик и полученных результатов, требующий высокой квалификации и ресурсов. Я думаю, что рано или поздно и этот процесс превратится в сервис, который будут предоставлять банкам специализированные организации, подобно нашей, позволив банкам концентрироваться на своих ключевых продуктах.
- Вы консультируете многие крупные банки. Есть ли какие-то проблемы, которые встречаются у большинства из них?
- Мы очень часто видим проблему внутренней несогласованности. Управление рисками в банках идёт с двух сторон. Бизнес смотрит сверху: какая деятельность и какую прибыль приносит, и что для этой деятельности опасно. Службы безопасности смотрят снизу вверх, исследуя уязвимости. И взгляды эти, почему-то, так и не встречаются, и не возникает понимания, как совместить выявленные уязвимости с бизнес-рисками.
Мы проводили аудит в одном из банков и обнаружили, что «безопасники» понятия не имеют о том, как именно в их банке работают с ценными бумагами. Они просто поставили компьютеры, настроили шифрование согласно требованиям бирж… и всё. А банк половину доходов получал от торговли ценными бумагами. Если бы эта деятельность остановилась на день, то потери были бы больше, чем если бы на несколько дней встала вся остальная инфраструктура.
Обратная сторона – когда бизнес учитывает требования рынка к услугам больше, чем требования к уровню их безопасности. Это хорошо видно на примере выпуска новых приложений: приложения разрабатываются сейчас очень быстро, этого требует рынок. Бизнес торопится.
По-хорошему, перед выпуском приложения на рынок нужно создать методику испытаний, пригласить пентестеров (специалистов, которые проводят испытания, моделируя нападение злоумышленников, ища слабые места в системе), – и это серьёзно увеличит срок выпуска приложения. Всем этим могут пожертвовать в угоду скорости.
Есть ещё один важный нюанс. Внутренние службы информационной безопасности, как правило, субъективны. Оценивают риски, исходя из своего экспертного и жизненного опыта, и не переводят оценку рисков в цифры, рассуждают на уровне «это нам нужно, это не нужно».
- Есть ли какие-то универсальные рекомендации, которые вы могли бы дать руководителям банковских структур?
- Хотим мы этого или нет, но роль киберрисков в общей структуре рисков организации будет всё более возрастать, просто в силу тотальной цифровизации бизнеса. Потенциальные потери от реализации киберугроз также будут увеличиваться. Всё это приведёт к росту затрат на самостоятельное обеспечение защиты от киберугроз из-за усложнения продуктов, платформ и технологий. Поэтому, во-первых, я бы порекомендовал безопасности выстроить партнёрские отношения со специализированными в области информационной безопасности организациями.
Во-вторых, помните, что обеспечение кибербезопасности становится сквозной задачей для всех подразделений. Все бизнес-процессы в компании должны быть построены с привлечением экспертов по информационной безопасности. Процессы управления рисками должны быть органически встроены в процессы управления организацией, а их результаты должны учитываться на стратегическом уровне.
И последняя рекомендация. Не бойтесь привлекать профессионалов. Лучше сосредоточиться на основном продукте, отдав непрофильные активности поставщикам сервисных услуг, а не пытаться в одиночку выплыть в этом бурном море.
По материалам АРБ со ссылкой на НБЖ
