А вам нравится «BIS Journal»?

Присоединяйтесь к обществу профессионалов по информационной безопасности.

«BIS Journal» рекомендует!
Нажмите МНЕ НРАВИТСЯ!

28 апреля, 2015«BIS Journal» № 2(17)/2015

Фролов Дмитрий

руководитель Цетра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT), доктор политических наук, кандидат юридических наук (Банк России)

Неваленный Александр

главный специалист по информационной безопасности (ООО «АТАК» (Группа Auchan))


Противодействовать кризису

Особенности обеспечения информационной безопасности в кредитно-финансовой сфере в условиях кризиса

В условиях кризиса 1, несмотря на активное развитие систем информационной безопасности и государственного контроля качества её обеспечения, организации кредитно-финансовой сферы подвержены повышенным рискам. Предшествующий отечественный опыт успешных действий в этой области подсказывает, что нужно делать для противодействия кризисным явлениям в настоящее время.


ФИНАНСОВЫЙ КРИЗИС 1998 ГОДА

В начале 1990-х годов банковская система Российской Федерации включала в себя множество относительно молодых, недавно созданных банков — кредитных организаций, которые вначале открывались зачастую для обслуживания конкретных юридических лиц. На тот период правовое обеспечение кредитно-финансовой сферы не поспевало за быстрыми темпами рыночных реформ, было не согласованно с мировой практикой и международными соглашениями России в области банковской и налоговой деятельности.

Быстрое реформирование кредитно-финансовой сферы в 1990-е годы породило ряд противоречий и угроз экономической безопасности, включая, в том числе, выведение денежного капитала за пределы страны, а также интенсивное развитие «теневой» экономики и другие. Не было соответствующей автоматизации банковской деятельности, единых, совместимых аппаратных и программных средств. Филиалы банков работали во многом автономно, деятельность на валютных и ценных бумаг биржах осуществлялось в большинстве «ручная». Использовались системы отправки факсимильных сообщений, телетайп, в лучшем случае – низкоскоростные модемы.

Высокие ставки рефинансирования Банка России и острая криминогенная обстановка в стране подталкивали многие банки к осуществлению различной не вполне профильной деятельности. В том числе связанной с выводом денежных средств в оффшорные зоны, организацией схем ухода от уплаты налогов, отмыванием средств, полученных коррупционным путём и т. д. Надлежащие проверочные механизмы валютного контроля, ПОД/ ФТ практически отсутствовали.

При недостаточной автоматизации банковских бизнес-процессов и низкой степени государственного контроля за деятельностью банков существовали различные угрозы, связанные с информационной безопасностью. Начиная от подделки факсимильных сообщений, разглашения сведений о проводимых сделках и их результатах, и заканчивая блокировкой деятельности бирж путем перегрузки линий, по которым осуществлялось телефонная связь банков с биржами. Появлялись первые целенаправленные вредоносные программы: в 1993 году была зафиксирована попытка кражи денег в Банке России в размере 68 млрд рублей 2.

В итоге в 1998 году, когда Банк России прекратил поддержку обменного курса национальной валюты по отношению к доллару США, произошло резкое обесценивание рубля, в несколько раз. В результате многие банки прекратили обслуживание клиентов, обанкротились, их сотрудники в большинстве потеряли работу, а стоимость товаров первой необходимости резко возросла. В усугубление финансового кризиса, кроме экономических аспектов, внесли негативный вклад и действия, вызванные недостаточным уровнем обеспечения информационной безопасности банков, включая противозаконные.

Поэтому после преодоления последствия кризисных тенденций 1990-х годов начинает расти осознание усиления роли информационной безопасности как неотъемлемой составляющей экономической и национальной безопасности. В ведущих вузах страны открываются факультеты, специализированные институты и кафедры информационной безопасности (в МИФИ, МГТУ им Н.Э. Баумана, МГУ им. М. В. Ломоносова, РГГУ и др.), что также способствовало усилению значимости этого направления.

ФИНАНСОВЫЙ КРИЗИС 2008 ГОДА

В начале 2000-х годов происходит бурное развитие информационных технологий и телекоммуникаций — высокоскоростных каналов связи, систем дистанционного управления банковскими счетами (банк — клиент), пластиковых карт, активное использование сети интернет. В условиях глобализации российское банковское дело столкнулось с теми же вызовами и проблемами, что и за рубежом: вопросами выживаемости и конкурентоспособности в новых условиях, с учётом интересов клиентов.

До этого многие банковские услуги носили характер привилегированного сервиса по причине высокой стоимости. Еще в 1988 году Внешэкономбанк начал выпускать карты международной платёжной системы VISA, но для узкого круга лиц. Начинало приобретать популярность дистанционное банковское обслуживание (ДБО), в результат чего клиент приобрёл более широкий выбор того, в каком банке ему обслуживаться, какими сервисами пользоваться.

В то же время в начале 2000-х годов произошло формирование рынка товаров и услуг по ИБ для банков. Развились отечественные компании — разработчики и поставщики таких решений: «КриптоПро», «СигналКом» и ряд других. Перед банковскими организациями возникла задача использования криптографических средств защиты информации. К этому их подталкивала, в частности, необходимость чётко выполнять положения Федерального закона от 10 января 2002 года № 1-ФЗ «Об электронной цифровой подписи». Оспаривание клиентом того или иного платёжного поручения в рамках использования систем банк — клиент могло дорого обойтись банку в случае некачественной организации криптографической защиты, включающей средства электронно-цифровой подписи.

Проявилась и другая актуальная проблема ИБ банков — кража ключей клиентов для системы банк — клиент, скимминг — считывание сведений банковских карт путем установки специального оборудования на банкоматы 3. Так, например, по информации компании Group-IB, на 2011 год злоумышленникам удалось украсть $ 400 млн с пластиковых карт россиян 4. Банки столкнулись и с DDoS-атаками на их интернет-ресурсы. Эти проблемы подтолкнули к созданию в кредитных организациях специальных подразделений, занимающихся обеспечением информационной безопасности, чтобы усилить защиту, противодействовать актуальным угрозам компьютерным ресурсам.

Хорошее финансовое состояние позволяло крупным и средним банкам приобретать дорогостоящее оборудование, держать соответствующий штат специалистов. Но даже в этих условиях фиксировалось огромное количество инцидентов ИБ, обычно связанных с отсутствием системного и непрерывного подхода к обеспечению безопасности. Другой частой причиной инцидентов было то, что многие вопросы ИБ банковского обслуживания отдавались на откуп клиентам, особенно в системах ДБО.

В 2008 году влияние международного финансового кризиса на российские банки оказалось усилено их зависимостью от доступа к зарубежным кредитным ресурсам, а также выпуском еврооблигаций под залог собственных акций крупных предприятий 5. Многие отечественные банковские организации вынуждены были прекратить свою деятельность или осуществить перестройку своего бизнеса, провести массовые сокращения персонала. Увольнения коснулись и специалистов ИБ: руководители некоторых банков предпочитали подчинить данное направление сотрудникам ИТ. Что также дозволялось довольно мягкими в то время требованиями ФСБ России к лицензированию в области криптографии. До 2012 года необходимо было иметь двух специалистов всего с 72 часами профильного повышения квалификации, в отличии от нынешних требований 512 учебных часов и 3-х лет опыта работы.

На фоне уменьшения финансирования ИБ, снижения поддержки подразделений ИБ и массовых увольнений специалистов активизировали деятельность специализированные организованные группировки киберпреступников. В сфере киберкриминала шли процессы разделения труда и сфер ответственности, в том числе уголовной, использование «аутсорсинга», создание собственной сетевой инфраструктуры и многие другие нововведения. Криминал начал специализироваться на краже денежных средств со счетов клиентов, — с пластиковых карт, с баланса мобильных устройств связи, с электронных счетов. Инструментами злоумышленников стали кражи криптографических ключей, хищения персональных данных для дальнейшего расширения своей преступной деятельности, осуществление целевых атак на конкретные банки. 

Все это требовало от банковского сообщества принятия соответствующих мер, связанных с усилением роли государственного регулирования, в первую очередь — осуществляемого Банком России. Также оказалось востребованным развитие взаимодействия с другими государственным регуляторами информационной безопасности банков — ФСБ России, ФСТЭК России и Роскомнадзором, более тесных контактов с правоохранительными органами, а также усиление межбанковской взаимопомощи в этой сфере.

ФИНАНСОВЫЙ КРИЗИС 2014 ГОДА

2009–2012 годы придали новый импульс развитию ИБ кредитно-финансовой сферы. Интеграция обязательных требований Федерального закона от 27 июня 2006 года № 152 «О персональных данных» в отраслевой стандарт Банка России СТО БР ИББС повысила популярность этого документа в банковской сфере. Принимая этот стандарт, выполняя его нормы в области защиты персональных данных, банки стремились выполнять и другие требования Банка России к обеспечению информационной безопасности, что улучшило в целом состояние их защищенности. 

Федеральный закон от 27 июня 2011 года № 161 «О национальной платёжной системе» окончательно закрепил за Банком России контроль качественных и количественных показателей информационной безопасности кредитных организаций и других субъектов национальной платёжной системы. Что более детально было отражено в Положении Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» 6.

Также было усилено взаимодействие банков через Ассоциацию российских банков (АРБ). Создание различных рабочих групп способствовало развитию и усилению межведомственного взаимодействия с государственными регуляторами информационной безопасности и правоохранительными органами, позволяло более оперативно, гибко и эффективно решать различные вопросы. В этих целях Банк России создаёт Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере. Цель его работы, как пояснил заместитель начальника Главного управления безопасности и защиты информации Банка России А. М. Сычев на VII Уральском форуме «Информационная безопасность банков», — профилактика компьютерных преступлений и оперативное реагирование на возникающие угрозы.

Банковское сообщество оказалось перед лицом и новых угроз. По данным открытых источников, в том числе согласно разоблачениям, сделанным Эдвардом Сноуденом, документально подтверждённым на сайте Викиликс, в качестве одной из таких угроз актуализировались не декларированные возможности программного обеспечения. В адрес спецслужб США звучат обвинения, что эти возможности используются ими для тотального контроля телекоммуникаций — ведения глобальной слежки, в том числе в финансовой сфере.

Неблагоприятным фактором для отечественных банков является и возможность санкций со стороны США, их сателлитов и Евросоюза из-за кризиса на Украине. Адресные санкции, закрывающие возможности работы за границей, против отдельных банков уже введены. Возможны и санкции против российской банковской системы в целом — отказ от поставок современных IT-технологий, возможное отключение от международной системы банковских платежей SWIFT и другие.

Международная ситуация требует от банковского сообщества России учитывать подобные политические риски, которые проецируются на обеспечение их информационной безопасности, и заранее готовить средства нейтрализации этих новых угроз. Среди таких мер — формирование отечественной доверенной среды в информационном пространстве и постановка импортозамещения.

Нормативно-правовой базой противодействия новым угрозам информационной безопасности банковской сферы служат:
  • Федеральный закон РФ от 06 апреля 2011 года № 63 «Об электронной подписи»;
  • Федеральный закон РФ от 27 июня 2011 года № 161 «О национальной платёжной системе»;
  • Федеральный закон РФ от 5 мая 2014 года №112-ФЗ «О внесении изменений в ФЗ «О национальной платежной системе» и отдельные законодательные акты РФ»;
  • Федеральный закон РФ от 21 июля 2014 года № 242 «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
На этой основе, а также в соответствии со стандартом СТО БР ИББС и другими нормативными документами Банка России, была создана Национальная система платёжных карт — НСПК, что позволило обязать такие ведущие международные платёжные системы как VISA и MasterCard проводить транзакции через процессинговый центр, размещенный в России. Для противодействия новым угрозам в кредитно-финансовой сфере, усиления защитных мер и построения действенной системы обеспечения информационной безопасности необходимо дальнейшее развитие законодательства и нормативных документов.

ВЫВОДЫ

Финансовые кризисы 1998, 2008 и 2014 годов в полной мере продемонстрировали расширение проблематики информационной безопасности в кредитно-финансовой сфере. Почти повсеместное использование IT-сервисов, в том числе посредством сети интернет (систем банк — клиент, интернет-магазинов и т. п.), массовое использование иностранного оборудования и программного обеспечения обостряют опасность информационных угроз. Возможности новых санкций, масштабных IT-атак и диверсий, кибервойн, организации крупных хищений средств делают защиту информационных ресурсов российских банков вопросом национальной безопасности.

Как мы видели, в условиях финансовых кризисов проблематика информационной безопасности банков расширяется и становится более острой. Противодействие кризисным явлениям в этой сфере требует системного подхода; в повестку дня включаются многие вопросы, решение которых прежде откладывалось на долгие годы. В их числе — необходимость поддержки научных исследований и разработчиков решений по информационной безопасности. А также государственное субсидирование предприятий — производителей отечественного IT-оборудования и программного обеспечения. 

Повышенного внимания заслуживает и подготовка специалистов по ИБ для банковской сферы с участием самих банков: развитие требований к учебным программам вузов, создание на контрактной основе целевых учебных мест, организация сквозной производственной практики студентов, направление выпускников по распределению на различные предприятия.
 

Создание единой системы ИБ кредитно-финансовых организаций и платёжных систем — длительная и кропотливая работа. В первую очередь, по мнению авторов, надо исходить из того положения, что, обеспечивая необходимые требования на своём участке, направлении деятельности, мы тем самым создаём основу для укрепления общей системы обеспечения ИБ нашей страны в целом.


----------------------------------------------------------------------------------------------------------

Финансовый кризис — временное переходное состояние, вызванное проблемами, в результате которых выявляются скрытые конфликты и диспропорции, существующие средства достижения целей становятся неадекватными и возникают непредсказуемые ситуации.

http://www.kommersant.ru/doc/69687

http://www.aferizm.ru/poddelka/valuta/pp_plast_kart.htm

http://www.gazeta.ru/techzone/2011/10/21_a_3808934.shtml

http://bonds.finam.ru/comments/item/raiyffaiyzenbank-rublevye-obligacii-rossiiyskix-bankov-v-2008-godu

С изменениями и дополнениями от: 5 июня 2013?года (3007-У), 14 августа 2014 года (3361-У).


 

Поделитесь с друзьями:

Мы в социальных сетях

События

Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31