24 декабря, 2012, BIS Journal №4(7)/2012

Щедрость по разуму


Головлев Павел

Начальник управления безопасности информационных технологий (ОАО «СМП Банк»)

Затраты на обеспечение информационной безопасности должны учитываться в нормативах эффективности работы банка

На различных форумах практиков информационной безопасности с завидным постоянством появляется один и тот же вопрос: как убедить руководство проявить разумную щедрость – выделять необходимые средства на её обеспечение? Ответы также не отличаются разнообразием: посчитав риски, доказать руководству необходимость этих трат...

ТРИ ПРЕПЯТСТВИЯ

«Как бы кропотливо и тщательно вы ни готовили выборку, вам всегда могут сказать, что она неправильна, не применима к данной проблеме».
Четвертый закон проверки.

Судя по регулярности, с которой повторяются обсуждения поставленного вопроса, решение, однозначно удовлетворяющее руководство, специалистами по информационной безопасности до сих пор так и не найдено. Несмотря на всё обилие предлагаемых методик и инструментов расчёта рисков. Попробуем разобраться, почему процесс не идёт.

Первым препятствием является обилие и разнообразие информационных ресурсов, требующих защиты. Одних информационных систем в любом банке наберется под сотню, а то и больше. При этом они часто взаимно пересекаются в самых разнообразных комбинациях и сочетаниях – на уровне пользователей, объектов IT-среды и информационных активов. При этом требования целостности, доступности и конфиденциальности одного и того же актива в разных системах разные.

Следующей препоной является достоверность оценки рисков и возможного ущерба, то есть вероятностей нарушений в сфере защиты информации и связанных с ними последствий. Обсуждение этой темы часто превращается в схоластические конструкции типа «сколько ангелов поместится на кончике иглы».

Например, при оценке риска проникновения злоумышленника в информационную систему процессинга от ответа на вопрос о том, сколько нулей он «пририсует» к своему счёту, зависит «высокая» или «низкая» оценка возможного ущерба. Также встаёт проблема возможного ущерба, связанного с нарушением порядка работы с персональными данными. Количественная оценка такого ущерба однозначно доказывает: проще его принять, чем предпринимать меры нейтрализации.

Третье препятствие является произведением первых двух – объём работы такой, что справиться с ним невозможно даже при автоматизации процесса. Пока будет завершён «обсчет» одной системы, в трёх других ситуация поменяется, и ещё, дополнительно, поступит информация о новых внешних рисках, затрагивающих большинство систем.

Вспомним золотое правило: расходы на безопасность не должны превышать возможного ущерба. Следовательно, возникает вопрос, какую долю оценённого возможного ущерба, с учётом степени риска, необходимо выделить на обеспечение информационной безопасности. Следующий вопрос – как считать совокупную стоимость владения, учитывая, что найденное решение, как правило, не одноразовое и регулярно требует вложения новых ресурсов. Опыт показывает, что практически все работающие решения требуют последующей «абонентской платы», и нет никаких гарантий, что обслуживание впоследствии не станет дороже.

Но даже если получится найти достаточно убедительные ответы на все поставленные вопросы, высока вероятность в ответ услышать от руководства знаменитую фразу К.С. Станиславского: «Не верю!..». Даже если этого не случится, неизбежен вопрос руководства, что мы с этого будем иметь. «Просители» из других подразделений банка, например, маркетинга или информационных технологий, могут посулить привести больше клиентов или увеличить производительность труда. А сотрудники службы информационной безопасности могут пообещать только, что банк какое-то время не будет нести «непредвиденные» потери. Увы, по законам психологии установка, содержащая частицу «не», воспринимается гораздо хуже.

В результате можно с грустью констатировать: академическая схема обоснования расходов на информационную безопасность часто не работает. Опыт многих коллег из разных компаний показывает, что выделение бюджета часто является нелинейной однонаправленной функцией субъективного мнения лиц, принимающих решение, русского «авось» и общей энтропии принятия управленческих решений.

НОРМАТИВЫ ПОМОГУТ

«Работая над решением задачи, всегда полезно знать ответ».
Правило точности.

Убедительные для руководства аргументы можно поискать в действующей нормативно-правовой базе, регламентах и стандартах. «Священным белым слоном» для всех банковских руководителей является норматив достаточности капитала Н1. Этот показатель, в соответствии с инструкцией Банка России №110-И, «регулирует (ограничивает) риск несостоятельности банка и определяет требования по минимальной величине собственных средств (капитала) банка, необходимых для покрытия кредитного, операционного и рыночного рисков. Норматив Н1 определяется как отношениеразмера собственных средств (капитала) банка и суммы его активов, взвешенных по уровню риска. В расчет норматива Н1 включаются:

  • величина кредитного риска по активам, отраженным на балансовых счетах бухгалтерского учета (активы за вычетом сформированных резервов на возможные потери и резервов на возможные потери по ссудам, по ссудной и приравненной к ней задолженности, взвешенные по уровню риска);
  • величина кредитного риска по условным обязательствам кредитного характера;
  • величина кредитного риска по срочным сделкам и производным финансовым инструментам;
  • величина операционного риска;
  • величина рыночного риска».

В документах Банка России нашли отражение и определения «Базеля-II» – методических рекомендаций комитета по банковскому надзору «Международная конвергенция измерения капитала и стандартов капитала: новые подходы»:

«Операционный риск определяется как риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий. Это определение включает юридический риск, но исключает стратегический и репутационный риски. Виды операционных рисков:

  • риск персонала – риск потерь, связанный с ошибками и противоправными действиями работников Банка, их недостаточной квалификацией, излишней загруженностью, нерациональной организацией труда в банке и т.д.;
  • риск процесса – риск потерь, связанный с ошибками в процессах проведения операций и расчетов по ним, их учета, отчетности, ценообразования и т.д.;
  • риск технологий – риск потерь, обусловленных несовершенством используемых в банке технологий – недостаточной ёмкостью систем, их неадекватностью по отношению к проводимым операциям, грубости методов обработки данных, или низкого качества, или неадекватности используемых данных и т.д.;
  • риски внешней среды – риски потерь, связанные с изменениями в среде, в которой функционирует Банк – изменения в законодательстве, политике, экономике и т.д., а также риски внешнего физического вмешательства в деятельность организации».

Таким образом, риски информационной безопасности являются не последней по значимости составной частью операционных рисков. Казалось бы, в таком случае расходы на обеспечение информационной безопасности должны учитываться в формуле расчёта норматива Н1 аналогично резервам на покрытие других рисков и, тем самым, приводить к увеличению значения норматива.

В самом деле, вложения в обеспечение информационной безопасности направлены именно на снижение операционного риска, который рассчитывается, в соответствии с положением Банка России №346-П, как 15% среднего за 3 года чистого дохода банка. Затраты на информационную безопасность можно было бы учитывать как величину, снижающую величину операционного риска, и тем самым влияющую на норматив достаточности капитала.

Но, к сожалению, применяемая в настоящее время методика расчета норматива Н1 не предусматривает такой возможности, что, в общем-то, не совсем корректно. Фактически получается, что в формуле расчёта одного из ключевых показателей деятельности кредитной организации негативные факторы учитываются, пусть и через достаточно эмпирическую формулу, а затраты на компенсацию этих негативных факторов – нет.

Внесение соответствующих корректив в формулу расчёта дало бы в руки службам информационной безопасности банков весомый аргумент в пользу принятия решения о выделении средств. На вопрос, что будем с этого иметь, можно было бы ответить: не только снизим риски, но и увеличим значение норматива достаточности капитала!

Такой подход выглядит еще более целесообразным в свете положения Банка России от 31 мая 2012 года №380-П «О порядке осуществления наблюдения в национальной платежной системе». В котором явно прописано: «...в случае выявления недостатков (негативных факторов) в деятельности наблюдаемых организаций. могут быть разработаны... предложения. повышения уровня финансового состояния наблюдаемых организаций, обеспечивающих функционирование ЗПС [значимой платежной системы – ред.], в том числе посредством дополнительной капитализации» (п.4.1 и 4.2).

Таким образом, «кнут» регулятора уже определен, а вот «пряник» – пока нет. Хотелось бы надеяться, публичное обсуждение этого вопроса поможет сдвинуть процесс с мёртвой точки. Конечно, учёт затрат банков на информационную безопасность потребует разработки специальной методики. Которая должна учитывать заработную плату сотрудников соответствующих служб, затраты на лицензии, документацию, оборудование, программы и работы внешних исполнителей. Потому что эти расходы, хоть и выглядят операционными, фактически являются «вменёнными» на основании требований регуляторов.

УБЕДИТЬ РАСКОШЕЛИТЬСЯ

«Любые предложения люди понимают иначе, чем тот, кто их вносит.
Третий закон Чизхолма.
Следствия:
1. Даже если ваше объяснение настолько ясно, что исключает всякое ложное толкование, все равно найдется человек, который поймет вас неправильно.
2. Если вы уверены, что ваш поступок встретит всеобщее одобрение, кому-то он обязательно не понравится».

Тем не менее, давайте представим, что интересующее нас изменение внесено и заветная формула расчета норматива Н1 приобрела следующий, возможно, небесспорный вид:

где введены 3 новые переменные:

ИБ0 – расходы на информационную безопасность текущего года,
ИБ1 – расходы на информационную безопасность прошлого года,
ИБ2 – расходы на информационную безопасность позапрошлого года.

Остальные переменные – в соответствии с Инструкцией Банка России № 110-И.

Расчётами по этой формуле можно обосновывать руководству выделение годового бюджета на информационную безопасность в размере, например, 10% от операционного риска, а фактически – 1,5% среднего чистого дохода за 3 года. В точном соответствии с п. 2.11.1 положения №382-П.

В общем-то, каждый банк волен выбирать любое значение отношения величины бюджета ИБ к размеру операционного риска в зависимости от своей политики управления доходностью, операционным риском и нормативом достаточности капитала. В данном случае цифра 10% выбрана для общего описания методики, её соответствие современной практике будет подтверждено ниже.

Для оценки потенциального влияния расходов на ИБ на норматив достаточности капитала воспользуемся формами отчётности №134 и №135, размещёнными на сайте Банка России по состоянию на 1 января 2012 года. Ограничимся расчётом для первого года работ по бюджету согласно изложенной схеме, приняв остальные параметры формулы расчёта норматива за константы. То есть уменьшим значение операционного риска на 10%, пересчитаем значение норматива Н1, определим разницу между «старым» и «новым» значениями и, в зависимости от этой разницы, сгруппируем абсолютные значения затрат на ИБ.

Приведенные ниже графики показывают, что, в случае выделения на ИБ 10% величины операционного риска, для кредитных организаций России значение норматива Н1 увеличится не более чем на 0,4%. При этом основное изменение составит не более 0,1%.

Так, у 235 организаций из 919 значение норматива Н1 изменится не более чем на 0.1%. При этом среди этих организаций есть та, которая может потратить для такого изменения менее 100 000 рублей, но есть и такая, которая может потратить до 6 млрд рублей. Но при этом 75% организаций этой группы могут потратить не более 13 млн рублей, хотя среднее арифметическое по группе – более 50 млн рублей. Побочным эффектом таких вычислений является понимание, что на среднее арифметическое при таких расчётах опираться нельзя.

На величину от 1,9% до 2% значение норматива изменится только у 5 организаций, но при этом и затраты они понесут меньшие. По всей видимости, это связано с политикой управления нормативом Н1 в каждой конкретной организации, но этот вопрос находится за рамками данной статьи (график 1).

К слову, цифры, приведённые в дальнейших выкладках, имеют практически линейную зависимость отношения затрат на информационную безопасность к операционным рискам. Поэтому, в случае затрат на информационную безопасность, равных 100% операционного риска, все цифры на графиках, за исключением количества кредитных организаций, достаточно просто умножить на 10. То есть изменение норматива составит 4% и 1% соответственно, но и затраты возрастут десятикратно.

Приведенные линии – аппроксимация, посредством степенной функции, графиков изменения основных статистических характеристик (минимума, максимума, среднего арифметического и трех квартилей: первого, второго и третьего) распределения возможных затрат на информационную безопасность, применительно к их влиянию на значение норматива Н1. На эти графики наложен график, отражающий по правой оси количество организаций в соответствующем интервале изменений норматива.

За счет аппроксимации реальных значений графики являются, скорее, качественными, иллюстрирующими общую тенденцию. Все желающие могут повторить моделирование в любой программе работы с таблицами на основе общедоступных данных и своих собственных вариантов формулы расчета.

Думаю, что такое коллективное моделирование может быть даже полезно для определения оптимальной формулы. Общие по отрасли цифры приведены на врезке к графикам, из которых можно сделать 3 вывода, 2 «качественных» и 1 «количественный».

Вывод первый: «счастливчиков», которые смогут «малой кровью» значительно изменить значение показателя Н1, совсем немного. Основной массе кредитных организаций придется нести достаточно серьезные расходы.

Второй: в каждой группе (срезе) и в целом по отрасли большинство кредитных организаций смогут себе позволить потратить на информационную безопасность сумму значительно меньшую, чем лидеры.

Третий вывод: при финансировании информационной безопасности в 10% операционного риска эта сумма в большинстве случаев не превысит 5 млн рублей в год. 50 млн рублей в год может выйти лишь в случае 100% покрытия операционного риска. С достаточной степенью уверенности можно предположить, что средством компенсации снижения доходности станет пропорциональное увеличение процентных ставок и комиссий.

ПРАКТИКА ПОДТВЕРЖДАЕТ ТЕОРИЮ

«Независимо от единиц измерения, используемых поставщиком или покупателем, производитель будет использовать свои собственные произвольные единицы измерения, переводимые в единицы поставщика или покупателя с помощью странных и неестественных коэффициентов пересчёта».
Теорема Вышковского

Достаточны ли такие суммы, чтобы выполнить все требования регуляторов и обеспечить надёжную информационную защиту кредитно-финансовой организации и её клиентов? Представляется, что мало кто из специалистов по информационной безопасности, работающих в банках, сможет положительно ответить на этот вопрос.

Экономика вопроса такова: предложения вендоров, отвечающие многочисленным требованиям регуляторов, сформировали для банков обширный оптовый рынок решений и услуг по информационной безопасности. Банки вынуждены покупать дорогостоящие продукты, но не могут даже частично вернуть эти затраты, не говоря уже о том, чтобы с прибылью.

Потому что сделать это можно только за счёт удорожания розничных услуг. Но клиенты не готовы дополнительно платить за повышенный уровень информационной безопасности банковских услуг. Примером может служить крайне низкое распространение страхования информационных рисков, связанных с разными видами дистанционного банковского обслуживания.

Не так давно компания IDC представила отчет Russia IT Security Services Market 2012–2016 Forecast and 2011 Vendor Shares, из которого следует, что в 2011 году объём рынка услуг в области информационной безопасности в России составил $ 445 млн, на 43% больше, чем годом ранее. С 2012 по 2016 годы рост этого рынка прогнозируется в среднем на 28,1% в год.

Интересно сравнить эти цифры с оценкой аналитиков компании Group-IB, приведённой на V международной конференции администраторов и регистраторов национальных доменов стран СНГ, Центральной и Восточной Европы: «Доходы хакеров в России оценивают в $ 2,3 млрд а русскоязычных киберпреступников – в $ 4,5 млрд. При этом оборот глобального рынка киберпреступлений оценивается в $ 12,5 млрд» (http://www.itsec.ru/newstext.php?news_id=87165) и оценкой компании Symantec, приведенной в исследовании Norton Cybercrime Report 2012: «Уровень ущерба пользователей от киберпреступлений во всем мире за последние 12 мес. достиг $110 млрд. В России за последние 12 мес. более 31,4 млн человек стали жертвами киберпреступников. В денежном выражении ущерб составил порядка $2 млрд».

Выходит, что существующий рынок товаров и услуг по информационной безопасности практически идеально укладывается в «академическую схему». При этом его объёмы составляют не самые малые «страховые» 20% величины потенциального ущерба. С другой стороны, оказывается, что $ 445 млн. ущерба по всем отраслям – это всего 8% объема совокупного операционного риска кредитных организаций России за 2011 год.

Как показано выше, даже при финансировании информационной безопасности в размере 10% операционного риска каждого конкретного банка этой суммы явно недостаточно, чтобы закупить требуемые товары и услуги, при помощи которых можно обеспечить реальную защиту электронных финансовых сервисов. Но выделить даже такое финансирование под силу только ведущим банками. Как тогда поступать остальным?

МОЖНО И ЗА СВОЙ СЧЁТ

«Если факты не подтверждают теорию, от них надо избавиться».
Закон Майерса.

Попробуем применить «обновленную» формулу к двум реально существующим банкам, чьи предполагаемые затраты на информационную безопасность на 1 января 2012 года находились наиболее близко к 75% квартилю распределения. Напомним, что только 1/4 российских банков могут потратить на эти цели большие средства, а остальные 3/4 – меньше.

При этом норматив Н1 одного из банков находится вблизи медианы распределения, то есть половина банков имеют худшие значения, а другая половина – лучшие. Норматив Н1 другого выбранного нами банка вплотную приближается к границе достаточности, только менее 1/4 банков имеют худший показатель. Источник информации – официальная отчетность, опубликованная на сайте Банка России.

Представим себе, что наша обновлённая формула применяется обоими банками достаточно давно, с июля 2010 года. Итак, они решили выделять на обеспечение информационной безопасности сумму, равную 100% (!!!) операционного риска на начало года. Финансирование составляет примерно по 28 млн рублей в 2010–2011 годах, около 50 млн рублей в 2012 году и осуществляется равномерными долями. Что наглядно представлено на графике 2, построенном по предлагаемой выше формуле расчета норматива Н1.

Нижняя граница «коридоров» соответствует реальной динамике норматива Н1, на основании официальной отчётности и без учёта затрат на информационную безопасность. Верхняя граница – возможное значение норматива Н1 при учёте этих затрат. Тонкая линия между ними, внутри «коридора», – значение норматива Н1 при условии финансирования обеспечения информационной безопасности исключительно из капитала банка. Учитывается снижение величины капитала на сумму инвестиций за последние 12 месяцев.

Понятно, что расчёт носит условный характер, но каждый может применить предлагаемую модель для любой конкретной ситуации, внеся соответствующие данные.

На основании приведённых графиков можно сделать 2 вывода.

Вывод первый: минимальное значение норматива Н1, рассчитанное по предлагаемой формуле, в рассматриваемом периоде всё равно остается выше, чем его минимальное значение без учёта затрат на информационную безопасность. Значит, появляется дополнительная «подушка безопасности» для норматива Н1.

Второй вывод: новая формула не позволит ухудшиться нормативу достаточности капитала, даже если финансировать информационную безопасность исключительно из собственных средств, а не за счёт клиентов, облагая их дополнительными комиссиями и наценками. Значит, можно увеличить выделение средств на информационную безопасность, не повышая тарифы на банковские услуги.

НЕОПРОВЕРЖИМЫЙ АРГУМЕНТ

«Не тратьте силы, возьмите молоток побольше!»
Закон силы Энтони.

Таким образом, существует простое решение для определения бюджета, выделяемого на информационную безопасность кредитно-финансовой организации, – согласовать с руководством «защищённую статью» в размере определенной доли операционного риска. А имея на руках «рамочный» бюджет, уже можно заниматься «классической» оценкой рисков и планированием своей деятельности, не погружая руководство в хитросплетения уязвимостей, угроз, атак, рисков и защитных мер. Но в настоящий момент отсутствуют простые и понятные аргументы, показывающие «численными методами», выгоду от этих расходов, пусть и непрямую.

Обеспечение информационной безопасности банка постоянно требует регулярного выделения средств, которые не принесут прямого дохода. Значит, руководство должно быть готово воспринимать иные аргументы, кроме явной финансовой выгоды и теоретических «упущенных расходов». Что может его подвигнуть в этом направлении?

Требуемые расходы на информационную безопасность не так страшны, как могут показаться. Неправильное впечатление создаёт существующая методика расчёта финансовой эффективности работы банка, а именно показателя Н1, которая не учитывает затрат банка на информационную безопасность.

Пока спасение лишь в пресловутом «уровне осознания» руководством банка важности надёжной защиты информационных ресурсов. Благодаря которому многим проектам в этой сфере, не сулящим мгновенных прибылей, всё-таки волевым указанием даётся старт. Часто, к сожалению, после какого-либо серьёзного инцидента в сфере информационной безопасности, чреватого ущербом не столько финансовым, сколько имиджу учреждения.

Исправить ситуацию поможет изменение требований к информационной безопасности кредитно-финансовых учреждений главного отраслевого регулятора – Банка России. А именно изменение методики расчета норматива Н1, включение в неё учёта средств, выделяемых банком на обеспечение информационной безопасности. Которое сделало бы очевидной для руководства важность финансирования этой деятельности.

 

Смотрите также

Учить или не учить?

4 декабря, 2012

Very nice = muito bem*

21 сентября, 2012
Подпишись на новости!
Подписаться