А вам нравится «BIS Journal»?

Присоединяйтесь к обществу профессионалов по информационной безопасности.

«BIS Journal» рекомендует!
Нажмите МНЕ НРАВИТСЯ!

27 марта, 2018«BIS Journal» № 1(28)/2018

Аитов Тимур

заместитель генерального директора ГК «Программный Продукт» (заместитель председателя Подкомитета по платежным технологиям и информационной безопасности (ТПП))


Умный банк в большом городе

Обзор вызовов ИБ цифровой эпохи

Новые идеи и концепции заполонили общественное сознание – умный город, искусственный интеллект, BigData. Огромные потоки данных аккумулируют знания обо всем – о рынках, клиентах, о конкурентах. Коммерческие банки в принимаемых решениях уже не просто банки, это «банки, управляемые данными». Какие актуальные вызовы придется преодолевать банковским службам ИБ в цифровую эпоху?

ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Большие данные BigData в банк поступают из многочисленных источников - их поставляют телеком-операторы, объекты финансовой инфраструктуры, социальные сети, коммуникаторы, сенсоры и др. Технологические проблемы работы с BigData связаны с адекватной интеграцией поступающих потоков и построением качественных прогнозных моделей. С точки зрения задач информационной безопасности (ИБ) процессы обработки и хранения BigData в банках должны быть защищены, а системы с персональными данными (ПД) должны сохранять необходимую   конфиденциальность

Один из ключевых и актуальных вызовов в ближайшее время в сфере ПД - новый свод законов по защите ПД - GDPR, General Data Protection Regulation, вступающий в силу в странах ЕЭЗ в мае 2018 года. Суммы штрафов за нарушения норм GDPR доходят до 20 млн евро или 4% от оборота компании-нарушителя, причем в качестве суммы штрафа выбирается большее значение из приведенных двух. Многим банкам придется соблюдать новый набор правил -  если в числе клиентов у них найдется хотя бы один гражданин ЕЭЗ. Нормы жесткие - запрещен мониторинг перемещений и предпочтений граждан ЕЭЗ без их согласия. Гражданин ЕЭЗ имеет права на удаление персональной информации о себе и на «перенесение» своих ПД другому поставщику услуг (ст. 20 GDPR). Сама возможность переносить ПД мало что дает для их защиты (она скорее служит функциональным требованием для социальных сетей и облачных провайдеров). Но обеспечивать эту возможность - дело тонкое и придраться к этому легко. Банкам придется разработать «аккуратные» процедуры для реагирования на подобные запросы или попросту отказаться от обслуживания европейцев.

ИСКУССТВЕННЫЙ ИНТЕЛЛЕКТ

Методы искусственного интеллекта (ИИ) и MarchineLearning (что на данной стадии по сути одно и то же) находят все более широкое применение в умных банках, включая процессы ИБ. Развивается новое направление ИИ по борьбе с киберпреступниками. Не везде активность в этом направлении радикально помогает, но освобождает от рутинных операций на 100%. Абсолютно все новые системы SIEM уже используют методы ИИ.  Системы передают предупреждения-alarm, вычисляют   типовые (средние) состояния работы банка и систем, ищут отклонения от средних значений (аномалии) - все эти операции даже теоретически выполнить человеку в real time невозможно. В перечень перспективных систем, работающих с использованием ИИ кроме SIEM, включены системы обнаружения (IDS) и системы предотвращения вторжений (IPS), системы управления идентификацией и доступом (IAM), вся аналитика BI, системы продвинутой антивирусной защиты, весь комплаенс в банке. Эффект от ИИ можно сравнить с ковшом экскаватора, который удесятеряет силы землекопа и позволяет перелопатить огромные объемы информации там, где есть BigData. Но человек при сопровождении этих процессов пока всегда нужен.

Особых барьеров для инсталляции новых систем ИИ нет. Однако, проблемы возникают с распределением зон ответственности. В какой мере можно делегировать системам ИИ принятие важнейших решений? Кто именно будет нести ответственность за принимаемые системой решения?  Четких ответов нет. Проблема снимается, если система ИИ всегда работает «в связке» с оператором-человеком, который принимает (акцептует) важнейшие решения.  Присутствие оператора важно – он и берет ответственность за все последствия. 

В то же время нельзя ограничивать участие человека только сопровождением инфраструктуры ИИ и принятием решений. На данном этапе развития этих технологий человек фактически закладывает образ мышления в машину, не позволяя тем самым интеллекту быть самостоятельно мыслящим и по-настоящему самообучаемым.

ЧЕЛОВЕЧЕСКИЙ ФАКТОР

Успех хищений на базе методов социальной инженерии (СИ) сегодня окрылил злоумышленников – эти методы сегодня активно совершенствуются, а объемы хищений растут. Сегодня до трех четвертей всех хищений со счетов клиентов-физиков осуществляются именно методами СИ. Личность клиента все в большей мере определяет ситуацию с ИБ в банке -  личность в центре внимания злоумышленников, всех ключевых процессов ИБ.

Коммуникации с клиентами становятся все более персонифицированными, а технологии BigData придают им большую гибкость по сравнению с классическими технологиями, позволяя обеспечить контроль и не нарушать нормы законодательства, например, при контактах в конфликтных ситуациях (с должниками).     

На первом плане - качество кадрового состава офицеров ИБ, здесь важна не только текущая квалификация, но и способность к постоянному переобучению. ИИ помогает повысить эффективность кадровой службы: все эксперты, как правило, высокооплачиваемая категория, их часто не хватает.  А возможности офицера ИБ многократно усиливаются, если под его началом функционируют системы ИИ – труд эксперта становится более производительным, квалифицированных сотрудников нужно уже меньше.

Тем не менее, проблема высококвалифицированных кадров – проблема вечная. Эксперты с аналитических задач, часть из которых будет решаться автоматизировано, перераспределятся на разработку и программирование логики искусственного интеллекта. И тут специалисты потребуются в большом количестве.

ДИСТАНЦИОННОЕ ОБСЛУЖИВАНИЕ И БИОИНДЕФИКАЦИЯ

Эти методы активно развиваются и запущены пилотные проекты. Однако пока неясны реальные уровни угроз и рисков, сопровождающих новые технологии. Неясно, кто ответит за возможную компрометацию биоидентификационных данных граждан на платформах с государственным участием типа проекта ЕСИА? Кто будет покрывать возможные убытки?

Банковские технологии все больше усложняются, идет активное создание различного рода экосистем, увеличивается специализация провайдеров и число их растет. Грядёт новая эра – эра финтеха - соединение инновационных технологий и цифрового банкинга. Для обслуживания клиентов все шире используются облачные технологии. Как распределить ответственность за сбой в цепочке провайдеров, создающих «облачную» услугу? Вычисление «крайнего» и ответственного за сбой становится для банка важной и самостоятельной задачей, даже если сбой неумышленный.  Однако сбои случаются и подставные – в том числе, для выдавливания конкурентов, и тут концы найти сложнее. На рынке уже появилась новая услуга – технический арбитраж от компании, позволяющий разобраться с зонами ответственности провайдеров облачных сервисов и технологий.

МЕЖДУНАРОДНЫЕ АСПЕКТЫ ИБ

Информационная безопасность в текущей геополитической обстановке все в большей мере приобретает международный характер. Атаки по ключевым финансовым объектам могут быть организованы на уровне недружественных стран. ИИ будет использоваться для просчета вариантов, прогнозной аналитики, других задач, сопровождающих обработку BigData. Такие системы уже работают. А вот кто кого победит в кибервойне - это вопрос качества разработки. Здесь много будет зависеть и от быстродействия машин, и от самих алгоритмов.  Наши отечественные разработчики всегда отличались в лучшую сторону – у нас много решений, позволяющих на машинах меньшей производительности добиться нужного результата.

Нельзя забывать и традиционные аспекты, связанные с зависимостью от иностранных технологий и необходимостью внимания к рискам наличия недекларированных возможностей технических средств. Санкции в отношении РФ стали реалиями бизнеса и с ними нам жить, видимо, еще долго. А банки, особенно с иностранными корнями, могут оказаться даже под противоречивым набором требований по комплаенс в отношении некоторых своих клиентов и ключевым вызовом - потерять российский рынок вообще.


Обсуждение в ТПП РФ

«Вопросы регулирования эмиссии и обращения криптовалют в цифровой экономике» - так была сформулирована тема заседания, прошедшего недавно в ТПП РФ. Ключевые моменты комментирует модератор этого заседания, заместитель председателя Подкомитета по платежным технологиям и информационной безопасности Тимур Аитов.        

- Повестка отражает объективные тренды платежного ландшафта, и в первую очередь обусловлена, конечно, появлением поручений Президента.  Напомню, 10 октября 2017 года глава государства поручил Правительству РФ совместно с Банком России обеспечить внесение в законодательство РФ изменений, касающихся проработки вопросов налогообложения майнинга, статуса цифровых технологий, применяемых в финансовой сфере, их понятий и т. д.

Вопросы, связанные с цифровыми технологиями и инновациями в платежах, в ТПП РФ обсуждают не впервые. Еще летом представители Ассоциации «Финансовые инновации» вынесли на общественный суд обстоятельную «Концепцию совершенствования регулирования в национальной платежной системе», что потребовало глубокого погружения в тему. Обсуждение вопросов обращения криптовалют стало ее развитием.

Задачу совершенствования законодательства эксперты в целом поддержали, но призвали тщательно и аккуратно подходить ко всем вопросам внедрения новых платежных инструментов и технологий. Что имеется в виду?

Прежде всего, это высокие риски, сопровождающие появление всего нового, и защита прав инвесторов.

Если говорить о криптоактивах и ICO (Initial coin offering, с англ. — «первичное предложение монет, первичное размещение монет»), многие, если не большинство из них, оказались провальными. Примеров много. Инвесторы не дождались операционной системы от Razormind, из сервиса знакомств Matchpool все средства вывели сами организаторы ICO.  По сведениям Group-IB, ICO-проекты 2017 года в Ethereum на сумму в $225 млн украдены хакерами. И никого не удивляет, что в Китае и Южной Корее ICO запрещены, а в США на них наложены серьезные ограничения.

С другой стороны, существует масса плюсов, связанных с блокчейном – технологической основой криптовалют. Эта технология позволяет решать нужные и важные практические задачи. Это и умные контракты, и электронные закладные, и цифровые банковские гарантии, и аккредитивы… Перед законодателем сегодня стоит непростая задача. С одной стороны, не торопиться и просчитать все риски, связанные с переходом на новые технологии. С другой — не опоздать и не «проспать» ту самую технологию, которая способна радикально изменить экономику и, возможно, поднять уровень жизни россиян в XXI веке.

Участники заседания посчитали первоочередной задачей построение понятийного аппарата, связанного с криптоактивами. Что такое цифровая валюта? Каковы правила ее обращения? Каковы правила деятельности субъектов, выпускающих цифровую валюту? и т.д.  Все эти понятия требуют определений. В отношении негосударственных цифровых валют (НЦВ) также предложено   определить тех, кто вправе осуществлять майнинг, установить необходимое лицензирование бирж и сервисов, осуществляющих обмен НЦВ на российские рубли, сформулировать требования к субъектам – участникам торгов.

Также участники заседания рекомендовали в дальнейшем осуществлять «мягкое» регулирование ICO в РФ. Цель – возможное привлечение инвестиций, в том числе зарубежных, в российские компании в условиях санкций.

Станет ли блокчейн новой национальной идеей России, способной обеспечить экономический рывок? Однозначного ответа на этот вопрос участники заседания не дали.

 

 


Мы в социальных сетях

События

Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30