14 июня, 2018, BIS Journal №2(29)/2018

Уральский форум за 15 минут


Лукацкий Алексей

эксперт информационной безопасности

Чем будет жить информационная безопасность финансовой сферы в ближайшие годы

12-16 февраля в Башкирии прошел X Уральский форум «Информационная безопасность финансовой сферы». Организатором мероприятия стал Банк России при поддержке Аппарата Правительства РФ, Государственной думы РФ, Минкомсвязи России, МВД России, Роскомнадзора, ФСБ России, ФСТЭК России и Россвязи. Юбилейная встреча собрала более 550 лучших ИБ-специалистов из более чем 20 городов России.

Гуру отечественной ИБ Алексей Лукацкий в своем традиционном заключительном выступлении подвел основные итоги форума. Публикуется с сокращениями.

АКТИВНОЕ ТЕХНОЛОГИЧЕСКОЕ РАЗВИТИЕ БАНКА РОССИИ

Появление новых сервисов прибавит работы для финансовых организаций и служб информационной безопасности. Добавятся задачи, связанные с обеспечением безопасного и надежного подключения к новым платформам. Сервисы (финансовые маркет-плейсы и технологии распределенных реестров), анонсированные Ольгой Скоробогатовой, потребуют особой защиты.  

СТАНДАРТИЗАЦИЯ И НАПРАВЛЕНИЯ РЕГУЛИРОВАНИЯ ИБ

За всеми разработанными сервисами регулятора последуют новые положения, указания и стандарты ЦБ. На ближайшие 5 лет запланирована выработка 15 стандартов, в рамках ЦБ и ТК-122 разработана дорожная карта по развитию этих стандартов. Они разбиты на 6 ключевых направлений: киберриски, информационная безопасность, аутсорсинг, стандарты по управлению инцидентами, документы, связанные с беспрерывностью и мониторинг. Все стандарты придется выполнять.

МАЛЕНЬКИЙ СЕКРЕТ ПРО ВЫПОЛНЕНИЕ ГОСТОВ

Если ГОСТ вступает в силу с 1 января, это не значит, что нужно прямо сейчас начинать его выполнять, к нему надо присматриваться, начинать выполнять для соответствия ему определенные мероприятия, но обязательным он станет только тогда, когда ссылку на него включат в специальное Положение Банка России.

УПРАВЛЕНИЕ КИБЕРРИСКАМИ

Еще одна идея, которая была озвучена больше года назад, связана с тем, чтобы «поднять» безопасность на уровень правлений банков или исполнительных органов других финансовых организаций, поскольку киберриски могут нанести ущерб деятельности финансовой организации. Соответственно, если данный момент организация не учитывает, значит необходимо резервировать капитал, вести базу данных, оценивать риски по методике Банка России. Становится понятно, что, чем хуже управление рисками, тем больше денег резервируется, а значит, они не «работают» и так далее по цепочке, финансовые показатели организации становятся хуже.

ИНЫЕ ПРОЕКТЫ НОРМАТИВНО-ПРАВОВЫХ АКТОВ  

Они готовятся самим регулятором либо при его участии. Во-первых, новая редакция 382-П, имеющая 2 версии: новую и перспективную. Изменения: деление контуров безопасности, переход от самооценки к внешнему аудиту и оперативность подачи информации об инцидентах в ФинЦЕРТ. Это заставит пересмотреть процедуры по управлению инцидентами.

Ключевое отличие перспективной редакции от новой – это ссылки на ГОСТ. С момента, когда ссылки на ГОСТ появятся в редакции 382-П, ГОСТ станет обязательным.

Кроме того, в январе прошел первое чтение  Законопроекта о внесении изменений и дополнений в законодательные акты, где имеется ряд ключевых положений:

- введение глобальной национальной антифрод системы. Её регулированием и направлением индикаторов мошеннических операций займется Банк России;

- возврат несанкционированно переведенных денежных средств;

- обмен информацией о компьютерных атаках с использованием сервиса ФинЦЕРТ;

- необходимость уведомлять регулятора о мошеннических операциях, а не только об инцидентах ИБ.

РАСШИРЕНИЕ ПОЛНОМОЧИЙ РЕГУЛЯТОРА НА ВСЕ ФИНАНСОВЫЕ ОРГАНИЗАЦИИ  

Если сейчас Банк России может устанавливать требования по ИБ только для кредитных организаций и участников МПС, то с принятием этого закона («О внесении изменений в отдельные законодательные акты РФ») у него появится право устанавливать требования и для всех остальных организаций: страховых компаний, негосударственных пенсионных фондов, брокеров, микро-финансовых организаций и т.д.

ОТЧЕТНОСТЬ

Помимо существующей отчетности в рамках 552-П («О требованиях к защите информации в платежной системе Банка России») появится еще одна, более оперативная, по 382-П («О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»).

Останется 203-я отчетность, в рамках которой нужно сообщать о суммах похищенных, готовящихся к хищению и возвращенных денежных средств раз в квартал или раз в полгода в зависимости от количества операций.

Планируется также отчетность и о мошеннических операциях. Не стоит забывать и об отчетность ГосСОПКА, которая в перспективе будет осуществляться через ФинЦЕРТ, но пока отправляется напрямую.

ПРАВО БЛОКИРОВАТЬ САЙТЫ

Банк России получит право блокировать сайты, рекламирующие незаконные финансовые услуги. Проект закона, связанный с возможностью обмениваться информацией о мошенниках, о дропе без получения всяких согласий. Это – классическая тема, которая поднималась последние 6-7 лет, когда возникала тема с действиями антидроп-клуба, который обменивался информацией, но нарушал 152-ФЗ, по которому у мошенника необходимо спросить согласие для обмена информацией о нем. Разумеется, что мошенники согласий не дают. Сейчас этим законопроектом регулируется право обмениваться информацией без согласия субъекта, потому что это будет делаться на основании ФЗ.

«О БЕЗОПАСНОСТИ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ»

На основании этого Закона все финансово-кредитные организации являются субъектами, а информационные системы: АБС, процессинг, бухгалтерия, CRM - это объекты, однако не все из них являются значимыми объектами, на которые распространяются требования по информационной безопасности.

Тем не менее, независимо от наличия объектов, в качестве субъекта КИИ нужно осуществить 3 шага: категорироваться, подключиться к ГосСОПКА, а затем выполнить требования по обеспечению безопасности.

С точки зрения категорирования, на Уральском форуме были показаны критерии, где только один пункт (10-ый) касается кредитных организаций. На мой взгляд, важны три пункта в разделе «экономическая значимость», но не в полном объеме.

Я посчитал, на кого распространяется данный критерий:

31 финансовая организация с участием государства;
один банк, который является стратегическим предприятием;
11 системно-значимых кредитных организаций;
4 системно-значимые инфраструктурные организации финансового рынка;
9 операторов услуг платежной инфраструктуры в системно и социально-значимых платежных системах.

Собственно, есть несколько перечней организаций, которые подпадают под критерии. Но это не значит, что у этих организаций будут значимые объекты. Как минимум необходимо оценить себя, понять, есть ли у вас значимые объекты и какой они категории.

Кредитным организациям, которые не попадают в этот перечень, можно расслабиться с точки зрения выполнения требований по безопасности ФСТЭК, как для значимых объектов, но не стоит забывать о подключении к ГосСОПКА, поскольку этот закон распространяется на все субъекты без исключения.

Обратите внимание, что даже если у вас нет значимых объектов, вы все равно обязаны выполнять требования по безопасности: помимо требований ФСТЭК для объектов КИИ, 382-П, 21-ый Приказ, PCI DDS, 552-П и т.д.

УДАЛЕННАЯ ИДЕНТИФИКАЦИЯ

Доступ всех банков и Почты России к базе биометрических данных граждан Российской Федерации увеличивает риски хищения и подмены информации.

ДЕЯТЕЛЬНОСТЬ ФИНЦЕРТ  

На базе ФинЦЕРТ будет создан центр компетенций финансовой сферы. Также я хочу обратить внимание на систему личных кабинетов, позволяющую более оперативно отдавать данные. И автоматизация вещей, связанных с рассылками.

ПОВЫШЕНИЕ КВАЛИФИКАЦИИ

Банк России взял под свое крыло тему повышения квалификации и разрабатывает ряд типовых программ как для рядовых сотрудников, так и для руководителей служб информационной безопасности в финансовой сфере. Но самое интересное – это создание системы независимой аттестации и сертификации ИБ-специалистов. Эта тема будет разработана в перспективе трех лет, но к этому стоит готовиться.

ЦИФРОВАЯ ЭКОНОМИКА

Тема цифровой экономики, на мой взгляд, непроработана, примерно, как и документы по критической инфраструктуре. Я увидел несколько серьезных пунктов. Во-первых, разработка дорожной карты перехода всего российского интернета на российскую криптографию. Во-вторых, процедура обязательной оценки соответствия компонентов платежной инфраструктуры. В-третьих, тема работы с персональными данными. Вводится интересная норма - все операторы персональных данных обязаны либо иметь финансовую гарантию ответственности, либо страховать свои риски.

ЧТО НЕ УДАЛОСЬ УСЛЫШАТЬ?

Тему персональных данных и позицию ФСТЭК в отношение тематики КИИ.

 

Что удалось узнать на Х Уральском форуме?

Зампред Банка России Дмитрий Скобелкин:

Банк России создаст Департамент информационной безопасности, куда войдет FinCERT и ряд других подразделений регулятора. Кроме того, появится Центр компетенции по обеспечению киберустойчивости организаций кредитно-финансовой сферы.
При установлении показателей критериев значимости для организаций кредитно-финансовой сферы будут учитывать среднедневное количество операций, осуществляемых субъектом КИИ
С 1 июля 2018 года операторы по переводу денежных средств и операторы услуг платежной инфраструктуры будут уведомлять Банк России об инцидентах мошенничества при переводе денежных средств.
Банк России намерен возвращать средства, похищенные у российских кредитных организаций и выведенные за рубеж, через Росфинмониторинг. Для этого будет использоваться система взаимодействия финразведок по всему миру.
Планируется реализовывать программы переподготовки ИБ-специалистов, включающие не менее 500 учебных часов. Кроме того, будут разработаны методики и программы тестирования специалистов и руководителей ИБ-подразделений, а также профстандарты «Специалист по кибербезопасности».
За 2017 год атакам Cobalt Strike подверглись 240 кредитных организаций, из них в 11 случаях атаки были успешными. Общая сумма хищений составила более 1 млрд. 156 млн. рублей.

Первый зампред Банка России Ольга Скоробогатова:

В качестве основных внедряемых платформ Банк России рассматривает: финансовый маркетплейс, платформа для регистрации финансовых сделок, платформа быстрых платежей, перспективная платежная система, Национальная система платежных карт, система передачи финансовых сообщений, единая система идентификации и аутентификации (биометрическая платформа), сквозной идентификатор клиента, платформа облачных сервисов, платформа на основе технологии распределенных реестров.
За 2017 год в 2,3 раза увеличилось число инцидентов информационной безопасности в финансовой сфере.
В 2018 году мировые расходы на обеспечение информационной безопасности коммерческих организаций составят 93 млрд. долл. (+ 8% по сравнению с 2017 г.).
40% российских компаний не имеют стратегии информационной безопасности (у банков эта цифра составляет менее 30 %). К 2020 г. только 60% финорганизаций планируют инвестировать в ИБ.
89% банков относят деятельность по кибербезопасности и защите данных к приоритетной.
К 2020 году потребуется 21 тыс. новых ИБ-специалистов.
Банк России планирует полностью перейти на электронный документооборот с участниками финансового рынка в течение ближайших 3 лет.

Зампред Банка России Руслан Вестеровский:

«Скорость изменения технологий составляет полгода, а образовательной программы – в среднем около двух лет. Если образовательная программа не отражает реальность, то специалист на рынке труда оказывается не востребованным».
Для подготовки специалистов финансовой индустрии Банк России откроет базовые кафедры в 4-5 российских вузах.

Начальник Управления моделирования рисков Департамента банковского регулирования (ДБР) Михаил Бухтин:

В 2018 году планируется установить требования к отдельной классификации событий киберриска в составе операционных рисков.
С 2019 года банки будут обязаны предоставлять информацию по киберрискам в ДБР. А с 2020 данные риски должны учитываться при определении достаточности капитала банка.

Заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев:

Банк России будет обмениваться с центральными банками стран ЕАЭС данными о рисках и угрозах информационной безопасности кредитно-финансовой сферы.

Руководитель SWIFT по России, СНГ и Монголии Матвей Геринг:

Международная система банковских расчетов SWIFT совместно с российским банком исследует систему приостановки подозрительных транзакций Payment control service. Это решение будет доступно, начиная с июля-августа.

Заместитель руководителя Федерального агентства связи Роман Шередин:

Классические банки никогда не будут предоставлять услуги связи.

Глава Group-IB Илья Сачков:

Уроки компьютерной безопасности в школах могут быть введены в 2022 году.

О чем еще не забыть?

В 2019 году новый ГОСТ Р 57580.1 («Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер») станет обязательным.
С 2019 по 2021 планируется выпустить серию национальных стандартов ГОСТ Р, которые будут регулировать процессы управления киберрисками и ситуационной осведомленностью.
К 1 июля 2018 г. должна быть разработана новая редакция 382-П, которая будет включать контроль защищенности платежных приложений, обязательность внешнего аудита, оценку соответствия платежных приложений в части отсутствия недокументированных возможностей, необходимость оперативного уведомления об инцидентах (в течение дня), необходимость разделение контуров подготовки и подтверждения платежных поручений.

Материалы подготовила Анна Воробьева