2 июля, 2019, BIS Journal №2(33)/2019

Широким фронтом


Основные направления развития информационной безопасности финансовой сферы

ЦИФРОВАЯ ТРАНСФОРМАЦИЯ И РИСКИ

Безусловно, цифровая трансформация создает многочисленные преимущества для клиентов финансовых организаций. Увеличивается качество, скорость и доступность взаимодействия клиентов с финансовым сектором, снижается стоимость услуг. Вместе с тем отсутствие должного внимания к безопасности технологий и защищенности созданных на их основе сервисов создает дополнительные риски как для банков, так и для их клиентов.

Неслучайно эксперты Всемирного экономического форума определили кибератаки в качестве базового глобального технологического риска 2019 года (Рис. 1). Очевидно, что наблюдаемый по всему миру рост масштабов компьютерной преступности, прежде всего в кредитно-финансовой сфере, требует скоординированных усилий регуляторов, поднадзорных организаций и потребителей финансовых услуг.

Рис. 1. Глобальный ландшафт рисков

 

До настоящего времени Банк России не фиксировал случаев существенного ущерба системно значимых кредитных организаций в результате кибератак. Однако нам известно об инцидентах в сфере информационной безопасности, которые приводили к нарушению непрерывности предоставления финансовых услуг и как следствие – к росту социальной напряженности. Мы отслеживаем настроения в социальных сетях, и видим, что клиенты чутко и быстро реагируют на любые технологические проблемы банков.

Риску хищения подвержен объем денежных средств, сопоставимый с остатком по корреспондентскому счету кредитной организации в Банке России и суммой прихода по этому счету за день. Для небольших кредитных организаций такой объем средств зачастую сравним с размером их уставного капитала. Поэтому паника и уход клиентов на фоне компьютерных инцидентов могут стать одной из причин прекращения их деятельности.

 

РОЛЬ БАНКА РОССИИ В ОБЛАСТИ ИБ

В этой связи основная роль Банка России в сфере информационной безопасности заключается в обеспечении высокого уровня доверия населения и бизнеса к финансовой системе страны. В 2017 и 2018 годах мы проводили опрос среди клиентов порядка 40 кредитных организаций с целью выяснить уровень их доверия к используемым услугам с точки зрения их информационной безопасности. Если в 2017 году этот показатель составлял чуть более 40%, то в конце прошлого года мы зафиксировали его на уровне 70%.

Вместе с тем, главным критерием, по которому клиенты оценивают надежность услуг и сервисов, является уровень хищений. Основной показатель здесь – доля несанкционированных переводов денежных средств с использованием платежных карт. Наша задача состоит в том, чтобы эта доля в целом по всей банковской системе не превышала пяти тысячных процента (0,005%) или 5 (пяти) копеек на 1000 (одну тысячу) рублей переводов.

В 2018 году доля несанкционированных переводов денежных средств с использованием платежных карт составила 1,8 копейки на 1000 рублей переводов (0,0018%). Это несколько выше, чем годом ранее, что,по нашему мнению, связано с ростом прозрачности данных, которые Банк России получает от кредитных организаций (Рис. 2).

Другими целями нашей деятельности в области информационной безопасности являются:

– ведение мониторинга компьютерных атак, оперативное принятие мер, направленных на сокращение потерь банков и клиентов;

– содействие развитию и внедрению инновационных финансовых технологий, которые позволяют более эффективно контролировать риск реализации киберугроз и снижать расходы на обеспечение должного уровня информационной защиты.

Рис. 2. Цель Банка России в области обеспечения информационной безопасности

 

ПРЕДПОСЫЛКИ ДЛЯ РЕФОРМЫ РЕГУЛИРОВАНИЯ И НАДЗОРА

Уверен, что к настоящему времени сформировалось понимание значения информационной безопасности со стороны участников рынка как для их операционной деятельности, так и для достижения стратегических целей. Конкуренция между банками заставляет повышать удобство и качество финансовых услуг,в том числе, на основе новых финансовых и цифровых технологий. Одновременно расширяются права и интересы потребителей финансовых услуг с точки зрения их защиты от финансовых потерь.

Всё это приводит к тому, что факторы киберриска объективно интегрируются в состав основных рисков финансовых организаций.

Как известно, в середине прошлого года был принят Федеральный закон ФЗ-167 в части внесения изменений в законодательство о противодействии хищению денежных средств.

Данным законом:

– существенно расширены полномочия Банка России по вопросам регулирования информационной безопасности и защиты информации в кредитных и некредитных финансовых организациях;

– изменён порядок взаимодействия регулятора с поднадзорными организациями.

 

Прежде добровольный информационный обмен с ФинЦЕРТ о случаях и попытках несанкционированных переводов денежных средств стал обязательным. Одновременно банки получили легальный инструмент обмена данными для предотвращения хищений.

Наряду с правовой основой мы создали технические условия для упрощения и автоматизации процесса обмена информацией об инцидентах и хищениях. В 2018 году в Банке России начала работу Автоматизированная система обработки инцидентов (АСОИ). Она позволяет:

  • обмениваться информацией об актуальных угрозах и инцидентах, данными о совершении перевода денежных средств без согласия клиента (включая покушения);
  • сообщать в Банк России о планируемых мероприятиях по публичному раскрытию информации об инцидентах.

 

Сегодня информационный обмен через АСОИ ФинЦЕРТ осуществляют более 600 организаций. Среди них:

– 437 банков;

– 39 небанковских кредитных организаций;

– 77 страховых;

– 63 иных организаций.

Отдельно стоит отметить, что на платформе АСОИ создана и введена в тестовую эксплуатацию база данных об операциях по переводу денежных средств без согласия клиента – система «Фид-АнтиФрод». С момента ее запуска мы получили информацию о более 25 000 операций, осуществленных без согласия клиентов.

 

В 2019 году мы планируем:

– полностью автоматизировать информационный обмен через АСОИ;

– запустить ФИД-АнтиФрод в «боевую» эксплуатацию и начать подключать к ней некредитные финансовые организации по мере того, как для них будут вступать в силу требования ФЗ-167.

 

ПЛАНЫ ПО РАЗВИТИЮ НОРМАТИВНОГО РЕГУЛИРОВАНИЯ

Что касается развития методологии обеспечения информационной безопасности, Банк России планирует выпустить нормативные документы, которые направлены:

1) на выявление в сети «Интернет» так называемых «фишинговых» ресурсов и сайтов, связанных с осуществлением незаконной финансовой деятельности.

Оперативное ограничение доступа к ним потребителей финансовых услуг требует закрепления за Банком России полномочий по их внесудебному разделегированию. Соответствующий законопроект принят Государственной Думой в первом чтении. Этот же документ, как мы надеемся, предоставит Банку России право досудебной блокировки сайтов, связанных с распространением вредоносного программного обеспечения.

2) Следующим актуальным вопросом является противодействие мобильному мошенничеству. Банк России участвует в подготовке изменений в ФЗ-115 «О противодействии отмыванию доходов, полученных преступным путем, и финансированию терроризма», предусматривающих создание единого канала обмена данными о мобильных устройствах, абонентах между операторами связи и банками.

3) Требует доработки также механизм использования усиленной квалифицированной электронной подписи. Предполагается выстроить единую систему удостоверяющих центров в кредитно-финансовой сфере, где удостоверяющей центр Банка России станет головным для всего финансового рынка.

4) Еще один блок связан с ожидаемым принятием закона о цифровых финансовых активах. Это потребует соразмерных требований к информационной безопасности и защите информации. Разработка этих требований также будет вестись с участием Банка России.

5) Наконец, о национальном проекте «Цифровая экономика Российской Федерации». Здесь наша задача – координировать выработку подходов к регулированию безопасности применения на финансовом рынке таких технологий, как искусственный интеллект, большие данные, киберфизические системы, системы распределенного реестра и другие.

 

ПОВЫШЕНИЕ ИБ ОРГАНИЗАЦИЙ ФИНАНСОВОЙ СФЕРЫ

Мы исходим из того, что информационная безопасность и киберустойчивость организаций кредитно-финансовой сферы должны быть реализованы на трех технологических уровнях (Рис. 3).

Это:

1) уровень инфраструктуры,

2) уровень прикладного программного обеспечения или уровень приложений,

3) уровень технологий обработки данных.

Развитие киберустойчивости на инфраструктурном уровне требует:

– с одной стороны, формирования комплекса отраслевых стандартов, устанавливающих требования к обеспечению информационной безопасности и управлению киберриском, а также состав и содержание соответствующих технологических, технических и организационных мер;

– с другой стороны, создания системы оценки соответствия информационной безопасности финансовых организаций требованиям национальных стандартов путем проведения внешнего аудита.

 

Под безопасностью на уровне приложений мы понимаем прежде всего:

– отсутствие уязвимостей в программном обеспечении, которые позволяют совершать результативные компьютерные атаки;

– введение обязательного использования прикладного программного обеспечения автоматизированных систем и приложений, сертифицированного в России или протестированного на наличие уязвимостей.

 

На уровне технологий и процессов обработки данных мы ориентируемся:

– на обеспечение целостности и подлинности обрабатываемой информации;

– а также разработку требований к безопасности обработки данных для каждой новой финансовой технологии.

Рис. 3. Основные элементы информационной безопасности

 

РИСК-ПРОФИЛИРОВАНИЕ И РЕФОРМА НАДЗОРНОЙ ДЕЯТЕЛЬНОСТИ

Обеспечение киберустойчивости финансовых организаций невозможно без осуществления контроля и надзора за состоянием их информационной безопасности. Кратко представлю некоторые планы в этой сфере.

1) Прежде всего, надзорная деятельность будет осуществляться на основе риск-ориентированного подхода (Рис. 4). Для этого Банк России будет использовать данные об уровне и качестве управления киберриском в каждой организации кредитно-финансовой сферы.

2) Участие сотрудников Банка России в надзорных мероприятих будет, повозможности, минимизировано.

3) Также планируется использовать для оценки организаций результаты стресс-тестирований, более знакомых как киберучения.

 

Безусловно, формирование системы показателей потребует времени. К 2021 году мы планируем начать получение объективной информации:

– по уровню риска отдельных организаций кредитно-финансовой сферы;

– их готовности противостоять кибератакам с точки зрения обработки киберриска и его финансового покрытия;

– и как следствие уровню готовности кредитно-финансовой сферы противостоять киберугрозам в целом.

 

Параллельно будут разработаны методология финансового покрытия киберриска посредством страхования и установления дополнительных требований к капиталу. Данные по финансовым потерям потребителей позволят нам планировать конкретные мероприятия по защите их прав и законных интересов.

Рис. 4. Риск-ориентированный подход. Формирование системы показателей

 

БАНК РОССИИ – КООРДИНАЦИОННЫЙ ЦЕНТР В ОБЛАСТИ ИБ

Год назад на Уральском форуме я объявил о создании в структуре Банка России Департамента информационной безопасности. С удовлетворением отмечу, что Департамент состоялся и успешно работает. Среди основных направлений деятельности в области информационной безопасности, где требуется организация совместной работы Банка России, экспертного сообщества и участников рынка, хотел бы выделить следующие.

Во-первых, это разработка стандартов в области информационной безопасности и киберустойчивости. Она подразумевает участие представителей Банка России в работе подкомитета № 1 Технического комитета № 122 «Стандарты финансовых (банковских) операций», а также в работе международных организаций.

Вторым направлением является взаимодействие по вопросам обеспечения информационной безопасности в рамках межведомственной рабочей группы, куда входят представители МВД России, ФСТЭК России, ФСБ России, Минкомсвязи России, Росфинмониторинга, эксперты кредитных организаций.

В-третьих, Банк России активно участвует в реализации Национального проекта «Цифровая экономика Российской Федерации». Основными для нас направлениями здесь являются:

– информационная безопасность и киберустойчивость значимых платежных систем (что включает использование российской криптографии);

– формирование подходов к киберустойчивости инновационных технологий;

– подготовка кадров для организаций кредитно-финансовой сферы.

 

КАДРЫ

Что касается четвертого направления – подготовки кадров в сфере информационной безопасности, тут Банк России планирует стать связующим звеном между высшими учебными заведениями и организациями кредитно-финансовой сферы.

 

Это потребует от нас:

– определения потребности в специалистах;

– разработки профессионального стандарта «Специалист в области информационной безопасности организаций кредитно-финансовой сферы»;

– подготовки изменений в действующие образовательные ГОСТы;

– и разработки примерной программы профессиональной переподготовки для тех, кто уже окончил вуз.

Уверен, что все эти меры позволят создать условия для подготовки специалистов в области ИБ, которые действительно нужны рынку.

 

МЕЖДУНАРОДНОЕ ВЗАИМОДЕЙСТВИЕ

Наконец, пятое направление – международное взаимодействие.

Ключевыми площадками взаимодействия с зарубежными экспертами по вопросам кибербезопасности для Банка России являются:

– Международная организация по станадртизации (ISO);

– Международная электротехническая комиссия (IEC) и Международный союз электросвязи (ITU);

– Международная организация комиссий по ценным бумагам (IOSCO);

– Совет по финансовой стабильности (FSB);

– Всемирный экономический форум (WEF).

 

ФинЦЕРТ Банка России заключил соглашения по вопросам обмена информацией о киберугрозах и укрепления кибербезопасности с центральными либо национальными банками Италии, Испании, Турции, и Индии.Такие же соглашения действуют со всеми странами Евразийского Экономического союза.

 

Мы взаимодействуем с коллегами из ЕАЭС также по вопросам формирования центров реагирования на компьютерные инциденты, а также создания среды доверия в рамках единого платежного пространства Союза.Впервые в мероприятиях Уральского форума в этом году принял участие представитель Народного банка Китайской Народной Республики.

Автор: Дмитрий Скобелкин, заместитель председателя Банка России

По материалам выступления на XI Уральском форуме.

 

Смотрите также

Подпишись на новости!
Подписаться