Специалисты AKTIV.CONSULTING, участника АБИСС, поделились на страницах «Банковского обозрения» ключевыми тезисами самых интересных, на их взгляд, сессий Уральского форума «Кибербезопасность в финансах». Событие проходило с 15 по 17 февраля в Екатеринбурге. Организатором мероприятия стал Банк России в партнерстве с лидерами рынка информационной безопасности.
По мнению докладчиков, управление рисками информационных угроз необходимо в первую очередь для расстановки приоритетов как внутри функции ИБ, так и на уровне всей организации. Помимо этого, управление рисками позволяет определить четкие регламенты действий во время внештатных ситуаций. К сожалению, многие организации до сих пор относятся к управлению киберрисками, как к части комплаенса. В то же время это возможность для службы ИБ начать диалог с топ-менеджментом на языке бизнеса, то есть на языке денег и моделей, что повышает прозрачность функции ИБ и встраивает ее в процесс управления организацией.
Поднимались на сессии и «неудобные» вопросы, например об острой нехватке российских методологий в области оценки киберрисков, а также о необходимости отраслевого обмена информацией по инцидентам для определения вероятностей их реализации. При этом все участники сошлись во мнении, что самостоятельно рынок не сможет организовать этот процесс и обеспечить его защищенность, а значит, необходимо непосредственное участие регулятора.
Примечательно, что отдельная сессия для некредитных финансовых организаций (НФО) проводилась на Уральском Форуме впервые. Эксперты обсудили основные тренды последних нескольких лет.
НФО почувствовали значительный приток розничных клиентов — физических лиц, появились новые задачи по защите прав клиентов. В то же время во многих НФО пока еще нет выделенной службы ИБ либо она не очень зрелая по сравнению с такими службами кредитных организацияй. Как результат регулятор ввел новые требования по информационной безопасности для НФО, где риски ИБ включил в систему управления рисками организаций. Поддержка этих требований нуждается в значительных ресурсах, и большая часть организаций не готова к таким затратам.
Хотя регуляторика для НФО и копирует банковские нормативно-правовые акты, однако риски некредитных и кредитных организаций сильно различаются. НФО, со своей стороны, поддерживают инициативы по введению практики аттестации аудита информационной безопасности Банком России, отрасль нуждается в доверенной среде аудита.
Спикерами стали представители Банка России и эксперты ИБ-отрасли, модератором выступила Анастасия Харыбина, председатель АБИСС и руководитель AKTIV.CОNSULTING. Участники сошлись во мнении, что в ближайшее время финансовые организации и экспертное сообщество должны пересмотреть роль внешнего аудита ИБ.
, руководитель AKTIV.CОNSULTING и председатель Ассоциации АБИСС:
Внешний аудит информационной безопасности должен стать инструментом обеспечения операционной надежности, а значит, необходимо контролировать качество и сопоставимость его результатов. При этом нужно понимать, что при сегодняшних темпах развития количество обязательных аудитов будет увеличиваться. Все это требует разработки стандартов, регулирующих данную сферу, а также создания системы добровольной сертификации для аудиторских компаний.
Отдельным важным вопросом участники сессии назвали регламентирование действий внешних аудиторов. В пользу скорейшей подготовки соответствующих стандартов высказывались сами аудиторы. В этой связи Банк России запланировал изменения в существующий отраслевой стандарт СТО БР ИББС, а также разработку стандарта по оценке качества работы аудиторов, который будет гармонизирован со стандартами серии ISO/ИСО 27000.
В рамках сессии участники узнали о ключевых активностях Технического комитета по стандартизации «Стандарты финансовых операций» ТК 122.
Спикеры подчеркнули, что Россия остается участником международного рынка платежных систем и соблюдает требования стандартов. Также НСПК участвует в разработке новой версии стандарта PCI DSS, и уже в скором времени ожидается принятие PCI DSS 4.0. Что касается требования по внешнему аудиту, то его проведение остается необходимым для участников платежных систем.
Второй день Уральского форума стартовал с доклада Германа Зубарева, заместителя председателя Банка России, который рассказал об основных направлениях развития информационной безопасности в кредитно-финансовой сфере.
Он обозначил три ключевые цели ведомства в сфере ИБ на ближайшие три года:
Представитель Банка России отметил, что для достижения перечисленных целей необходимо соблюдать баланс интересов граждан, бизнеса и государства.
В рамках панельной дискуссии выступила председатель Банка России Эльвира Набиуллина. Она подчеркнула, что ЦБ будет уделять больше внимания развитию информационной безопасности. Это связано с тремя основными трендами:
Также Эльвира Набиуллина отметила, что банки обязаны блокировать денежные переводы на мошеннические счета. Глава ЦБ допустила создание единой централизованной базы данных мошенников, которая будет способствовать ускорению обмена информацией между банками. По мнению главы ЦБ, кредитные организации должны нести ответственность перед клиентами и возмещать ущерб. Это станет стимулом для развития антифрода, потому что системы защиты могут создать только сами финансовые институты.
В рамках сессии участники обсуждали проблемы импортозамещения средств защиты информации в финансовой отрасли. Они подтвердили, что импортозамещение средств защиты информации находится сейчас на высоком уровне — практически по каждому классу есть аналоги. Основная проблема, которая пока находится в стадии решения, связана с сетевой безопасностью.
Государство стимулирует переход на российские решения «кнутом и пряником»: с одной стороны, установлены жесткие сроки по переходу — 1 января 2025 года, с другой — выделено 75 млрд рублей на поддержку разработки, а также созданы все условия для организаций и самих разработчиков (налоговые льготы, отсрочка от мобилизации и прочие).
Вносятся изменения и в действующую регуляторику: на весенней сессии ожидается принятие Госдумой поправок в федеральные законы, которые скорректируют критерии отнесения программного обеспечения к отечественному. Также за федеральными органами исполнительной власти закрепят функции по утверждению планов по импортозамещению и контролю их реализации (для финансовой отрасли это будет возложено на Банк России).
Помимо этого, в 2023 году планируется создание российского репозитория опенсорсного кода, где будут выстроены процессы анализа уязвимостей ПО, а также контроля обновлений.
По различным оценкам, в финансовой отрасли используется 70–80% open source ПО, и риски атак на него оценивались и раньше. Уязвимости и закладки в крупных библиотеках быстро выявлялись самим комьюнити. В связи с изменением ситуации в 2022 году стали актуальны два вектора: зависимость от «мелких» библиотек и действия удаленных команд разработки.
При общей готовности к рискам open source эксперты отметили фактор «capacity», т.е. нехватку ресурса сотрудников «в моменте» во время пиковой нагрузки. И здесь организациям может помочь риск-ориентированный подход, когда часть персонала переводят с менее критичных работ на проверку кода.
50% компаний с собственной разработкой начинают внедрять процедуры безопасной разработки ПО. Помимо стандартных инструментов SAST, DAST, IAST начинается применение продвинутых инструментов, таких как:
Подходы DevSecOps прежде всего способствуют реализации требований к отказоустойчивости информационных систем. Что изменилось за 2022 год: если раньше все крупные репозитории считались доверенной средой, то с прошлого года компании стали организовывать свои локальные «чистые» репозитории. В такие «чистилища», как в шутку их называют между собой специалисты, попадает только проверенный на безопасность код, в том числе повторно при его обновлении.
Участники встречи также рассказали о своем отношении к государственному регулированию вопросов безопасной разработки. Некоторые эксперты отметили, что иногда первые редакции требований невыполнимы, но необходимо вступать в диалог с регулятором и искать баланс между развитием ПО и поиском уязвимостей в нем. Финансовый сектор развивается конкурентными темпами, отставать нельзя даже на полгода. Выход — предлагать регулятору свою встречную концепцию.
Участники отметили, что аутсорсинг IT в финансовой отрасли нужен и полезен, особенно для тестирования разработанных сервисов в облаках, но говорить о передаче «core-функций» (АБС, процессинг и т.п.) пока рано. Основные риски аутсорсинга, с которыми могут столкнуться организации, касаются регуляторики и операционной надежности (от ошибок конфигурации не раз страдали даже крупные сервис- и интернет-провайдеры). При этом эксперты согласились с тем, что на услуги аутсорсинга IT и ИБ существует большой спрос, особенно у банков с базовой лицензией и малых/средних НФО.
На сессии стало известно, что Банк России готовит проекты положений, которые полностью опишут процесс аутсорсинга IT и ИБ для финансовой отрасли, а также возможные поправки в закон.
Основные сложные моменты, которые необходимо проработать:
Регулятор предлагает сосредоточиться прежде всего не на разделении уголовной и административной ответственностью между финансовой организацией и аутсорсером, а на выстраивании системы защиты информации и обеспечения операционной надежности у последнего.
В процессе сессии стало очевидно, что необходимо проработать аспекты создания реестра доверенных провайдеров, их сертификацию и, возможно, аудит. Все это Банк России возьмет в проработку, и он надеется в ближайшее время поделиться с рынком своими наработками.
Эксперты подняли проблему определения конечных бенефициаров юридических лиц. На текущий момент есть два подхода: самодекларация и государственные информационные ресурсы. С точки зрения надзорных органов пока лидирует второй подход (исходя из практики Росфинмониторинга и ФНС).
Обсуждался вопрос отдельных реестров бенефициаров, в работе которых сегодня обозначены две проблемы: поддержание реестра в актуальном состоянии и вопросы обработки персональных данных.
Участники обсудили принятый федеральный закон об обороте биометрических данных для целей идентификации и аутентификации. Важным изменением, которое планируется внедрить, является хранение биометрии только у регулятора. Коммерческим организациям разрешат осуществлять только сбор биометрии, а работать уже с преобразованными данными.
В рамках сессии также была рассмотрена зарубежная практика:
В 2022 году, по данным МВД, было зафиксировано 522 тыс. преступлений с использованием информационных технологий, в особенности с помощью социальной инженерии.
Участники сессии отметили одну из проблем раскрываемости — низкую скорость отработки цифровых следов. Преступления происходят в цифровой плоскости, а процессы правоохранительных органов — аналоговые.
В связи с этим Банк России предложил новую схему взаимодействия финансовых организаций с правоохранительными органами:
Это позволит ускорить получение информации для восстановления цепочки вывода средств.
Для борьбы с дропперами Банк России предлагает внести поправки в Федеральный закон № 161-ФЗ. Это позволит изменить процесс взаимодействия: МВД сможет направлять информацию в ФинЦЕРТ (при наличии возбужденного дела и книги учета сообщений о происшествиях, а ФинЦЕРТ — пересылать информацию во все банки, которые будут блокировать все открытые счета дроппера.
Важным стало заявление представителей Сбера, которые рассказали о своем участии в расследовании по мошенническому колл-центру в Бердянске. По словам экспертов, в ближайшее время ожидается официальное совместное заявление Сбера и правоохранительных органов. Это дело станет первым прецедентом с реальными сроками для мошенников.
Эксперты подчеркнули, что финансовая отрасль является самой защищенной, число успешных атак на ее организации снизилось с 8% в 2021 году до 4% в 2022-м. Тем не менее уязвимости в финансовой отрасли остаются, в том числе по вине подрядчиков, которые предоставляют широкие возможности для проведения атак.
Пока ситуация складывается так, что IТ-аутсорсеры не поддерживают идею регулирования. Банк России не хочет брать их под контроль. Поэтому требуется внимание к данному вопросу со стороны профильных регуляторов.
Участники также констатировали изменение классического подхода к защите информации в концепции security by design. По их мнению, если распределять данные в архитектуре решений, отпадает необходимость их защищать. Лучший эффект при этом дает консолидация IT, бизнеса и ИБ.