В конце февраля завершился XII Уральский форум по информационной безопасности в финансовой сфере — пожалуй, главное событие на территории Российской Федерации для тех, кто работает в этом секторе. Мы предлагаем ознакомиться с ключевыми моментами мероприятия, узнать, в чём заключается переход от compliance-модели к риск-ориентированной, что такое киберучения, какие законопроекты готовятся и уже приняты, зачем нужны Единая биометрическая система и «Мастерчейн», как борются с социальной инженерией и что скрывается за аббревиатурой ЕИС ПСА.
- Введение
- Отчёт Банка России об операциях без согласия клиента за 2019 год
- Сдвиг парадигмы регулирования
- 3.1. Формирование профиля риска и основные показатели оценки
- 3.2. Киберучения
- 3.3. Создание новой нормативной базы
- Готовящиеся законопроекты
- 4.1. Идентификация физических лиц с помощью Единой биометрической системы (ЕБС)
- 4.2. Взаимодействие с операторами связи
- 4.3. Цифровые финансовые активы
- 4.4. Цифровой профиль
- 4.5. Ответственность за утечки персональных данных
- Борьба с социальной инженерией
- Использование открытых API
- Мастерчейн
- Выводы
Введение
На берегу Банного озера, чуть севернее Магнитогорска Банк России в двенадцатый раз организовал и провёл форум, представив ИБ-сообществу новые инициативы.
Уральский форум по информационной безопасности традиционно является ключевой площадкой, на которой Центральный банк Российской Федерации анонсирует и обсуждает с участниками рынка и надзорными органами свои основные требования. Первые лица Банка России принимали участие в разработке программы мероприятия, они же выступили в качестве спикеров наравне с приглашёнными гостями.
В эпоху информатизации Центробанку необходимо внедрять современные технологии и, следовательно, регламентировать правила работы с ними, в связи с чем было анонсировано большое количество поправок к законодательству, многие из которых стали (или предназначены стать) ответом на возрастающие риски и потребности информационной безопасности в финансовой сфере. Мировые стандарты в области защиты данных адаптируются к российским реалиям и видоизменяются, прежде чем стать новыми ГОСТами. Регулятор наращивает нормативную базу.
Мы предлагаем перенестись на площадку XII Уральского форума, попробовать разобраться, с чем связано всё вышеупомянутое, и узнать, какие новшества готовит Центральный банк.
Отчёт Банка России об операциях без согласия клиента за 2019 год
Прежде всего Банк России поделился интересной инфографикой, согласно которой фактический уровень хищений с 2017 по 2019 годы увеличился на 0,0007% (2017 год — 0,0016%; 2018 год — 0,0018%; 2019 год — 0,0023%).
В рамках реализации требований стандарта ЦБ — СТО БР БФБО-1.5-2018 — организован информационный обмен между 826 участниками. Подключены все банки России, также ведётся подключение некредитных финансовых организаций.
Осветил Банк России и успехи в области реализации нормативного регулирования. Соответствующая база позволила кредитным организациям лучше бороться с операциями без согласия клиентов.
Выполнение ключевого показателя эффективности по доле хищений в общем объёме транзакций — не выше 0,005%.
Помимо этого, представители Центробанка заявили, что регулятор обеспокоен утечками данных в финансовой сфере и готовит поправки к законодательству, которые обеспечат интенсификацию работы с правоохранительными органами.
Традиционный доклад Алексея Лукацкого, освещающий основные итоги форума, наглядно показал изменения нормативных требований Банка России. Далее в качестве иллюстраций мы будем использовать скриншоты из его презентации.
Рисунок 1. Информационный обмен
По данным отчёта, представленного первым заместителем директора департамента ИБ Банка России Артёмом Сычёвым, у физических лиц в 2019 году злоумышленники похитили 5,7 миллиарда рублей. Печально, что в 70% случаев мошенники использовали методы социальной инженерии, то есть пострадавшие сами предоставляли злоумышленникам сведения, необходимые для совершения транзакций.
В первый раз регулятор опубликовал данные, дающие понять, что есть случаи возврата денежных средств. По словам А. Сычёва, 9-я статья закона «О национальной платёжной системе» на сегодняшний день прекрасно работает: в 2019 году пострадавшие получили обратно 870 миллионов рублей. Таким образом, каждый седьмой похищенный рубль автоматически вернулся клиентам. Ранее мы уже писали об этом в рамках обзора событий форума.
Применительно к объектам критической информационной инфраструктуры прозвучало следующее:
- налажен обмен между ФинЦЕРТ и ГосСОПКА, что позволяет финансовым организациям направлять данные только в один адрес;
- остался нераскрытым вопрос, касающийся Федерального закона от 02.08.2019 №264-ФЗ «О внесении изменений в Федеральный закон "О национальной платежной системе"» и требования автоматически считать информационные системы, которые отвечают за передачу денежных средств с помощью электронных платежей за границу, значимыми объектами КИИ (ЗОКИИ);
- не решена задача, связанная с организацией передачи данных об инцидентах «иностранными» банками в свои головные структуры, а также согласования плана реагирования на инциденты с Банком России.
Рисунок 2. Упрощённая схема взаимодействия финансовой организации с ГосСОПКА
Сдвиг парадигмы регулирования
Одна из основных тем форума — переход от регулирования, нацеленного на проверку соответствия формальным требованиям (compliance), к риск-ориентированной модели.
В зарубежной практике этот подход называется «continuous monitoring»: интервалы между проверками отсутствуют, и по сути процесс идёт непрерывно с применением разных методов, таких как тестирование на проникновение (пентест), анализ защищённости, информирование ФинЦЕРТа о возможных рисках и зафиксированных инцидентах и т. д.
Рисунок 3. Развитие контрольно-надзорной деятельности
Рисунок 4. Риск-ориентированный подход
Формирование профиля риска и основные показатели оценки
При риск-ориентированном подходе меняются ключевые показатели, по которым будут оцениваться финансовые организации (не только кредитные, а вообще все). Это делается для того, чтобы исключить возможность манипулировать отчётностью. Не секрет, что раньше многие компании завышали свой уровень соответствия (особенно когда проводили самооценку).
Сейчас таких возможностей становится меньше, потому что помимо отчётности по форме 0403202 («Сведения о выполнении операторами платёжных систем, операторами услуг платёжной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств») и результатов аудита по ГОСТ 57580.2-2018 («Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия») появляются другие механизмы, связанные с анализом данных об инцидентах.
Например, если по указанной выше 202-й форме организация вышла на 5-й уровень соответствия, но при этом у неё происходит по 10 инцидентов в день и фиксируется огромное количество хищений, то оценка явно не отражает действительность. Поэтому «бумажная» составляющая отходит на второй план, а фокус сдвигается на анализ реальных оперативных данных, поступивших в ФинЦЕРТ.
Рисунок 5. Основные показатели оценки риска
Пятый показатель, не отмеченный на изображении, — информационный фон (ИФ): анализ социальных сетей, СМИ и других подобных источников для понимания того, как организация выглядит в глазах потребителей.
ЦБ создаёт нормативную базу для формирования единого профиля риска на основе всех показателей для каждой финансовой организации; от этого профиля и будут отталкиваться во время проведения надзорных мероприятий (как очных, так и дистанционных).
Рисунок 6. Статистика нарушений по итогам первых проверок ФинЦЕРТ по ГОСТ Р 57580.1-2017
Статистика обращает внимание на необходимость усиления контроля как минимум по перечисленным направлениям. Поскольку нарушения влияют на показатели риска, будет усилен контроль за организациями со стороны регулятора. Степень повышенного внимания к организации, как и описывалось ранее, будет зависеть не от статуса и уровня защиты по ГОСТ, а от значения риск-профиля, вычисляемого на основе поступающих в ФинЦЕРТ данных. Так как проверка будет проводиться непрерывно, профиль окажется динамическим, а не присвоенным на 2-3 года.
Киберучения
Интересная тема, которая в прошлом году прозвучала совсем вскользь, в 2020 году получила большее развитие: концепция киберучений очень важна и актуальна во всём мире. Тренировки не просто позволяют научиться пользоваться продуктом (что можно сделать на любом авторизованном тренинге того или иного вендора), а помогают развить навыки специалистов по безопасности.
Знание стандартов и положений, к сожалению, не показывает реальный уровень ИБ-инженера: нужно уметь отражать настоящие угрозы, которые могут привести к ущербу для финансовой организации.
В рамках киберучений будут подготовлены различные сценарии на основе данных, поступающих в ФинЦЕРТ, и других источников. Следовательно, в ходе проверки финансовой организации будут использоваться кейсы, максимально приближённые к реальности (отработка уязвимостей, проведение целевых атак, координация внутреннего и внешнего нарушителей и т. д.).
Артём Сычёв, первый заместитель директора департамента ИБ Банка России, углубился в методы борьбы с киберрисками и объяснил суть профилактических действий.
«Наша задача — не оштрафовать, не наказать, а обеспечить стабильность и безопасность финансовой системы. Поэтому мы и говорим в первую очередь о проведённой проверке: мы всем рассказали об их проблемах, — сообщил А. Сычёв. — Второй момент — киберучения, которые покажут, насколько банки реагируют на сигналы регулятора. Важно понимать одно: это — не наша прихоть, это защита банков и клиентов».
Рисунок 7. Пример со схемой проведения киберучений ЦБ
Создание новой нормативной базы
Для плавного и максимально безболезненного перехода к риск-ориентированной модели ведётся работа над нормативными актами (некоторые из них уже вступили в силу): создание «Положения по управлению операционными рисками»; разработка стандартов по мониторингу, аутсорсингу и управлению инцидентами, ГОСТ 57580.1 и ГОСТ 57580.2; введение КПУР — контрольного показателя уровня риска реализации информационных угроз; законопроекты по созданию и использованию Единой биометрической системы и Единой информационной системы проверки сведений об абоненте, а также о цифровых финансовых активах, персональных данных и цифровом профиле.
Положение по управлению операционными рисками
Одной из составляющих этой базы является «Положение по управлению операционными рисками», которое было анонсировано ещё в 2018 году.
Рисунок 8. Нормативные акты по управлению рисками
Во II квартале 2020 года будут введены предусмотренные проектом «Положения...» требования:
- к системе управления операционными рисками,
- к управлению рисками информационной безопасности,
- к управлению рисками информационной системы,
- о введении базы событий операционных рисков.
Также проект предусматривает дифференциацию требований и сроков внедрения системы, управляющей операционными рисками, в зависимости от вида кредитной организации и типа лицензии.
Направления стандартизации Банка России
На данный момент разработаны два стандарта по защите информации — ГОСТ 57580.1 и ГОСТ 57580.2 (отмечены зелёным цветом на рисунке 4). В разработке находятся ещё 2 ветки стандартов — по операционной надёжности и по управлению рисками (отмечены тёмно-серым цветом).
Рисунок 9. Направления стандартизации Банка России (ТК №122, Подкомитет №1)
Три раскрашенных блока составят костяк тех требований, которые будут предъявляться к финансовым организациям; остальные, запланированные на конец 2020-го, 2021-й и частично 2022-й годы, будут относиться к управлению инцидентами, аутсорсингу, мониторингу и ситуационной осведомлённости.
Предполагается, что все шесть стандартов будут работать в связке с указанным выше «Положением».
Контрольный показатель уровня риска реализации информационных угроз
Регулятор вновь возвращается к теме оценки «количественной информационной безопасности».
Опираясь на новую методологическую базу, полученную информацию и накопленный опыт, финансовым организациям придётся высчитывать КПУР — контрольный показатель уровня риска реализации информационных угроз.
Таблица 1. Некоторые показатели из рекомендуемого состава по группам КПУР
| Категория контрольных показателей уровня риска реализации информационных угроз | Контрольный показатель уровня риска реализации информационных угроз | |
| Группа КПУР, характеризующих уровень прямых и косвенных потерь в результате реализации инцидентов в области защиты информации по каждому каналу (способу) предоставления финансовых (банковских) и (или) информационных услуг | Прямые финансовые потери финансовой организации от реализации инцидентов в области защиты информации, включая случаи, связанные с несанкционированным доступом к объектам информатизации финансовой организации и (или) её клиентов, которые привели к осуществлению финансовых (банковских) операций, в том числе переводов денежных средств, без согласия клиентов за определённый период (месяц, квартал, год) | Сигнальное значение |
| Контрольное значение | ||
| Косвенные финансовые потери финансовой организации от реализации инцидентов в области защиты информации, которые привели к нарушению требований к обеспечению операционной надёжности финансовой организации за определённый период (месяц, квартал, год) | Сигнальное значение | |
| Контрольное значение | ||
Теперь организации, которые задумываются о том, как количественно оценивать свою деятельность, как показывать эффективность для правления банка или исполнительного органа финансовой организации и т.п., наконец получат инструмент, позволяющий это сделать — то есть продемонстрировать успехи ИБ с реальными деньгами, а не просто назвать число нейтрализованных инцидентов.
Готовящиеся законопроекты
Идентификация физических лиц с помощью Единой биометрической системы (ЕБС)
Единая биометрическая система (ЕБС) — это цифровая платформа для дистанционной идентификации граждан Российской Федерации по их биометрическим параметрам. Банк России и Министерство цифрового развития, связи и массовых коммуникаций РФ выступили в качестве инициаторов её создания, а предшествовала этому правительственная программа «Цифровая экономика Российской Федерации», в которой идёт речь о повышении доступности цифровых сервисов для маломобильного населения и для лиц, проживающих в отдалённых регионах.
Согласно законопроекту № 613239-7 предполагается, что данные биометрии будут собираться при открытии счетов и вкладов в банках (и их филиалах) и передаваться в ЕБС. Разрабатываемый документ предоставляет банкам право пользования информацией о биометрических данных клиента, полученной из системы, для проведения любых операций и сделок с физическими лицами.
Например, после регистрации на официальном интернет-портале госуслуг и фиксации биометрических данных (снимка лица и примера голоса) в отделении банка человек получит возможность удалённо пользоваться финансовыми сервисами. В частности, он сможет открыть счёт, получить кредит или же совершить перевод денежных средств.
Система заработала в 2018 году, но далеко не все банки осуществляют сбор биометрической информации, и граждане тоже не спешат делиться своей «индивидуальностью» — на данный момент зарегистрировано порядка 116 тыс. пользователей.
Рисунок 10. Развитие ЕБС
Взаимодействие с операторами связи
Законопроект № 514780-7 принят в первом чтении; с текстом можно ознакомиться, перейдя по ссылке.
Для борьбы с мошеннической деятельностью в реальном времени финансовым организациям нужны данные об абонентах, но операторы связи далеко не всегда делятся этой информацией (либо передают её в недостаточном объёме или требуют за неё очень большие деньги), поэтому рассматривается возможность создания Единой информационной системы проверки сведений об абоненте (ЕИС ПСА).
Абонентский номер должен стать идентификатором, который окажется строго закреплённым за конкретным человеком. По номеру телефона можно будет установить фамилию, имя и отчество, а также реквизиты удостоверяющих личность документов, при предъявлении которых заключался договор между клиентом и оператором связи.
Допустим, условный Иванов Иван Иванович собирается подать заявку на открытие счёта или на оформление потребительского кредита (онлайн или в отделении банка), указывая некий контактный номер. Сотрудник банка или автоматическое средство проверки увидит, что номер ему не принадлежит, и откажет Иванову в финансовых услугах (либо примет иное решение, которое прописано в риск-политике банка).
Следует дополнительно обратить внимание на то, что при сверке номера никакие персональные данные не передаются. Запрос на подтверждение в систему отправляется в хешированном виде, а ответ является бинарным: «да» или «нет».
Другой пример: большому количеству россиян поступают бесконечные надоедливые звонки от коллекторов с требованиями вернуть долг, числящийся за третьим лицом, о существовании которого абоненты никогда не слышали. Подобная ситуация возникает в том случае, если приобретённый номер ранее принадлежал должнику. Такие номера называют «токсичными» — это определение даже фигурирует в законопроекте.
Создание ЕИС ПСА должно решить эти проблемы, а также ряд других — например, прекратить регистрацию номеров на фальшивые или чужие паспортные данные, покончить с созданием настоящих центров обзвона в местах лишения свободы, где выманивают деньги у доверчивых граждан.
«Мы считаем, что сверка такого идентификатора, как телефон, должна очень внимательно отслеживаться», — отметил Дмитрий Скобелкин, заместитель председателя Банка России. Ранее мы уже публиковали его позицию по этой теме.
Рисунок 11. Схема взаимодействия операторов связи и финансовых организаций в части ЕИС ПСА
Цифровые финансовые активы
Готов ещё один законопроект — № 419059-7, который многие называют «законопроектом о криптовалютах», хотя это и не совсем верно (аналогично предыдущему он принят в первом чтении).
Рисунок 12. Цифровые финансовые активы
Цифровой профиль
Законопроект № 747513-7 о цифровом профиле уже внесён в Государственную Думу.
Рисунок 13. Цифровые финансовые активы
Ответственность за утечки персональных данных
Раскрывая эту тему форума, хотелось бы привести несколько высказываний одного из первых лиц Центрального банка РФ, чтобы читатели самостоятельно осознали всю важность и значимость проблемы.
Заместитель председателя Банка России Д. Г. Скобелкин отметил, что тема персональных данных особенно беспокоит его, и сообщил следующее:
«Мы со своей стороны — как регулятор — направили предложение в Совет Безопасности по этой тематике. В начале лета пройдёт большое заседание межведомственной рабочей группы, которое будет организовано при Совбезе для обсуждения этого вопроса. И, как я уже сказал в своём докладе, параллельно мы обратились в «Ростелеком» и в Минсвязи (Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации — прим. автора) для того, чтобы в оперативном порядке начать работу над необходимыми изменениями в законодательство по этой теме».
Весьма жёстко Дмитрий Скобелкин высказался по поводу усиления ответственности за утечки персональных данных:
«Я считаю, что должна быть уголовная ответственность. По крайней мере, за серьёзные нарушения в этой области она должна быть. Вы знаете, у нас в Российской Федерации нет уголовной ответственности для юридических лиц, хотя во многих странах она есть».
На вопрос о том, что же делать, если финансовая организация выполнила все требования ЦБ в области безопасности, но утечка всё равно произошла, был дан следующий ответ:
«Просто так ничего не бывает. Безусловно, это подлежит тщательному разбирательству. Значит, где-то есть какая-то проблема. Ведь установки регулятора — это тоже процесс, который совершенствуется по мере возникновения вызовов и угроз. Совершенствуется процесс защиты. Поэтому нужно понимать, что именно послужило возможностью подобной утечки. Либо регулятор должен будет на это посмотреть внимательно — значит, не всё он отрегулировал, — либо это, как показывает практика, зависит от персоналии конкретного физического лица».
На прошедшем осенью SOC-форуме представители банков утверждали, что данные утекают не у них, а у третьих лиц: у розничных сетей, интернет-магазинов и т. д. Зампредседателя ЦБ прокомментировал и эти слова:
«Однозначно я ответить не могу. Любая утечка информации — любые киберриски, которые допускаются и которые реализуются, — это огромные репутационные риски для банка, это потеря клиентов. И, естественно, банк всеми правдами и неправдами будет рассказывать о том, какой он белый и пушистый, что у него система безопасности просто гениальна, что виноват кто угодно, но только не он.
Но нельзя ставить под сомнение и те доводы, которые приводит банк. Поэтому мы и проводим инспекционные проверки. Ведь нет задачи кого-то наказать (между прочим, мы очень мало организаций подвергли административному наказанию за неисполнение требований). Я, например, считаю, что здесь мы должны более жёстко подходить к вопросу. Но необходимо иметь в виду разумность: банк банку рознь.
Специализация у банков — разная: некоторые специализируются на всём, какие-то — инвестиционные, какие-то — занимаются розницей, и так далее. Но базовый стандарт информационной безопасности — я глубоко убеждён в этом — должен быть в любой кредитной организации. В зависимости от развития и масштаба деятельности того или иного банка должна развиваться и его информационная безопасность, и защита клиентов от киберрисков. Должен быть стандарт».
На XII Уральском форуме обсуждались следующие законы и законопроекты:
- о ратификации «Протокола о внесении изменений в Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»,
- о требовании уведомления об утечках персональных данных (по образу и подобию GDPR),
- об обезличенных сведениях (в том числе — персональных) и больших пользовательских данных,
- об ответственности за действия или бездействие обработчиков персональных данных, а также за распространение, приобретение и последующее использование личных сведений, полученных преступным путём,
- об увеличении штрафов за хранение персональных данных за пределами РФ.
Борьба с социальной инженерией
В отрицательном значении социальная инженерия — это психологические манипуляции, в результате которых жертвы сами отдают свои деньги злоумышленникам или содействуют им в краже денежных средств (сообщают данные, устанавливают на мобильные устройства вредоносные программы, вводят пароли на фишинговых сайтах и т. д.).
Рисунок 14. Столпы, на которых основана социальная инженерия
«В таких случаях вернуть деньги гражданина очень сложно — это определено законом. Объясню: эти действия укладываются в нарушение договора между банком и клиентом», — подчёркивает Артём Сычёв.
«Они работают “по площадям”, им важно заманить в свои сети как можно больше жертв. Именно поэтому мы считаем, что основным методом противодействия социальной инженерии являются разъяснительные работы среди россиян, повышение уровня осведомлённости по части финансовой грамотности», — резюмировал представитель ЦБ.
Согласно данным, приведённым в отчёте Банка России, социальная инженерия стала причиной 31,30% злонамеренных операций, совершённых без согласия клиента.
Рисунок 15. Причины совершения операций без согласия клиентов (%)
На форуме были предложены следующие способы борьбы с социальной инженерией:
- требование внедрения минимальной совокупности правил антифрода, обязательной для всех финансовых посредников, в случае предложения ими услуг, связанных с дистанционным переводом денежных средств;
- ограничение возможности перевода денег и оплаты услуг через службы мобильных платежей с мгновенным списанием или зачислением;
- расширение понятия «небезопасное средство платежа».
Использование открытых API
Цифровая трансформация должна перейти с бумаги на практику, для чего необходимо использовать открытые API. В конечном счёте это призвано облегчить доступ к информации о клиентах финансовых организаций и упростить обмен такими сведениями.
Открытые API де-факто являются стандартом во всём мире и постепенно приходят в Россию. На данный момент разрабатываются два таких стандарта: первый описывает сами открытые программные интерфейсы, а второй предназначен для описания требований по ИБ.
Рисунок 16. Краткое описание планируемых к введению стандартов открытых API
Мастерчейн
Существующая система посредников при совершении операций приводит к возникновению дополнительных транзакционных издержек, а сложность получения актуальной информации по сделкам и транзакциям увеличивает стоимость принятия управленческих решений. Платформа «Мастерчейн», созданная «Ассоциацией ФинТех» совместно с участниками финансового рынка и Банком России, реализует технологические стандарты и инфраструктуру распределённых реестров для снижения этих издержек и повышения прозрачности операций.
Данные в «Мастерчейне» хранятся сразу на множестве носителей в качестве идентичных копий и потому не могут быть подделаны. Это — первая единая национальная сеть для обработки и хранения финансовой информации на основе блокчейна Ethereum, позволяющая проводить платежи в режиме онлайн, оперативно подтверждать актуальность данных, а также быстро создавать финансовые сервисы.
Платформа сертифицирована ФСБ, с помощью ГОСТ-криптографии в ней реализованы:
- протокол исполнения смарт-контрактов (EVM),
- сервис передачи конфиденциальных сообщений,
- создание закрытых сетей с управляемым доступом,
- средства мониторинга и администрирования.
Взаимодействие участников сети «Мастерчейн» происходит по единым для всех правилам, фиксируемым в реестре.
Пилотные и промышленные сценарии, в которых используется «Мастерчейн»:
- регистрация и учёт ценных бумаг (закладные);
- торговое финансирование (гарантии, аккредитивы);
- передача платёжной информации.
При повсеместном внедрении платформы время создания закладных должно снизиться с 9 дней до 1-го, а издержки депозитариев на операции их учёта и хранения уменьшатся на 30%.
Время выдачи банковских гарантий должно сократиться с 8 часов до 10 минут, а издержки банков на их выдачу упадут на 15%.
Предполагается, что время на открытие цифрового аккредитива уменьшится с 4 дней до 1-го, а затраты банков на сопровождение сделки с аккредитивом станут меньше на 20%.
Более подробную информацию о системе вы можете узнать здесь и здесь.
Рисунок 17. Сценарии, реализованные с помощью «Мастерчейна»
Выводы
27 июня 2018 года был подписан Федеральный закон №167-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств», который по истечении 90 дней вступил в силу.
XII Уральский форум по информационной безопасности в финансовой сфере показал, что Центральный банк начинает активно использовать описанные в законе полномочия, в связи с чем отрасль нагружается новой нормативной базой.
На протяжении форума Алексей Лукацкий — бессменный обозреватель мероприятия — проводил опрос, по итогам которого подавляющее большинство участников негативно высказалось о резком увеличении количества нормативных актов, изданных регулятором. ИБ-инженеры, аналитики, юристы вынуждены постоянно изучать всё новые указания, в связи с чем остаётся всё меньше времени заниматься самой безопасностью и её совершенствованием.
Несмотря на сложности, которые связаны с временными и финансовыми затратами, необходимыми для соответствия требованиям Банка России, невозможно не заметить ряд положительных инициатив, таких как развитие платформы «Мастерчейн», упрощение взаимодействия финансовых организаций с ФинЦЕРТом и ГосСОПКА, приведение российских стандартов к международному уровню и многое другое.
Нужно понимать, что банковская отрасль информационной безопасности находится на переходной стадии: концепция регулирования меняется в сторону непрерывного мониторинга на основе риск-ориентированной модели. Защита в области финансов постепенно отходит от старой системы соответствия требованиям — заканчивается эпоха сертификатов, актуальность которых часто оставляет желать лучшего.
Финансовые организации получат инструменты для количественной оценки безопасности. Профиль риска станет динамическим и будет зависеть от многих показателей.
Реализовать все эти нововведения должны помочь в том числе и киберучения, в рамках которых лицензиаты Банка России будут бороться с инцидентами в условиях, максимально приближённых к реальным. Отработав сценарий по противодействию киберпреступникам, кредитная организация получит возможность узнать свои слабые и сильные стороны, а также укрепить систему безопасности, что впоследствии должно снизить вероятность информационных и финансовых потерь.
В силу того, что более двух третей всех операций хищения денежных средств, успешно проведённых злоумышленниками в 2019 году, были осуществлены с помощью методов социальной инженерии, Банк России выдвинул предложения по противодействию этому способу мошенничества. В то же время регулятор отмечает, что самым действенным методом будет проведение разъяснительных работ с целью повышения общего уровня «кибергигиены» и финансовой грамотности россиян.
Разработка Единой информационной системы проверки сведений об абоненте и сверка телефонного идентификатора должны облегчить жизнь не только банкам, но и нам — их клиентам. В конечном итоге это не просто снизит количество неправомерных переводов денежных средств, но и также решит проблему с поступлением многочисленных нежелательных звонков, от которых все давно устали.
Отдельным пунктом стоит отметить ужесточение наказаний для физических и юридических лиц за разглашение (или допущение утечки) персональных данных. Рассматривается даже введение уголовной ответственности за такие нарушения.
