Большинство сотрудников банков перешли на удалённый режим работы и, как следствие этого, к целому ряду информационных систем в банке начали подключаться с домашних компьютеров, которые являются абсолютно не контролируемой зоной для сотрудников ИБ. На фоне перехода на режим самоизоляции в банках резко возросла нагрузка на подразделения ИБ и ИТ, которые организовывают удалённый доступ всеми доступными и, чего греха таить, не всегда продуманными, безопасными способами.
Как показывает жизнь, сегодняшний вызов всем странам не последний. Поэтому основной целью мероприятия было не столько устранению локальных угроз именно сегодняшнего дня, купируя какие-то точечные проблемы, сколько системному подходу к реализации множества положений и требований регулятора к организации защиты информации в финансовой сфере.
В вебинаре принял участие первый заместитель директора Департамента информационной безопасности Банка России Артем Сычев. В частности, он отметил, цитируем:
«Центральный банк, в связи со сложившейся ситуацией с коронавирусом, выпустил два информационных письма, из которых следует. Во-первых, введены явные послабления по сбору отчетности и меры воздействия не будут применяться, если в ситуации, когда все фактически перешли на удаленную работу, мы вдруг не получим отчетности по рекомендуемым нам формам. Второе, всем объяснили давно, еще до момента, когда началась пандемия, что проверочных мероприятий в этот период не намечается. Эта позиция была официально опубликована. И в таких условиях о каких еще послаблениях можно говорить?
Остановимся на моменте дороговизны обеспечения информационной безопасности. Коллеги, банковский бизнес сам по себе недешевый, риски, которые возникают при работе с деньгами, тоже требуют внимательного к себе отношения, и они тоже дорого обходятся. Если банк работу по обеспечению информационной безопасности вёл, то никто не против, что в плановом порядке вы все необходимые мероприятия сможете довести.
Я бы говорил сейчас немного о другом. Никто никогда не требовал от банков выполнения РЕАЛЬНОЙ безопасности и того, что написано в документах не только Банка России, но и других органов. Это применительно к средствам криптографической защиты. От этого и появляется такое удивление у банков: «Как же так? Нас начинают настойчиво заставлять выполнять требования!». Но почему-то в банках, где безопасностью занимались должным образом, таких вопросов не возникает. Поэтому, если вы внимательно посмотрите, что написано в тех документах, которые выпущены Центральным Банком за последнее время, то увидите, что там нет ничего, что не соответствовало бы тем угрозам, которые есть в банковской системе сейчас. Если мы говорим про дорогой банковский бизнес, то, соответственно, и защита его должна быть реализована.”
Вопрос: как было сказано, банковский бизнес недешевый. Но за свои финансовые риски отвечает сам банк. И поэтому в выборе каких-то средств банку надо было бы давать больше свободы, потому что он рискует, в конце концов, своими клиентами. И в этом смысле у банков должен быть больший выбор.
Артем Сычёв: во-первых, у банков и сейчас есть выбор вариантов реализации существующих требований. Во-вторых, у него есть выбор исходя их той модели деятельности, которую он ведет. И совершенно необязательно реализовывать ту часть вопросов, которые записаны в виде требований только потому, что они определены. Требуются защита только от тех рисков, по которым у банка есть соответствующий бизнес. Если у банка какого-то типа бизнеса нет, соответственно нет и риска.
В-третьих, мы постепенно переходим к киберучениям, где в основе лежит анализ рисков для финансовых организаций и проецирование этих рисков, точнее, возможности банка вовремя выявить, локализовать и ликвидировать последствия от инцидента и реализованного риска на капитал банка. Положение об информационных рисках Центрально Банка вышло, сейчас оно находится на согласовании в Министерстве Юстиции. Следующие шаги — реализация того, что там намечено. Дальше мы посмотрим, насколько в банке готовы своим капиталом отвечать за те проблемы, которые у них возникают.
Вопрос: рискоориентированный подход к выбору базовых мер и альтернативных методов защиты, который банк должен сделать для себя, явно требует доработки.
Артем Сычёв: Нам, как регулятору, нужно будет перейти от оценки реализации мер к оценке реализации механизмов прогнозирования, выявления, ликвидации последствий и локализации самих инцидентов и как это в дальнейшем отражается на рисках. Это не проверка антивирусом на сервере! Это совсем новая задача.
Полная версия вебинара:
Презентации докладчиков.