Агентство по регулированию и развитию финансового рынка в Казахстане представило анализ состояния информационной безопасности на финансовом рынке, включая комментарии директора Департамента информационной и кибербезопасности Романа Перминова. Подробности узнал корреспондент Bizmedia.kz.
Кибербезопасность и ее значимость
В последние годы значимость кибербезопасности на финансовом рынке выросла. Переход финансовых учреждений к онлайн-сервисам требует высокого уровня цифровой защиты для клиентов и бизнеса. Вместе с удобством технологий возникает риск, привлекая преступников, готовых использовать новые возможности.
Основной стратегией в обеспечении безопасности является предотвращение. Организации, готовые к вызовам, смогут защитить активы и репутацию в условиях все более изощренных кибератак.
Это привело к ужесточению регулирования и требований на финансовом рынке. Клиенты ожидают защиты своих данных и активов со стороны банков.
Отраслевой центр
Агентство, выполняя свои обязанности через Отраслевой центр информационной безопасности, с начала 2020 года активно работало над созданием нормативной базы для деятельности, включая требования по информационной безопасности для участников финансового рынка: банков, страховых компаний, кредитных бюро, участников рынка ценных бумаг и микрофинансовых организаций. Также были разработаны и закреплены нормы по оценке и управлению рисками информационной безопасности на финансовом рынке.
Отраслевой центр собирает, анализирует и оценивает данные о угрозах информационной безопасности, слабостях инфраструктуры финансовых организаций и инцидентах на финансовом рынке. Результаты этой работы — предупреждения, отправляемые участникам финансового рынка, чтобы они могли оперативно реагировать и улучшать свои системы безопасности.
Для этой задачи Агентством была создана и запущена система обработки информации об инцидентах информационной безопасности на финансовом рынке, называемая «QAINAR». Правила ее использования на финансовом рынке были утверждены Правлением Агентства.
На данный момент все банки второго уровня в Казахстане и ряд других организаций с подходящими возможностями подключены к системе «QAINAR». На декабрь 2023 года в этой системе было зафиксировано и обработано около 21 миллиона инцидентов информационной безопасности, то есть кибератак.
С 2021 года Отраслевым центром с помощью «QAINAR» предотвратилось следующее:
На участников информационного обмена было отправлено 332 предупреждения об угрозах информационной безопасности и 654 предупреждения о слабостях. Обработано 229 карт инцидентов информационной безопасности в банках.
28 марта 2023 года Управление кибербезопасности Агентства было преобразовано в Департамент информационной и кибербезопасности по указу Президента Казахстана под номером 157.
Проверки
Усиление усилий в сфере кибербезопасности Агентства привело к расширению списка проверяемых финансовых организаций и повышению эффективности проверок в области соблюдения стандартов информационной безопасности.
Под воздействием роста киберугроз нормативы, устанавливаемые Агентством, становятся более строгими для финансовых организаций. В текущем году была проведена значительная работа по усилению требований к безопасности банков и микрофинансовых организаций.
Изменения в этих требованиях направлены на повышение уровня безопасности финансовых услуг путем усиления программного обеспечения, включая:
Гарантирование безопасности разработки, доработки и хранения программного кода. Внедрение биометрической идентификации клиентов при выполнении критически важных операций. Ограничение функционирования приложений при обнаружении использования программ удаленного управления или нарушении функций безопасности. Запись геолокационных данных при проведении финансовых операций в приложении.
Банки и микрофинансовые организации вынуждены более тщательно следить за соблюдением норм, что требует от них дополнительных усилий и ресурсов, хотя это также уменьшает риски для клиентов, отметил Перминов.
В то же время финансовые организации все активнее используют облачные решения для оптимизации операций и снижения затрат. Также начинают интегрировать искусственный интеллект и машинное обучение для анализа данных и выявления аномалий в реальном времени. Однако, это также приносит новые риски, такие как атаки на алгоритмы и модели машинного обучения, что требует усовершенствования регулятивных норм и контроля за их соблюдением.
Цифровизация банковского сектора позволяет множеству внешних сервисов интегрироваться с безопасными банковскими системами. Однако слабым звеном в цепочке кибербезопасности финансовых организаций становятся компании, получающие доступ к банковской инфраструктуре для предоставления своих услуг. Это открывает двери к атакам на цепочку поставок.
Например, разработка мобильных и веб-приложений для финансовых организаций придает конкурентное преимущество, но одновременно подключение внешних участников к банковской инфраструктуре создает уязвимости. Киберпреступники теперь могут нападать на поставщиков, которые слабее оборудованы в смысле безопасности.
Банкинг
Онлайн-банкинг стал основным способом доступа клиентов к цифровым финансовым услугам в 2023 году, но при этом увеличилась зона атаки из-за миллионов устройств.
Клиенты теперь должны активно заботиться о безопасности своих устройств и систем Интернета вещей, учитывая возможность использования украденных телефонов, устаревших прошивок и слабых политик безопасности. Фишинг, социальная инженерия, программы-вымогатели и атаки на незашифрованные активы по-прежнему актуальны.
Развитие блокчейна и криптовалют создают новые вызовы в области информационной безопасности, привлекая внимание киберпреступников. Хактивизм сохраняет актуальность, особенно в условиях усиливающейся геополитической напряженности.
Цель хактивистов — дестабилизация финансовой системы, их атаки направлены на отдельные компании финансового рынка, но стремятся вызвать панику, сомнения в финансовых институтах и государственной власти.
Финансовые организации сталкиваются с постоянными угрозами и должны постоянно совершенствовать методы обеспечения безопасности. В условиях увеличивающихся киберугроз и строже регулируемой среды сотрудничество, обучение персонала и инновации в области безопасности играют ключевую роль.
Ранее мы рассказывали о том, почему в Казахстане не сработало урегулирование проблемных банков.
