Финансовый сектор и банки традиционно являются одной из наиболее прогрессивных отраслей отечественной экономики с точки зрения ИБ. И дело не только в регуляторике, которой было довольно много и в области персональных данных. Но и в наличии у поднадзорных избытка финансовых ресурсов, сочетающегося с внутренней мотивацией для построения комплексных систем защиты, внедрения технологических инноваций, наймом квалифицированных специалистов.
Действительно, именно финансовые организации, как обладатели главного ресурса капиталистической системы – денег, являются априори интересным объектом приложения усилий атакующих. Успешная атака на финансовый институт позволяют получить доступ:
- Не к каким-то неочевидно полезным персональным данным (многие из которых и так можно найти в открытом доступе в интернете, благо OSSINT никто не отменял);
- Не сломать что-то, влияющие на жизнь, здоровье и безопасность людей (что может быть интересно лишь ограниченному кругу террористических или аффилированных с государственными структурами группировок).
Нет, успешная атака на финансовый институт позволяет добраться до финансового эквивалента любого товара, который можно потратить на любые полезные злоумышленникам задачи, включая личное потребление.
При этом при атаках на финансовые организации возможны и антигосударственные, террористические, хактивисткие мотивы – ведь значимость подобных субъектов в рамках финансовой системы, как обладателей объектов критической информационной инфраструктуры никто не отменял. А их сервисы, в силу особенностей технологических процессов, направленных на обслуживание населения и юридических лиц, не спрятаны где-то в глубинах заводов и атомных станций, изолированные от внешнего мира, но доступны всем желающим через интернет 24/7.
Таким образом, широчайшая поверхность атаки, в сочетании с наличием мотивированных злоумышленников различной природы, и наличие ресурсов на борьбу с ними исторически обусловила роль организаций финансового сектора и банков как передовиков процессов внедрения информационной безопасности. А регуляторика, включая международную (ярким примером чего является приход на отечественный рынок PCI DSS в середине нулевых годов), лишь «усугубила» объективный процесс и придала ему определенные рамки, и способы измерения уровня зрелости и степени соответствия.
Понятно, что как только мы переходим от обобщений к конкретике, и понимаем, что на рынке существуют разные финорганизации и банки, и что первые топ-10 сильно отличаются от последних топ-100. Что помимо банков есть пенсионные фонды, страховые и другие некредитные финансовые организации. Что кроме них есть поставщики платежных приложений, операторы услуг информационного обмена, банковские платежные агенты и другие субъекты национальной платежной системы. Мы понимаем, что под «монолитом индустрии» скрывается «тысяча цветов» и все они разные, и далеко не у всех есть достаточное количество ресурсов для реализации адекватной, в контексте современной регуляторики системы защиты.
И здесь мы переходим к 2023 году, который был открыт публикацией новых частей стандартов 57580 на закате 2022 года (третьей и четвертой, посвященных управлению операционными рисками, связанными с угрозами информационной безопасности, и операционной надежностью соответственно); неопределенностью, связанной с проблематикой импортозамещения (а точнее отказу от использования средств защиты из недружественных стран) и ухода ряда поставщиков из России; дальнейшим развитием системы отчетности, включая отчетность по операционной надежности, компьютерным инцидентам и рискам; инициацией Банком России активной работы по обновлению стандартов и положений Банка России в области защиты информации, которая назрела (так, ГОСТ 57580.1-2017 не обновлялся уже более шести лет, за которые было накоплено огромное количество вопросов и замечаний к стандарту); началом разработки и тестирования системы цифрового рубля, продолжающей традиции инноваций в платежах, положенных НСПК и СБП; дальнейшим ростом популярности СПФС, заменяющей SWIFT.
И все это на фоне ставшего уже привычным противостояния с недружественными странами, включая противодействия их активности в киберпространстве, возможные последствия которого не стоит недооценивать (хорошей иллюстрацией того, как это может работать и вредить финансовой отрасли представляет недавняя атака на «Киевстар», вследствие которой по данным Forbes перестали обслуживать платежи до 30% терминалов Приватбанка).
Здесь хочется отметить одну ключевую, с точки зрения автора вещь. С чисто количественной точки зрения и простых метрик – у финсектора все хорошо. Все занимаются безопасной разработкой (спасибо ОУД 4 и законодательству о КИИ), все делают пентесты (спасибо положениям Банка России по защите информации), все развивают системы мониторинга и реагирования на инциденты (спасибо стандартам СТО БР), все обезопашивают инфраструктуру, техпроцессы, внедряют системы управления рисками и опернадежности (спасибо семейству ГОСТ Р 57580), все внедряют какие-то новые сервисы (ЕСИА, ЕБС, СБП, Цифровой рубль и т.д.), и вроде бы отрасль растет и развивается, в полном соответствии со своей богатой предысторией.
Но… есть ложка дегтя: а именно значительная перегруженность организаций регуляторикой, которая, по существу, одинаково объемна и для больших, и для малых организаций. И существующая система классификации организаций по уровню защиты не отменяет необходимости понимания и контроля всех требований, включая требования, находящиеся за рамками регуляторики самого Банка России (152-ФЗ, 187-ФЗ, приказы ФСТЭК и ФСБ России). Даже минимальный их набор представляется труднореализуемым для небольших компаний, что порождает либо попытки «творчески срезать углы», либо волюнтаристкое игнорирование требований, либо уход с рынка, либо ещё какие-то оптимизации наподобие внедрения sGRC систем, которые тоже требуют денег и кадров.
И это накладывается на масштабные демографические проблемы (пресловутая нехватка кадров связана не только с образованием, но и с дефицитом молодых людей), нарастающую неопределенность появления новых технологий (например, если проект OpenAI создаст сильный ИИ, то буквально в одночасье правила игры могут существенно измениться), и продолжающуюся трансформацию мировой экономики и финансовой системы, о которой теперь не говорит только ленивый (не говоря уже о «древних» моделях динамики капиталистической экономики, предложенных в 19м веке Марксом, и развиваемых в веке 21, например, Рэем Далио).
Поэтому будущее, как это часто бывает в «порубежное время» неопределенно. А достижения и прогресс соседствуют с глобальными угрозами и нерешенными проблемами. Какая из тенденций возобладает, и что нас ждет за следующим поворотом реки времени – в том числе зависит от действий нас самих. Да, неопределенность несет за собой риск. Но риск, это не только угроза, но и возможность.
Автор: Гусейнов Рустам, преподаватель АИС, председатель кооператива «РАД КОП».
Оригинал публикации на сайте CISOCLUB: "Прогресс и проблемы в области ИБ российских банков в 2023 году".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Эксперты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.