| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Анализ мер, принимаемых Банком России и кредитными организациями для обеспечения и повышения уровня информационной безопасностиАвтор: Кузнецова Карина Александровна, студентка 4 курса бакалавриата, Петрозаводский Государственный Университет Научный руководитель: Ларченко Ольга Викторовна, старший преподаватель кафедры финансов, финансового права, экономики и бухгалтерского учета Аннотация: В статье рассматриваются меры, направленные на повышение уровня информационной безопасности банковской системы России. Проанализированы действия Банка России за ряд лет по обеспечению должного уровня защиты данных. Уделено внимание наиболее востребованными в сегменте информационной безопасности технологиям, а также рассмотрены меры кредитных организаций, нацеленные на укрепление систем защиты. Изучены причины и последствия утечек банковской информации, подведены итоги и сделаны выводы. Ключевые слова: утечка информации, информационная безопасность, защита данных, Банк России, банковская система. В настоящее время развитие всевозможных цифровых технологий достигло высокого уровня. Они внедрены практически во все сферы жизнедеятельности человека, везде им нашлось применение. Информационные технологии привнесли в жизнь общества удобства, сделали доступными многие действия, невозможные ранее. Однако одной из серьезных проблем, связанной с повсеместной цифровизацией, является недостаточная защита данных, которые часто становятся мишенью хакерских атак и неправомерных действий. Очень распространено такое мошенничество в отношении баз данных кредитных организаций, содержащих персональные данные клиентов банков, а также сведения обо всех банковских операциях и суммах остатков на их счетах. Несмотря на многочисленные и многоуровневые системы защиты информации, применяемые банками, они все еще являются недостаточными. Так, кража персональных данных клиентов кредитных организаций может привести к неблагоприятным последствиям как для клиентов, так и для самих банков, может стать причиной, сдерживающей темпы развития банковской системы. Поэтому вопрос изучения мер по предотвращению утечек банковских данных является особо актуальным в настоящее время. Согласно определению Банка России, "утечка информации - это несанкционированное предоставление или распространение информации конфиденциального характера, не контролируемое организацией БС РФ" [7, с. 6]. Так, в 2018 г. 75% банков банковской системы России столкнулись со случаями утечек информации. При этом в 38% случаев утекали персональные данные клиентов, в 28% - информация о клиентах и сделках, в 21% - данные о партнерах, в 13% - техническая информация. Стоит отметить, что не было отмечено ни одного случая утечки данных внутренней бухгалтерии банков. При этом, больше половины кредитных организаций скрыли инцидент и не делали никаких оповещений или заявлений [3]. Подобные случаи происходят регулярно. Так, например, в августе 2019 г. мошенникам впервые удалось вывести денежные средства через Систему Быстрых Платежей. В октябре 2019 г. стало известно о самой масштабной утечке банковских данных в российском банковском секторе: мошенники владели информацией о 60 млн. кредитных карт, как действующих, так и закрытых [4]. В этот период специалисты обнаружили на черном рынке около 13 тыс. предложений купли/продажи данных клиентов [2]. В августе 2020 г. Банк России и "Visa" предупредили коммерческие банки о том, что произошла утечка базы данных с 55 тыс. записей о клиентах банков [9]. Если говорить о последствиях таких утечек, то, согласно исследованию "СёрчИнформ", 31% банков несут имиджевый ущерб, 16% страдают от комплаенс-риска, 14% определяют свои потери как крупный финансовый ущерб, 26% - мелкий финансовый ущерб, а на 12% подобные случаи никак не отражаются [3]. Специалисты говорят о том, что в настоящее время у банков имеются достаточно серьезные системы технической защиты. Вопреки этому утечки все еще происходят, и причиной этому зачастую является простой человеческий фактор. Так, по данным ФинЦЕРТа человеческий фактор находится на первом месте среди всех причин, которые определяют успешность внешних атак на инфраструктуру. Не снижается угроза злоумышленных действий и со стороны самих сотрудников банков?. На долю инцидентов по вине сотрудников (как случайных, так и злонамеренных) приходится 70% от всех утечек из кредитных организаций [8]. Именно поэтому многие рекомендации Центрального Банка Российской Федерации по поводу информационной безопасности банков касаются, в первую очередь, обеспечения тщательной защиты данных внутри кредитных организаций. Помимо сотрудников банков, источниками утечек информации часто становятся и сами пользователи. Согласно отчету ФинЦЕРТа, на долю банковских утечек приходится лишь 12% от всех данных, продававшихся на черном рынке в первой половине 2019 года [8]. Такой вывод подтверждается и тем фактом, что показатель внедрения современных DLP-систем (Data Loss Prevention) в банках довольно высок (около 35% финансовых компаний используют такое программное обеспечение для защиты своей информации). "Однако часто ситуация складывается парадоксальным образом, когда программные комплексы не эксплуатируются в полную силу. Это позволяет судить о том, что угроза человеческого фактора в банковской сфере сохраняется на высоком уровне"[3]. Помимо человеческого фактора внутри банков, серьезной проблемой является отсутствие достаточного финансирования отделов информационной безопасности. Причиной этого, в свою очередь, является несовершенство законодательства в сфере утечек персональных данных - штрафы за разглашение такой информации несоразмерно малы по сравнению с объемом средств, которые необходимо направить на развитие систем информационной безопасности. Тем не менее, кредитно-финансовая сфера все же является одной из самых оснащенных ИБ-инструментарием. В большей мере причиной этому является пристальное внимание и надзор регулятора, а также работа в данной отрасли высококвалифицированных специалистов и более серьезное финансирование, нежели в других сферах. Поэтому в настоящее время банковский сектор тщательно защищен, и внешние атаки становятся все более "дорогим удовольствием". На этом фоне возрастает угроза от внутреннего фактора. Центральный Банк Российской Федерации уже давно ведет активную работу по мониторингу и предотвращению мошенничества в сфере интернет-банкинга. Основные меры, принятые Банком России за последние 7 лет, перечислены в таблице 1. Как видно, регулятор уделяет достаточное внимание совершенствованию законодательства, касающегося обеспечения и совершенствования информационной безопасности кредитных организаций банковской системы России. Постепенно требования Банка России к банкам становились обязательными, и регулятор начинал призывать банки к ответственности за несоблюдение установленных стандартов. В целом, у кредитных организаций было достаточно времени, чтобы равномерно распределить свои затраты на формирование необходимых систем безопасности, и нововведения регулятора не должны были стать для них ударом. Нужно также отметить, что Банк России старается решать вновь появляющиеся проблемы совместно с коммерческими банками, что повышает эффективность принимаемых мер по борьбе с мошенниками. Немалое внимание уделяется также созданию соответствующей инфраструктуры, нацеленной на комплексную, постоянную и тщательную работу по защите банковских данных. Таблица 1 Меры, предпринимаемые Банком России в целях повышения уровня информационной безопасности кредитных организаций за период 2013-2020 гг. [2, составлено автором]
Так, своими действиями регулятор способствует не только повышению доверия клиентов банков к современным онлайн-сервисам, но и сохранению устойчивости банковской системы во время информационных трансформаций. Можно перечислить некоторые средства защиты, которые используются организациями на сегодняшний день (табл. 2). Таблица 2 Наиболее популярные средства информационной защиты, применяемых в России и мире [3, составлено автором]
Уделим внимание наименее популярному на сегодняшний день программному обеспечению. Видно, что SIEM-системы пока применяет лишь малая доля компаний, особенно российских. Во второй половине 2019 г. и начале 2020 г. компания "Positive Technologies" проводила исследование "Выявление инцидентов ИБ с помощью SIEM: типичные и нестандартные задачи", которое заключалось в определении эффективности применения данной системы и ее преимуществах непосредственно на практике. Основной задачей SIEM-системы (security information and event management) является не только сбор информации о событиях нарушения информационной безопасности с различных источников - сетевых устройств, приложений, журналов ОС, средств защиты, - но и автоматизация процесса обнаружения инцидентов, а также своевременно информировать о них специалистов по безопасности. Так, SIEM-системы могут применяться для решения следующих задач (рис. 1)
Рис. 1 - Список популярных задач для пилотного внедрения MaxPatrol SIEM (доля проектов) [1, с. 4] С помощью системы SIEM удалось выявить такие события ИБ, как вредоносный контент, доставленный легальным образом, как правило по электронной почте (спам и фишинговые атаки), нарушение доступности отдельных сервисов и систем в целом (например, в случае DDoS-атаки), использование хакерских утилит, применяемых для взлома систем или иных противоправных действий и многие другие [1, с. 7]. Для наиболее эффективного применения систем информационной защиты необходимо обеспечивать тщательный сбор информации и подключение как можно большего количества источников к используемой системе. Вероятно, внедрение таких систем в российскую практику сможет привести к еще более высоким результатам информационной защиты банков и предотвращению утечек информации. Каждый коммерческий банк разрабатывает "Политику информационной безопасности", в которой описывает, как устроена система его защиты. В качестве примера мер противодействия крупных российских банков утечкам информации можно привести следующее. Сбер Банк для обеспечения своей информационной безопасности применяет в дополнение к DLP-системе такие технологии, как нейросети, машинное обучение, искусственный интеллект и др. Такие системы позволили практически исключить человеческий фактор при проверке данных, а в перспективе планируется полностью автоматизировать проверку и передачу данных, что заметно повысит устойчивость банка к умышленным и непредумышленным утечкам [5, с.48]. Тинькофф Банк активно использует биометрию для идентификации клиентов, используя информацию из своих баз данных, тогда как Банк ВТБ участвует в пилотном проекте верификации операций граждан с помощью биометрических данных с государственными базами данных. В банках активно применяются технологии распределенного реестра (блокчейн), криптографические протоколы передачи данных SSL, нейронные сети и другие технологии. Наиболее новые разработки внедрены в основном в работу лидеров банковского сектора. Хотелось бы также отметить, что сегодня банковские системы безопасности достигли все же высокого уровня развития. Безусловно, необходимо работать над их дальнейшим совершенствованием и своевременным обновлением, однако на данном этапе необходимо уделять не меньшее внимание другому фактору, который также часто ставится причиной утечек информации, а именно сотрудникам банков. Во-первых, требуется формировать высококвалифицированный кадровый состав, чтобы свести ошибки, связанные с профессиональной некомпетентностью к минимуму. Во-вторых, нужно обеспечивать работникам благоприятные условия и достойную оплату труда во избежание желания получить дополнительный доход посредством продажи банковских данных. В-третьих, необходимо работать над повышением лояльности сотрудников кредитных организаций. Помимо этого, представляется важным дальнейшее повышение финансовой грамотности населения, чтобы клиенты банков также были осведомлены и меньше попадались на уловки мошенников. Так, в документе "Основные направления развития информационной безопасности кредитно-финансовой сферы на период 2019-2021 годов" Банк России ставит перед собой такие задачи, как обеспечение информационной безопасности и киберустойчивости инфраструктуры, прикладного ПО, технологий обработки данных, финансовых технологий, стандартизация и развитие правового обеспечения, защита прав потребителей финансовых услуг, содействие реализации национальной программы "Цифровая экономика Российской Федерации" по направлению "Информационная безопасность" и по противодействию компьютерным атакам и др. Отдельно выделены действия по подготовке кадров и обеспечению доверия граждан к цифровой среде, а именно создание условий подготовки специалистов в области информационной безопасности нового типа и повышение уровня финансовой грамотности населения и базовых компетенций по кибергигиене [6]. В ноябре 2020 г. также стало известно о реструктуризации ФинЦЕРТа Банка России. Основной причиной этого является необходимость разделения функций надзора и мониторинга инцидентов между различными структурными подразделениями для повышения эффективности взаимодействия банков со службой Банка России. Таким образом, на современном этапе информационная безопасность кредитных организаций достигла высокого уровня развития. Банковские системы уже можно назвать действительно безопасными и защищенными. Но, к сожалению, утечки банковской информации все еще периодически происходят. С появлением все новых технологий требуются и новые методы защиты. Поэтому регулятор банковской системы ведет непрерывную работу по совершенствованию систем безопасности. Кроме технических основ, особое внимание в последнее время уделяется снижению рисков потерь по причине человеческого фактора как внутри организаций, так и за их пределами.
Список использованных источников и литературы
Реклама
|
|
|
|