Артем Сычев, Банк России: «Компьютер, принимающий решения, надо обезопасить» - «Финансы»

Тезисы выступления Артема Сычева, заместителя начальника главного управления безопасности и защиты информации Банка России, в ходе панельной дискуссии на третьей ежегодной конференции-консилиуме «ИТ-бюджет банка — 2017», организованной «Новости Банков».

Мы настоятельно рекомендуем задуматься о переносе электронной подписи из АРМ КБР в АБС. Разработчики АБС уже получили от нас подробную информацию, что и как будет меняться. Мы готовы передавать комплекты для криптографии. К концу февраля будут сформулированы и переданы технические требования. И до середины следующего года АРМ КБР действительно поменяется на уровне функциональности.

Обращу внимание, что на конференции Finopolis озвучивались планы в начале 2017 года отработать документ, связанный с оценкой операционных рисков и информационной безопасности. В случае низкой оценки будет рассматриваться вариант увеличения резервирования или капитала банка. Скорее всего, выбор будет сделан в пользу второго варианта. Как высчитывать риски уже более или менее понятно. Риску обычно подвергаются остатки банка на корсчетах или клиентские деньги на расчетных счетах. Эти цифры известны, значит можно сделать и расчет.

О документах

Как это связано с СТО БР и ГОСТом? СТО остается и никуда не денется. Он будет развиваться, потому что нужен нам для определенной методологии и ее совершенствования. Буквально вчера прошло заседание подкомитета №1, где было принято решение одобрить проект ГОСТа и отправить уведомление в Госстандарт. Роль ГОСТа в том, чтобы снизить техническую перегруженность нормативных документов. Цифры, условно говоря, переедут в ГОСТ. Это даст возможность довольно оперативно менять техническую составляющую, когда в этом возникнет необходимость.

Где здесь место ФСТЭКовским документам? Мы соотносимся с ними напрямую. В принятом проекте ГОСТа часто встречается отсылка на эти документы. По защите виртуальных машин, например, мы взяли то, что у нас есть, и чего еще нет во ФСТЭКовских документах.

О сертификации

Мы живем в условиях явного тренда, когда применение средств защиты возможно при наличии сертификата. С точки зрения банковской системы мы оставляем некоторую вариативность. Сертификация пока просто желательна. Хотя бы для того, чтобы средства защиты не имели недокументированных возможностей.

Прекрасно понимаем, что есть технологии, которые еще даже не подавались на сертификацию. Например, песочницы — пока еще не очень понятно, как их сертифицировать. Но со временем способы появятся.

Проверять АБС Банк России не имеет права. А вот проверять периметр на функциональность безопасности в платежных приложениях можно, и это обсуждается. Мы стараемся синхронизироваться с требованиями, которые есть в государстве.

Проверки в области безопасности были и раньше, здесь ничего не изменится. Ничего, кроме качества этих проверок.

О планах

В рамках Технического комитета №122 идет обсуждение аутсорсинга информационной безопасности, который решит проблему чрезмерных затрат на небольшие финансовые организации. Если вы посмотрите на происходящее в финансовой сфере, то увидите, что все риски уже в электронном виде. Особенно у банков, давно построивших правильные системы ранжирования заказчиков, скоринговые системы и т. д. Скоринг принимает решения. И защита ваших технологий — это защита финансов. Компьютер, принимающий решения, надо обезопасить.

О кадрах

Бизнес идет в дистанционные каналы, и безопасность в них должна быть изначально. То, что называется security by design. Этому препятствует отсутствие квалифицированных кадров в ИБ и ИТ, и не очень понятно, что с этим делать. На Уральском форуме в 2017 году будет целых два потока, посвященных этой проблеме. Надо понимать, что познания клиентов в области безопасности и применения ИТ очень слабы. Их почти нет. Наоборот, налицо излишнее доверие тому, что предлагает поставщик. И не приходится сомневаться в том, что атаки в скором времени снова сдвинутся в сторону клиентов. Они сегодня самые незащищенные.

О просвещении

Повышение осведомленности, финансовой грамотности клиентов — одна из важных задач. Иначе мы получим ситуацию, когда массовое употребление финансовых инструментов станет небезопасным.

Самый простой пример — пожилые люди, не понимающие принципов работы современных сервисов. И они чаще всего становятся жертвами социальной инженерии. Вторая категория — молодые люди, просто не задумывающиеся о происходящем. Видят классное приложение, ставят его, с ним прилетает вирус, и все ухищрения с защитой «благополучно» обходятся. Когда неосведомленность выходит на уровень предприятий, речь идет уже об очень серьезных суммах.