На начало 2020 года уровень обеспечения информационной безопасности финансовых организаций отвечает имеющимся рискам. Разумеется, не всё идеально, но в целом, ситуация в этой сфере на финансовом рынке находится под контролем. Благодаря совместной работе Банка России, самих поднадзорных и других организаций, в том числе международных. Цели дальнейшей работы определены по нескольким основным направлениям.
КЛЮЧЕВЫЕ НАПРАВЛЕНИЯ
Есть два ключевых направления обеспечения информационной безопасности и киберустойчивости в отрасли, на которых концентрируются усилия:
Что касается первого направления, то Банк России прекрасно понимает: за ними будущее, а в некоторой степени уже и настоящее. Их внедрение способствует развитию конкуренции, а значит и повышению качества предоставляемых услуг и сервисов. Аспекты безопасности инновационных финансовых технологий прорабатываются глубоко и всесторонне, чтобы клиент был надёжно защищён и чувствовал это, поэтому специалисты Департамента по информационной безопасности участвуют в этой работе начиная с самых ранних стадий создания той или иной технологии.
Эта многоплановая работа включает в себя развитие нормативного регулирования, изучение и внедрение лучшего международного опыта, а также межведомственное взаимодействие. В ходе этой работы важно соблюсти баланс: с одной стороны оперативно обеспечить максимальный уровень информационной безопасности новых технологий, с другой – не закопать себя и поднадзорных в бюрократической рутине, избежать формализма.
Свежий пример положительного результата – ввод Банком России в эксплуатацию Системы быстрых платежей (СБП). На данный момент уровень информбезопасности этого сервиса весьма высок.
По второму направлению, социальной инженерии, важной мерой противодействия злоумышленникам является информирование граждан о существующих угрозах и методах противодействия На данный момент основной целью для злоумышленников стали клиенты банков – главным образом физические лица. Мы уделяем много внимания их защите, например, обязали банки отслеживать несанкционированные операции, сформировали их признаки Более того, мы доносим до граждан актуальную информацию о том, какие именно приёмы злоумышленников на данный момент актуальны, и что нужно делать, чтобы не стать их жертвой, не остаться без денег. Я считаю, что банки должны активнее вести работу по информированию своих клиентов о рисках мошенничества – это вопрос не только сохранности денег, но и репутации кредитных организаций.
РАЗВИТИЕ НОРМАТИВНОГО РЕГУЛИРОВАНИЯ
Банк России внимательно изучает и использует опыт международных организаций – разработчиков нормативной базы информационной безопасности финансовой сферы. В первую очередь – Комитета по платёжным и рыночным инфраструктурам Банка международных расчетов. Лучшие наработки и рекомендации мы имплементируем в нашу нормативную базу, с учётом специфики российского финансового рынка.
В частности, речь идет о двух основополагающих документах – «Руководстве по киберустойчивости для финансовых рыночных инфраструктур» и «Стратегии безопасности крупностоимостных платежных систем». Ряд их положений мы интегрировали в нормативы для системы управления рисками и обеспечения операционной надежности в финансовых организациях.
Отдельные моменты будут реализованы в новой редакции Положения Банка России от 9 июня 2012 года №382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
Кроме того, мы достаточно внимательно следим за работой Международной организации стандартизации – ISO и Международного союза электросвязи – ITU в отношении технологий обеспечения информационной безопасности и киберустойчивости. Лучшие их наработки используются в нашей деятельности.
Важным направлением, которое прорабатывает Банк международных расчетов, – это киберучения. Мы считаем этот механизм оценки уровня защищённости достаточно эффективным, и будем его развивать на основе имеющихся и прогнозных данных о сценариях атак. Проведение киберучений мы заложили в стандарт по управлению рисками информационной безопасности и по их итогам будем в дальнейшем оценивать качество управления рисками.
Разумеется, сценарии киберучений будут доработаны применительно к учету особенностей уровню и масштабу деятельности разных организаций. Наша цель – оценить эффективность реализуемых финансовыми организациями мер по противодействию компьютерным атакам, потенциальные потери. И на этой основе оценивать финансовую устойчивость как отдельных организаций, так и финансовых экосистем.
ВЗАИМОДЕЙСТВИЕ ВЕДОМСТВ
Для повышения эффективности противодействия киберпреступности в финансовой сфере будет продолжаться развитие межведомственного взаимодействия. В федеральной программе «Цифровая экономика Российской Федерации» эта тематика для органов государственной исполнительной власти проработана достаточно хорошо и глубоко.
Одним из позитивных примеров является эффективное сотрудничество Банка России и ФСБ России в разработке функциональных технических требований к HSM-оборудованию, направленное на выполнение задачи импортозамещения СКЗИ.
Другой пример – работа над решением проблемы преступлений с помощью мобильной связи. Чтобы лишить злоумышленников существующих возможностей, есть организационно-технические решения. Во-первых, создание единой информационной системы, которая открывает банкам доступ к информации о принадлежности сим-карт. Во-вторых – блокировка возможности «подмены» телефонных номеров.
Однако необходимо внесение изменений в федеральное законодательство, чтобы создать правовые основы для внедрения этого решения, а также привлечь к этой работе операторов мобильной связи. Такие варианты в настоящее время Банк России прорабатывает совместно с Минкомсвязи РФ и Государственной Думой РФ.
Кроме того, в отрасли существует кадровая проблема: часто ощущается дефицит квалифицированных специалистов по информационной безопасности. Эта проблема вполне закономерна: наша отрасль молодая и быстрорастущая. Но, как известно, спрос рождает предложение, и Банк России старается содействовать скорейшему преодолению кадрового дефицита.
В федеральной программе «Цифровая экономика Российской Федерации» есть блок, посвящённый подготовке персонала. В него входят разработка профессионального и образовательного стандартов, программ профессиональной переподготовки и работа с вузами. Чтобы помочь удовлетворить кадровый голод, Банк России участвует в разработке, проходящего согласование в Министерстве труда и социальной защиты РФ.
«ВСЕОБУЧ» КИБЕРБЕЗОПАСНОСТИ
Позиция Банка России однозначна: информированность и культуру граждан в сфере информационной безопасности повышать необходимо. Цели –предупреждать людей об актуальных угрозах («телефонного мошенничества» и других), давать рекомендации по противодействию.
Такая работа уже ведётся Банком России во всех регионах страны, и в 2020 году будет продолжаться. В рамках выполнения ряда программ, начиная с федеральной программы «Цифровая экономика Российской Федерации», утвержденной Правительством России 28 июля 2017 года, и Национального проекта «Цифровая экономика Российской Федерации» на 2019 – 2024 годы.
Киберграмотность является одним из блоков, входящих в масштабный федеральный проект по повышению общей финансовой грамотности граждан. К этому проекты подключены многие государственные и частные структуры. Они должны участвовать в этом проекте в рамках своих полномочий и компетенций. Например, в конце прошлого года Банк России и МВД договорились объединить усилия по информированию граждан об опасностях социальной инженерии, так как борьба с противозаконной деятельностью является компетенцией МВД, а забота о стабильности финансовой системы и сохранении доверия к ней со стороны граждан – это зона ответственности Банка России.
Для этой работы мы привлекаем федеральные и региональные СМИ, социальные сети, публичные площадки – школы, библиотеки и другие.
АДРЕСНОЕ ИНФОРМИРОВАНИЕ
Чтобы эта работа была максимально эффективной, информирование граждан должно быть адресным. Адресность достигается максимально точным описанием психологического портрета и ключевых точек уязвимости жертв. Совместно с представителями служб информационной безопасности банков, психологами и представителями структурных подразделений Банка России были проанализированы предоставленные кредитными организациями данные клиентов.
В результате выделили пять основных типов: домохозяйки, главы семей с высокой финансовой нагрузкой, пенсионеры, подростки и индивидуалисты-«миллениалы». На основе этих и других данных для каждой выявленной аудитории были сформулированы модели угроз, алгоритмы противодействия и обучающие материалы. Сотрудники ФинЦЕРТ используют разные форматы обучения этих сильно различающихся целевых аудиторий.
Среди примеров работы со старшим возрастом – лекции по финансовой безопасности и противодействию кибермошенничеству на площадке Центральной библиотеки им. Н.А. Некрасова в рамках столичной программы «Московское долголетие».
Для молодёжи – это открытые уроки по кибергигиене и лекции по киберграмотности для школьников, мероприятия по профориентации. Удаётся параллельно решать и смежные задачи профориентации, например, на базе образовательного фонда «Талант и успех». Недавно его участники разработали утилиту, позволяющую проводить экспресс-диагностику информационных систем банка на предмет вмешательства вредоносных программ. Подобного рода проекты мы будет развивать и далее для привлечения молодежи к работе в организациях кредитно-финансового сектора, включая Банк России.
Должное внимание уделяется смежному вопросу – профессиональному обучению, подготовке для финансовой сферы специалистов по информационной безопасности и повышению их квалификации. Банк России заключил договоры с крупнейшими вузами о совместном повышении качества преподавания профильных дисциплин. Лучшие студенты проходят учебно-производственную практику в ФинЦЕРТ, и самые лучшие остаются здесь работать.
Нормативные документы Банка России, касающиеся информационной безопасности, регулируют не технические аспекты установки и настроек средств защиты, а обеспечение сбалансированного уровня рисков. Уровень информационных рисков должен соответствовать возможностям конкретной организации, соотношению её капитала с потенциальным ущербом в случае реализации киберугроз.
Обеспечение информационной безопасности и киберустойчивости относятся к управлению операционными рисками, находящемуся в компетенции топ-менеджмента, иногда даже Советов директоров финансовых организаций. Поэтому руководство финансовых организаций как правило проявляет должное внимание к решению этих вопросов.