Финансовая сфера

Банковское обозрение


  • ИБ-одержимые
17.01.2024 FinSecurityFinTechАналитика

ИБ-одержимые

Первые итоги рынка ИБ позволяют говорить о том, что в конце 2023 года произошла резкая активизация законотворческой активности, что может радикально изменить основные векторы развития сектора в 2024 году


В целом, ситуация в мире ИБ с технологической точки зрения изменяется небыстро, поэтому особенных сюрпризов по сравнению с 2022 годом в России никто не ожидал, и, за исключением появления отечественных высоконагруженных средств сетевой безопасности, произошло немного заметного.

Было ожидание изменений регулирования в области персональных данных (ПДн), но более актуальные задачи отодвигали их на задний план. Банк России применительно к специфике финансового сектора предложил четкую регуляторную установку: «Финансовые организации должны обеспечить операционную надежность в условиях реализации информационных угроз». Такая формулировка раз и навсегда сняла с повестки дискуссию о необязательности этой процедуры.

Кроме того, банкирам пришлось вникать в документы ЦБ, посвященные безопасности Open API и цифрового рубля. Все детали и подробности были озвучены Германом Зубаревым, заместителем председателя Банка России, еще на Уральском форуме «Кибербезопасность в финансах» в феврале 2023 года.

Что касается мнений участников рынка, то мало кто стал возражать Сергею Демидову, директору департамента операционных рисков, ИБ и непрерывности бизнеса Группы «Московская биржа». В ходе секции «Информационная безопасность» в рамках «CNews FORUM» в ноябре 2023 года он заявил: «Регуляторы проявляют высочайший уровень активности, который, к сожалению, далеко не всегда согласовывается с требованиями других регуляторов и текущими реалиями. В итоге мы живем в эпоху невыполнимых регуляторных требований. Одно из следствий этого — конфликт интересов IT-подразделений и бизнеса, с одной стороны, и ИБ и службы комплаенса, с другой».

Так персональные они или «золотые»?

О том, что Сергею Демидову необходимо внести в свою презентацию еще несколько слайдов о регулировании, в числе первых сообщила Ассоциация BISA: «То, о чем весь год “говорили большевики”, свершилось — 4 декабря 2023 года в Госдуму были внесены законопроекты о внесении поправок в КоАП и Уголовный кодекс, ужесточающие ответственность за утечки информации и их незаконный оборот».

УК предлагают дополнить статьей 272.1. В ее рамках предусматривается ответственность за незаконные использование, передачу, сбор и хранение содержащей ПДн компьютерной информации, полученной путем неправомерного доступа. Максимальное наказание предусматривается серьезное: «посадка» на срок до шести лет со штрафом до 1 млн рублей. Ответственность ужесточается, если данные нарушения сопряжены с трансграничной передачей данных или повлекли тяжкие последствия либо совершены организованной группой.

Что касается изменения в КоАП, то по максимуму авторы законопроекта предлагают за повторную утечку данных специальной категории и случае третьего нарушения по остальным категориям ПДн наказывать виновных оборотным штрафом в размере от 0,1 до 3% совокупной выручки за календарный год, предшествующий году, в котором было выявлено нарушение, но не менее 20 млн рублей и не более 500 млн рублей.

При повторном совершении данного правонарушения должностные лица понесут ответственность в виде штрафа от 300 тыс. до 500 тыс. рублей, индивидуальные предприниматели — от 500 тыс. до 1 млн рублей, организации — от 1 млн до 1,5 млн рублей.

Кроме того, удивительно быстро был подписан ФЗ № 589 от 12 декабря 2023 года, устанавливающий ответственность за утечки биометрических ПДн. В случае повторного нарушения размер штрафа для юридических лиц составит 1,5 млн, а для ИП — 1 млн рублей.

В Госдуме также задумались о повышении безопасности утекающих через мессенджеры персональных данных чиновников. Как пишут «Известия», в настоящее время госслужащие имеют полное право пользоваться зарубежными мессенджерами в личных целях и для рабочей коммуникации. При этом в июне Госдума приняла закон, который предусматривает штрафы до 700 тыс. рублей для чиновников за использование таких приложений для передачи платежных документов и ПДн при предоставлении государственных и муниципальных услуг, реализации товаров и услуг банками и госкомпаниями.

О том, что все это не ИБ-паранойя говорит информация комитета Госдумы по безопасности: в ноябре 2023 года был взломан и уничтожен внутренний Telegram-канал, в котором размещались информационные сообщения о текущей работе.

Внимание, вопрос...

О том, как с помощью технических средств можно защищать ПДн, многочисленные вендоры DLP-систем с успехом могут рассказать сами, что они активно и делают. А вот на вопрос о том, как собирать, хранить и обрабатывать данные для нужд, например, скоринга или ОСАГО, однозначного ответа нет. Современная финансовая компания — это симбиоз искусственного и естественного интеллекта. А для обучения ИИ требуются огромные датасеты, без чего его эффективность стремится к нулю. Очевидно, что активизация законотворческой активности в сфере ПДн вызовет всплеск интереса к обезличиванию информации и ее безопасной обработке.

Не стоит при этом забывать о специфической для финансовой отрасли проблеме сохранения банковской тайны, пренебрежение которой погубило или поставило на паузу множество проектов, например инициативу Тинькофф Банка, с которой он вышел на уровень регуляторов, представив довольно хорошо проработанное предложение межбанковской скоринговой платформы по счетам.

В этой связи заслуживает внимание разработка ВТБ, который совместно с МФТИ первым в России создал криптоанклав — решение для безопасного обмена данными между организациями, полностью базирующееся на импортозамещенных технологиях. В криптоанклав можно «отправить» любую информацию — и после отработки AutoML-алгоритмами получить прогнозы без риска утечки исходных данных. Отметим, что презентация криптоанклава стала одним из хитов Форума Finoplis 2023.

Какие реальные сложности приходится преодолевать при обезличивании ПДн, сохраняя их смысл и качество, отлично описали специалисты компании HFLabs у себя в блоге.

Финальные штрихи

Какая активность регуляторов приветствуется участниками рынка?

Во-первых, 5 декабря 2023 года Минцифры ко второму чтению поправок к Закону «О персональных данных» предусмотрело два варианта обезличивания ПДн. Операторы ПДн смогут обезличивать данные своих клиентов самостоятельно или же передавать их Минцифры в оригинальном виде. Во втором случае обезличиванием будет заниматься НИИ «Восход».

Во-вторых, 12 декабря 2023 года подготовлен законопроект № 509708-8 о «белых хакерах», дающий возможность экспертам по ИБ проводить исследования программ для ЭВМ. При обнаружении уязвимостей в системе безопасности ПО «белые хакеры» должны будут сообщить об этом правообладателю в течение пяти рабочих дней.

Директор по продуктовому развитию «Солар секьюрити» Владимир Бенгин рассказал: «Более 50% российских этичных хакеров не выходят в легальное поле, так как боятся привлечения к уголовной ответственности. Если поправки будут внесены и “белые хакеры” увидят эту строчку в Уголовном кодексе, это изменит ситуацию».

А о том, чего точно не ждали, для специалистов, погруженных в безопасность, сообщил в конце декабря ИБ-эксперт Алексей Лукацкий: «Кучно пошло. Продажа интегратора “Информзащита”, западные санкции против компаний “Бизон”, “Инфотекс” и “Информзащита” (интересно, как бы цена компании упала, если бы покупатели знали о санкциях?), а также интерес ФСТЭК к софту FACCT (бывшая Group-IB)».






Новости Релизы
Сейчас на главной

ПЕРЕЙТИ НА ГЛАВНУЮ