Пленарная часть Форума открылась телемостом с Москвой, в ходе которого прозвучало приветствие председателя Банка России Эльвиры Набиуллиной. Главной частью ее выступления стала констатация того факта, что технологии самым непосредственным образом стали влиять на то, как предоставляются сегодня в России финансовые услуги и сервисы. Понятно, что в этих условиях обеспечение должного уровня кибербезопасности в финансах выходит на первый план.

Отношение Банка России к этой проблеме нашло свое отражение в стратегическом документе ЦБ: «Основные направления развития безопасности финансовой сферы». Ставка сделана на несколько ключевых моментов.

Во-первых, развитие принципов риск-ориентированного надзора, основанного на расчете риск-профилей поднадзорных организаций, включая их экосистемы.

Во-вторых, кибербезопасность финансовых организаций в итоге должна привести к обеспечению реальной непрерывности предоставления сервисов даже в случае реализации инцидентов ИБ и целевых кибератак.

В-третьих, ИБ на базе оценки рисков невозможна без соответствующей культуры банков, страховых компаний и т.д. Поэтому необходимы изменения начиная с некоторых принципов корпоративного управления и смены приоритетов.

Наконец, финансистам необходимо решить проблему доверия к ним со стороны населения страны. Сделать это без реальной защиты персональных данных и решительной борьбы с социальной инженерией невозможно.

Далее, выступая с трибуны Форума, заместитель председателя Банка России Дмитрий Скобелкин продолжил поднятую тему и остановился на практических результатах усилий как ЦБ, так и всего финансового сообщества. «Для упрощения процесса информационного обмена, а также повышения оперативности и уровня его защищенности используется АСОИ (автоматизированная система сбора и обработки информации. — Ред.), к которой в настоящий момент подключены все кредитные организации РФ, также осуществляется подключение страховых организаций и иных участников информационного обмена. Всего к АСОИ подключено 826 организаций. За период с сентября 2018 года по настоящее время количество активных участников информационного обмена, регулярно передающих информацию о выявленных угрозах и уязвимостях, увеличилось на 48% (с 315 до 465). Данное обстоятельство связано в том числе с активной реализацией участниками информационного обмена Стандарта Банка России СТО БР БФБО-1.5-2018», — уточнил Дмитрий Скобелкин (цититируется по IB Bank).

Что касается платежных систем, то доля объема операций без согласия клиентов в общем объеме операций, совершенных с использованием платежных карт, в 2019 году составила 0,0023% (в 2018 году — 0,0018%). Указанные значения не превышают установленного Банком России целевого показателя 0,005%, т.е. 5 копеек с 1 тыс. рублей.

Сегодня приоритетной задачей, по словам представителя ЦБ, является реализация ИБ финансовых организаций на следующих уровнях: безопасность инфраструктуры, безопасность прикладного ПО и безопасность технологий обработки данных. В дальнейшем наверняка добавятся требования, учитывающие направления развития финтеха: блокчейн, удаленный доступ, Big Data, искусственный интеллект и Интернет вещей.

Сессия «Будущее финансовой сферы: безопасное, удобное, доступное», Фото: Вадим Ференец / «Б.О

В ходе следующей сессии — «Будущее финансовой сферы: безопасное, удобное, доступное» — более детально обсуждались основные современные риски в финансовой сфере. В роли ведущего выступил Алексей Бобровский, экономический обозреватель телеканала «Вести 24». В дискуссии участвовали директор по направлению «Информационная безопасность» АНО «Цифровая экономика» Николай Зубарев; Юрий Контемиров, начальник управления по защите прав субъектов персональных данных Роскомнадзора; Игорь Ляпунов, вице-президент по информационной безопасности Ростелекома, генеральный директор компании Ростелеком-Solar; Борис Симис, заместитель генерального директора поразвитию бизнеса компании Positive Technologies, а также Артем Сычев, первый заместитель начальника департамента информационной безопасности Банка России.

В среднем для проникновения во внутреннюю сеть банка злоумышленникам требуется пять дней

В ходе разговора поднималось множество насущных тем, но центральной стала проблема «Рынок ИБ: стимулировать или регулировать?». В частности Николай Зубарев видит необходимость «в изменении законодательства, в стимулировании спроса на отечественные программные продукты у заказчиков, а также в поддержке разработчиков программных продуктов — это могут быть гранты, субсидии, а для стартапов крайне важны инвестиции без необходимости что-то отдавать в залог».

По мнению Юрия Контемирова, с точки зрения ИБ банковская система сегодня более защищена, чем другие отрасли, в этом есть большой вклад регулятора. С другой стороны, необходимо более эффективное регулирование, когда в каждой организации будут понимать важность информирования об утечках данных. «Организация должна понимать, что инцидент будет стоить дорого и нужно принимать все меры к его устранению. Это более эффективный стимул, чем формальные требования», — сказал он.

Довольно интересной оказалась пресс-конференция компании Positive Technologies, где Борис Симис несколько разбавил оптимизм отдельных докладчиков. Так, исследование Positive Technologies показало: в сеть семи из восьми финансовых организаций можно проникнуть из Интернета, а эксперты компании могли бы взломать любой банк, если бы находились на месте злоумышленников, примерно за неделю.

Борис Симис, заместитель генерального директора по развитию бизнеса компании Positive Technologies, и Алексей Новиков, директор экспертного центра безопасности (PT Expert Security Center) компании Positive Technologies. Фото: Вадим Ференец / «Б.О»

В среднем для проникновения во внутреннюю сеть банка злоумышленникам требуется пять дней. При этом общий уровень защиты периметра в шести протестированных организациях был оценен как крайне низкий. Большинство векторов атаки (44%) основаны на эксплуатации уязвимостей веб-приложений. Использование на сетевом периметре устаревших версий ПО остается серьезной проблемой: хотя бы одна атака, выполнявшаяся в рамках пентеста (теста на проникновение. — Ред.) с использованием известного общедоступного эксплойта, оказывалась успешной в каждом втором банке. Более того, в рамках пяти пентестов были выявлены и успешно применены шесть уязвимостей нулевого дня в известном ПО. Так, одной из уязвимостей нулевого дня стала обнаруженная экспертами Positive Technologies уязвимость CVE-2019-19781 в ПО Citrix Application Delivery Controller (ADC) и Citrix Gateway, которая гипотетически позволяет выполнить произвольные команды ОС на сервере и проникнуть в локальную сеть компании из Интернета.

Если потенциальный атакующий получит доступ в сеть, для дальнейшего захвата полного контроля над инфраструктурой ему потребуется в среднем два дня. Общий уровень защиты финансовых компаний от атак такого типа оценивается экспертами как крайне низкий.

Понятно, что множество проблем возникает еще на этапе проектирования и написания ПО, особенно в стиле Agile. Своим мнением по этому поводу в конце первого дня Форума поделился Shrimant Tripathy, представитель Всемирного Банка (США). Как оказалось, у американских и отечественных разработчиков множество общих проблем, чего не скажешь о других сферах. Однако на Форум, невзирая на геополитические и «коронавирусные» проблемы, приехало множество представителей иностранных государств. Особенно заметно их участие было на секции по развитию открытых интерфейсов (Open API). Правда, они находились в качестве слушателей. Но мы надеемся, что они выскажут для «Б.О» свою точку зрения.