Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
18 февраля 2020 года в Магнитогорске стартовала деловая часть XII Уральского форума «Информационная безопасность финансовой сферы
Пленарная часть Форума открылась телемостом с Москвой, в ходе которого прозвучало приветствие председателя Банка России Эльвиры Набиуллиной. Главной частью ее выступления стала констатация того факта, что технологии самым непосредственным образом стали влиять на то, как предоставляются сегодня в России финансовые услуги и сервисы. Понятно, что в этих условиях обеспечение должного уровня кибербезопасности в финансах выходит на первый план.
Отношение Банка России к этой проблеме нашло свое отражение в стратегическом документе ЦБ: «Основные направления развития безопасности финансовой сферы». Ставка сделана на несколько ключевых моментов.
Во-первых, развитие принципов риск-ориентированного надзора, основанного на расчете риск-профилей поднадзорных организаций, включая их экосистемы.
Во-вторых, кибербезопасность финансовых организаций в итоге должна привести к обеспечению реальной непрерывности предоставления сервисов даже в случае реализации инцидентов ИБ и целевых кибератак.
В-третьих, ИБ на базе оценки рисков невозможна без соответствующей культуры банков, страховых компаний и т.д. Поэтому необходимы изменения начиная с некоторых принципов корпоративного управления и смены приоритетов.
Наконец, финансистам необходимо решить проблему доверия к ним со стороны населения страны. Сделать это без реальной защиты персональных данных и решительной борьбы с социальной инженерией невозможно.
Далее, выступая с трибуны Форума, заместитель председателя Банка России Дмитрий Скобелкин продолжил поднятую тему и остановился на практических результатах усилий как ЦБ, так и всего финансового сообщества. «Для упрощения процесса информационного обмена, а также повышения оперативности и уровня его защищенности используется АСОИ (автоматизированная система сбора и обработки информации. — Ред.), к которой в настоящий момент подключены все кредитные организации РФ, также осуществляется подключение страховых организаций и иных участников информационного обмена. Всего к АСОИ подключено 826 организаций. За период с сентября 2018 года по настоящее время количество активных участников информационного обмена, регулярно передающих информацию о выявленных угрозах и уязвимостях, увеличилось на 48% (с 315 до 465). Данное обстоятельство связано в том числе с активной реализацией участниками информационного обмена Стандарта Банка России СТО БР БФБО-1.5-2018», — уточнил Дмитрий Скобелкин (цититируется по IB Bank).
Что касается платежных систем, то доля объема операций без согласия клиентов в общем объеме операций, совершенных с использованием платежных карт, в 2019 году составила 0,0023% (в 2018 году — 0,0018%). Указанные значения не превышают установленного Банком России целевого показателя 0,005%, т.е. 5 копеек с 1 тыс. рублей.
Сегодня приоритетной задачей, по словам представителя ЦБ, является реализация ИБ финансовых организаций на следующих уровнях: безопасность инфраструктуры, безопасность прикладного ПО и безопасность технологий обработки данных. В дальнейшем наверняка добавятся требования, учитывающие направления развития финтеха: блокчейн, удаленный доступ, Big Data, искусственный интеллект и Интернет вещей.
Сессия «Будущее финансовой сферы: безопасное, удобное, доступное», Фото: Вадим Ференец / «Б.О
В ходе следующей сессии — «Будущее финансовой сферы: безопасное, удобное, доступное» — более детально обсуждались основные современные риски в финансовой сфере. В роли ведущего выступил Алексей Бобровский, экономический обозреватель телеканала «Вести 24». В дискуссии участвовали директор по направлению «Информационная безопасность» АНО «Цифровая экономика» Николай Зубарев; Юрий Контемиров, начальник управления по защите прав субъектов персональных данных Роскомнадзора; Игорь Ляпунов, вице-президент по информационной безопасности Ростелекома, генеральный директор компании Ростелеком-Solar; Борис Симис, заместитель генерального директора поразвитию бизнеса компании Positive Technologies, а также Артем Сычев, первый заместитель начальника департамента информационной безопасности Банка России.
В среднем для проникновения во внутреннюю сеть банка злоумышленникам требуется пять дней
В ходе разговора поднималось множество насущных тем, но центральной стала проблема «Рынок ИБ: стимулировать или регулировать?». В частности Николай Зубарев видит необходимость «в изменении законодательства, в стимулировании спроса на отечественные программные продукты у заказчиков, а также в поддержке разработчиков программных продуктов — это могут быть гранты, субсидии, а для стартапов крайне важны инвестиции без необходимости что-то отдавать в залог».
По мнению Юрия Контемирова, с точки зрения ИБ банковская система сегодня более защищена, чем другие отрасли, в этом есть большой вклад регулятора. С другой стороны, необходимо более эффективное регулирование, когда в каждой организации будут понимать важность информирования об утечках данных. «Организация должна понимать, что инцидент будет стоить дорого и нужно принимать все меры к его устранению. Это более эффективный стимул, чем формальные требования», — сказал он.
Довольно интересной оказалась пресс-конференция компании Positive Technologies, где Борис Симис несколько разбавил оптимизм отдельных докладчиков. Так, исследование Positive Technologies показало: в сеть семи из восьми финансовых организаций можно проникнуть из Интернета, а эксперты компании могли бы взломать любой банк, если бы находились на месте злоумышленников, примерно за неделю.
Борис Симис, заместитель генерального директора по развитию бизнеса компании Positive Technologies, и Алексей Новиков, директор экспертного центра безопасности (PT Expert Security Center) компании Positive Technologies. Фото: Вадим Ференец / «Б.О»
В среднем для проникновения во внутреннюю сеть банка злоумышленникам требуется пять дней. При этом общий уровень защиты периметра в шести протестированных организациях был оценен как крайне низкий. Большинство векторов атаки (44%) основаны на эксплуатации уязвимостей веб-приложений. Использование на сетевом периметре устаревших версий ПО остается серьезной проблемой: хотя бы одна атака, выполнявшаяся в рамках пентеста (теста на проникновение. — Ред.) с использованием известного общедоступного эксплойта, оказывалась успешной в каждом втором банке. Более того, в рамках пяти пентестов были выявлены и успешно применены шесть уязвимостей нулевого дня в известном ПО. Так, одной из уязвимостей нулевого дня стала обнаруженная экспертами Positive Technologies уязвимость CVE-2019-19781 в ПО Citrix Application Delivery Controller (ADC) и Citrix Gateway, которая гипотетически позволяет выполнить произвольные команды ОС на сервере и проникнуть в локальную сеть компании из Интернета.
Если потенциальный атакующий получит доступ в сеть, для дальнейшего захвата полного контроля над инфраструктурой ему потребуется в среднем два дня. Общий уровень защиты финансовых компаний от атак такого типа оценивается экспертами как крайне низкий.
Понятно, что множество проблем возникает еще на этапе проектирования и написания ПО, особенно в стиле Agile. Своим мнением по этому поводу в конце первого дня Форума поделился Shrimant Tripathy, представитель Всемирного Банка (США). Как оказалось, у американских и отечественных разработчиков множество общих проблем, чего не скажешь о других сферах. Однако на Форум, невзирая на геополитические и «коронавирусные» проблемы, приехало множество представителей иностранных государств. Особенно заметно их участие было на секции по развитию открытых интерфейсов (Open API). Правда, они находились в качестве слушателей. Но мы надеемся, что они выскажут для «Б.О» свою точку зрения.
Генеральный директор компании «Партнерство профессионалов» Муратхан Эльдаров рассказал Павлу Самиеву, генеральному директору АЦ «БизнесДром», об особенностях работы системы Claritech для аллокации расходов и ее возможностях для финансистов из любых сфер бизнеса
Одним из этапов развития любой компании является привлечение внешнего финансирования. Поскольку банковское кредитование зачастую не соответствует ожиданиям руководителей бизнеса (в том числе по размеру кредита или процентной ставки), широкое распространение получили альтернативные инструменты