Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
В 2024 году в сфере ИБ успешно решалась задача «перевода криптографии из режима уникальности в массовою розницу». Драйвером этого процесса стало внедрение цифрового рубля. А еще у нас появились сертифицированные — межсетевые экраны для глубокой фильтрации трафика
Рынок ИБ в нашей стране в 2024 году продолжил рост на уровне 30%, его объем превысил 500 млрд рублей. Причем произошло это не только благодаря госгрантам и росту цен на ПО. В финансовой сфере, крупном сегменте этот рынка, стремительно трансформируются бизнес-модели его участников, что качественно меняет продуктовое наполнение рынка средств защиты. Например, целую череду последствий вызвал старт внедрения цифрового рубля, что вывело банковский сектор в технологические лидеры в области криптографии, DevSecOps, Security by Design, электронной подписи и т.д. В дополнение к этому под самый конец 2024 года Банк России опубликовал новые стандарты безопасности для открытых API, разработанные Ассоциацией ФинТех.
А еще есть успехи в импортозамещении многострадальных многофункциональных межсетевых экранов (NGFW), а также в области банковского антифрода. Но вот наладить качественное межотраслевое взаимодействие в борьбе с мошенничеством пока удается не в полной мере, о чем свидетельствуют растущие потери граждан от действий социальных инженеров.
Герман Зубарев, зампред Банка России, модератор сессии «Русский шифр: криптография в рознице» в рамках FINOPOLIS 2024, образно пояснил смысл действующих сегодня стоп-факторов: «К сожалению, хотя криптография имеет мощную отечественную школу и крепкие корни, она приобрела у топ-менеджеров банков негативную репутацию в силу своей крайней зарегулированности. До сих пор у многих руководителей эта тема ассоциируется со шпионами, радисткой Кэт, связистами, тянущими провода под пулями врага, и т.д. Лучше уж стразу в Бастилию, чем этот ваш новый криптомодуль».
Представителей бизнеса понять нетрудно: действовавшая до сих пор система сертификации средств криптозащиты информации (СКЗИ) была ориентирована на закрытые ГИС, где была важна именно степень защиты, а не возможность быстрого внесения изменений и модификаций в ПО в духе Agile. Поэтому на получение положительного или отрицательного заключения лаборатории ФСБ об оценке влияния этого самого ПО на СКЗИ уходило до девяти месяцев. А чего стоят «яркие воспоминания» об эпопее внедрения «биометрических HSM-модулей» в IT-инфраструктуру банков?
Бизнес и ИБ не слышали друг друга и жили в параллельной реальности, что приводило порой к парадоксальным ситуациям.
Например, невзирая на то что отечественная криптография заслуженно считается одной из лучших в мире и «единственной в IT научно-обоснованной дисциплиной», отечественные пользователи предпочитали использовать зарубежные аналоги. Особенно этот оксюморон проявился в веб-среде, где до недавных событий найти отечественный сертификат безопасности, встраиваемый в браузер или веб-сервер, было попросту невозможно.
Ситуация сдвинулась с мертвой точки примерно пять лет назад, когда руководство Банка России поставило своими задачами усиление конкуренции на финансовом рынке, развитие финтеха и появление так называемой гражданской криптографии, необходимой для обеспечения безопасности прежде всего мобильных банковских приложений в рамках концепции Mobile First. Необходимо было решить задачу ускорения выдачи необходимых документов ФСБ с девяти месяцев до нескольких недель. При этом требовалось наладить механизм доставки СКЗИ до сотен миллионов мобильных телефонов, а также учет этих модулей в соответствующих органах.
По понятным причинам эта работа, которую вел Банк России практически в одиночку, шла крайне напряженно. Так продолжалось до подписания Владимиром Путиным Закона о внедрении цифрового рубля и создании специальной электронной платформы. Параллельно требовалось обеспечить безопасность инфраструктуры портала «Госуслуги».
Кроме того, в 2022 году Минцифры отреагировало на факты массового отзыва иностранными центрами сертификации сертификатов безопасности у сайтов крупных российских компаний, в том числе финансового сектора, и отказа в выдаче новых. Был создан Национальный удостоверяющий центр (НУЦ) Минцифры, приняты нормативно-правовые акты, регулирующие его работу. Выдача российских сертификатов безопасности отечественным компаниям — владельцам веб-ресурсов и пользователям — частным лицам запущена на портале «Госуслуги».
В это время стало понятно, что проблема «гражданской криптографии» стала задачей, а не проблемой, а ее решение разделилось на несколько параллельных треков.
Дмитрий Гусев, заместитель генерального директора компании «ИнфоТекС», приоткрыл некоторые подробности поистине уникального события в современной России: плодотворного сотрудничества ФСБ и Банка России в области кибербезопасности, что стало важнейшим достижением на рынке ИБ в 2024 году.
Банку России и ФСБ удалось добиться появления того, что сейчас называется «специальный выделенный порядок проведения оценки влияния». Новая схема предполагает следующее: груз доказательства того, что криптография правильным образом встроена в банковское приложение, берет на себя сам разработчик в соответствии со специальным регламентом. Ему необходимо описать и предоставить в лабораторию ФСБ описание всего цикла, включая методы безопасной разработки ПО. Далее он должен доказать, что в созданное им ПО не могут быть внесены какие-либо стихийные изменения руками какого-либо отдельно взятого программиста, IT-архитектора или аналитика и тем более злоумышленника, а все программные интерфейсы взаимодействия приложения с СКЗИ выверены.
В этом случае появляется возможность все последующие изменения (в первый раз все равно ПО должно пройти полный цикл анализа) провести через лабораторию гораздо быстрее, вплоть до одной-двух недель.
Все это является сменой парадигмы подхода к оценке влияния ПО на СКЗИ и открывает финтеху дверь к широчайшим возможностям современной криптографии как фундамента нового бизнеса.
Но для этого в жизнь разработчиков должны прочно войти такие понятия, как DevSecOps, Security by Design и т.д. Без всего этого лаборатория ФСБ будет действовать по старым схемам со сроками выдачи заключений до девяти месяцев.
Данный эксперимент проходит в рамках проекта по цифровому рублю. Другие сферы экономики страны он не затрагивает.
Что касается деятельности Национального удостоверяющего центра (НУЦ), то, к крайнему изумлению гуру криптографии, оказалось, что теперь необходимо помимо нормативных документов ФСБ изучать особенности клиентских путей и запросы бизнеса. В частности, по данным Алексея Качалина, управляющего директора, начальника управления криптографии, аутентификации и идентификации департамента кибербезопасности СберБанка, в банке начинали с поддержки НУЦ 17% клиентов и достигли всего лишь 48% при планах в 80%. Рынок оказался не готов к этим сертификатам по причинам исключительно потребительского характера. А ведь рано или поздно каждый POS-терминал в стране, а также вся цепочка от него вплоть до процессинга и эквайринга, должны заработать в новых условиях…
В какой-то степени подобное происходит и с «Госключом» — мобильным приложением, которое позволяет бесплатно получать сертификаты УНЭП и УКЭП, создавать и хранить ключи, а также подписывать электронные документы, в том числе договоры. Развитие этого инструмента, как и биометрического эквайринга, находится в фокусе внимания разных регуляторов.
Вот так «скучная и занудная» криптография в 2024 году неожиданно стала не только мощным драйвером ИБ в финансах, но и источником новых бизнес-моделей. Безусловно, это один из важнейших итогов прошлого года. Теперь стоит задача подружить криптографию, пусть и гражданскую, с ее потребителями!
Информационное пространство заполонил контент о колоссальных перспективах и пользе искусственного интеллекта, в том числе в финансовой сфере. Впечатляющие прогнозы, необходимость изменения стратегий и бизнес-моделей, перспективные области использования и прочие общие слова, зачастую этим же искусственным интеллектом и сгенерированные