Банковское обозрение

Финансовая сфера

25.10.2018 Аналитика
Опасные туманности киберугроз

Определить карту реальных киберугроз, выработать способы их нейтрализации участникам финансового рынка во многом еще только предстоит


Алексей Воронин
Обозреватель
Банковское обозрение

Киберугрозы растут, но очертания их пока неясны, будто в тумане. Точно идентифицировать их источники, параметры, объемы потенциального ущерба по-прежнему затруднительно — такой, несколько тревожной, представляется ситуация аналитикам. Соблюдайте требования нормативных документов, регулярно проводите внешний аудит защищенности, и информационная безопасность будет в значительной степени гарантирована, успокаивает Банк России. Киберугрозы реальны, на 100% эффективно противостоять им практически невозможно, единственно правильный подход — повышение управляемости ИБ, максимально быстрое выявление инцидентов с целью минимизации их последствий — такой ситуация видится практикам. Идентификация киберугроз, статистика в этой сфере, страхование киберрисков — эти вопросы поднимались на секции «Кибербезопасность: цифровой иммунитет рынка», состоявшейся в рамках Форума Finopolis-2018 в Сочи.

 

Секция № 10. Кибербезопасность: цифровой иммунитет рынка. Фото: Вячеслав Викторов / Росконгресс

Секция № 10. Кибербезопасность: цифровой иммунитет рынка. Фото: Вячеслав Викторов / Росконгресс

 

Илья Сачков, генеральный директор Group-IB и модератор секции, во вступительном слове обратил внимание на три новые тенденции цифрового пространства. Первая — появление финансово немотивированной кибер-преступности, в том числе межгосударственного уровня, вторая — ИБ перестала быть исключительно внутренней задачей, третья — возрастающая важность правильной оценки кибер-рисков. «В последние двадцать лет преступность была в основном финансово мотивированная, потому что большинство компьютерных преступников — члены различных ОПГ, а у ОПГ основная мотивация — финансовая, — прокомментировал Илья Сачков первую тенденцию. — Опасный тренд — появилась финансово немотивированная преступность. Она бывает в том числе политически мотивированной, когда хакеры спонсируются государствами. Это абсолютно новое явление и для России, и для всего мира, тренд, открывающий совершенно новую карту угроз. Появились группы (их сейчас около 40), для которых задача — контроль за критической инфраструктурой».

 

Илья Сачков, Group-IB. Фото: Вячеслав Викторов / Росконгресс

Илья Сачков, Group-IB. Фото: Вячеслав Викторов / Росконгресс

 

Привел модератор и несколько интересных данных, касающихся размеров ущерба от киберпреступности. Со ссылкой на отчет IBM он сообщил, что в США ущерб от компьютерных преступлений составил около 600 млрд долларов. Что касается России, то у нас статистики почти нет, а приводимые даже самыми высокими лицами оценки сомнительны, кроме банковской сферы. «Благодаря усилиям ЦБ, — отметил Илья Сачков — прямой ущерб от компьютерных атак на банки с начала этого года составил лишь 76,5 млн рублей».

Вместе с тем проблемы в области кибербезопасности, безусловно, остаются, в том числе и в банковской сфере. «В текущей редакции Положения № 382-П мы вышли на обязательную внешнюю оценку защищенности банка, — констатировал Артем Сычев, и.о. директора департамента информационной Банка России. — От этой работы мы ждем понимания кредитных организаций, где есть тонкие места в плане ИБ, несоответствия и что нужно сделать для того, чтобы эти несоответствия убрать. Второй момент — мы развернули активную работу по обмену информацией с кредитными организациями через ФинЦЕРТ. Причем, если раньше обмен был добровольный, то теперь — обязательный. Кроме того, Банком России готовится документ по учету киберрисков в капитале банка. Схема оценки довольно сложная — учитываются и инциденты, в том числе — результативные, и оценки внешних соответствий».

 

Артем Сычев, ЦБ РФ. Фото: Вячеслав Викторов / Росконгресс

Артем Сычев, ЦБ РФ. Фото: Вячеслав Викторов / Росконгресс

 

Внешний аудит защищенности банки должны пройти в течение года, уточнил спикер, выразив уверенность, что ресурсов у внешних специализированных компаний на это хватит.

Тему киберрисков в банковской сфере продолжил Андрей Попов, член правления, руководитель дирекции информационных технологий Райффайзенбанка. «Киберриск как таковой мы не выделяем, относим его к категории операционных рисков, — констатировал Андрей Попов. — Возможная остановка бизнес-процессов в связи с кибератаками также относится к операционным рискам. Мы изучаем факторы, строим возможные сценарии, вырабатываем индикаторы раннего предупреждения об угрозах и варианты реагирования. Полностью снять риски нельзя, мы нацелены на быструю реакцию, восстановление и минимизацию потерь».

 

Андрей Попов, Райффайзенбанк. Фото: Вячеслав Викторов / Росконгресс

Андрей Попов, Райффайзенбанк. Фото: Вячеслав Викторов / Росконгресс

 

Одной из тем дискуссии стало киберстрахование, объем которого в мире на текущий момент, по различным оценкам, от 3,5 до 7 млрд долларов, в России же эти объемы близки к нулевой отметке, констатировали спикеры. «Пока объемы настолько малы, что не сказываются на финансовой устойчивости компаний, но нам придется думать, как реагировать на рост этого рынка и как эти риски резервировать, — констатировал Филипп Габуния, директор департамента страхового рынка Банка России. — Рынок очень специфичный. Некоторые случаи могут носить признаки катастрофического риска, и сбалансировать общую статистику с отдельными, уникальными случаями — большой вызов и для страховых компаний, и для регулятора».

 

Филипп Габуния, ЦБ РФ. Фото: Вячеслав Викторов / Росконгресс

Филипп Габуния, ЦБ РФ. Фото: Вячеслав Викторов / Росконгресс

 

Страхование киберрисков — сложная тема еще и в связи с тем, что отсутствует четкое понимание, что это такое — риск, связанный исключительно с компьютерами или хакерскими атаками, или в том числе риск неудачного обновления систем, повлекший приостановку бизнеса. «В первую очередь необходимо понять, что часть этих рисков уже существует в полисах страхования имущества — если не оговорено исключение киберрисков, — уверен Владимир Кремер, руководитель отдела страхования финансовых рисков AIG в России. — Второй существенный момент — в полисах комплексного банковского страхования есть раздел электронных компьютерных преступлений, то есть воровство денег посредством электронных каналов и устройств. Это тоже можно считать киберриском. Сегодня, по моим оценкам, существует около 35 различных полисов по защите финансовых институтов от компьютерных преступлений. И общероссийский сбор премии по такому виду страхования — около 8 млн долларов».

 

Владимир Кремер, AIG в России. Фото: Вячеслав Викторов / Росконгресс

Владимир Кремер, AIG в России. Фото: Вячеслав Викторов / Росконгресс

 

Сугубо практическими выводами подытожил дискуссию Игорь Ляпунов, вице-президент по информационной безопасности компании «Ростелеком», отметив три ключевых тенденции — бессмысленность инвестирования в новейшие систему защиты информации без повышения управляемости информационной безопасностью в целом, необходимость перестройки модели управления ИБ и требование учета ИБ на этапе построения информационных систем. «Все помнят массированные прошлогодние атаки. Крупнейшие компании, ставшие их жертвами, имели колоссальные бюджеты на ИБ, но эти атаки стали для них очень неприятным сюрпризом, — напомнил Игорь Ляпунов. — Так что сейчас ключевая точка повышения эффективности ИБ — мониторинг и повышение управляемости. Ключевые вызовы для службы ИБ — динамика изменения внутреннего IT-ландшафта, поскольку в современные системы заложен принцип постоянного изменения под требования бизнеса, и динамика изменения внешней среды, когда в неделю появляется 10–12 новых способов атаки систем.

 

Игорь Ляпунов, «Ростелеком». Фото: Вячеслав Викторов / Росконгресс

Игорь Ляпунов, «Ростелеком». Фото: Вячеслав Викторов / Росконгресс

 

Основная характеристика системы сегодня — способность быстро обнаружить атаку и отреагировать на нее. И третий важный момент — механизмы контроля и защиты от киберрисков должны быть на уровне бизнес-процессов. Таким образом, концентрация на новой модели управления ИБ, перестройка этой модели под систему реагирования на риски и учет безопасности на этапе создания системы в совокупности дадут совершенно другой уровень защищенности наших финансовых организаций».




Присоединяйся к нам в телеграмм