С конца февраля 2022 года время в области ИБ в финансовом секторе нашей страны заметно ускорилось. Это привело к тому, что количественные изменения на глазах стали перерастать в качественные, раньше все происходило гораздо медленнее. И дело здесь не только в том, что регулятор стал действовать гораздо более активно и эффективно, а наверное, еще и в том, что мы «уже привыкли жить в новой нормальности», как выразился директор департамента операционных рисков, ИБ и непрерывности бизнеса Московской биржи Сергей Демидов.

Из чего же состоит эта нормальность? Общая позиция участников дискуссии, очевидно, заключается в том, что сегодня все без исключения финансовые организации из соответствующих топ-списков представляют собой, по сути, крупные инфраструктурные IT-компании с «финансовым уклоном». А раз так, то и защищают они себя не совсем так, как классические банки и страховщики, а как технологические гиганты. И сам Банк России с НСПК, группой Московской биржи и прочими инфраструктурными проектами не является исключением.

Возможно, ярче всего качественные изменения видны во внедрении в банкинг концепции «security by design», когда ИБ становится неотъемлемой частью как IT-системы банка, так и финансовой IT-архитектуры страны в целом. Главное — то, что при этом уже произошло: клиенты выбирают сегодня безопасные продукты. Наличие таких продуктов и практик их безопасной разработки становится конкурентным преимуществом банка. Впервые об этом было громко сказано на Уральском форуме «Кибербезопасность в финансах» в феврале 2023 года. А в июле на сцене Мариинского театра, где проходил Конгресс, эту идею развили до неузнаваемости.

В частности, по словам Алексея Войлукова, вице-президента АБР, пользователи выбирают не только безопасный продукт, но и безопасный банк для обслуживания. Поэтому он предложил: «Каждый участник банковского рынка передает регулятору большие объемы информации о мерах противодействия киберугрозам, при этом не видит общей картины и не может оценить свой уровень относительно других участников и рынка в целом. Необходима возможность ранжирования на основе общих сведений, чтобы кредитная организация могла оценить, насколько эффективны предпринимаемые ей меры».

Кроме того, инфраструктурный характер гигантов рынка позволяет им по косвенным признакам вычислять подозрительные действия и транзакции участников их экосистем. В совокупности с ИБ-системами Банка России появляется реальная возможность трансформации от «бумажной» ИБ к реальной безопасности, что является технической сутью концепции «security by design». К сожалению, второй ее компонент — изменения в корпоративной ИБ-культуре — развивается гораздо медленнее.

Еще труднее элементы кибергигиены приживаются у обычных людей, в итоге процветают мошенничество и социальная инженерия. Поэтому от слов к делу наконец перешли страховщики киберрисков: в Совете Федерации обсуждается концепция «ОСАГО для IT» применительно к физлицам. Так недалеко и до «КАСКО для крупного IT-бизнеса».