Представляем основные тезисы ключевых секций Уральского форума.

Аудит ИБ

• Повышение доверия к результатам внешнего или внутреннего аудита ИБ является важной задачей. В дальнейшем это позволит обоснованно использовать результаты аудита для принятия управленческих решений на разных уровнях.
• Разрабатывается национальный стандарт, который будет описывать требования как к проверяющей организации, так и к самой процедуре оценки.
• Запланировано внедрение системы добровольной сертификации. Это обеспечит сертификацию проверяющих организаций и аттестацию аудиторов, а также наладит контроль качества проводимых оценок за счет разработки общих методических документов и обучающих программ.

Кредитное мошенничество

• Следует акцентировать внимание на проблемах кредитного мошенничества и повысить качество связанных с ним антифрод-процедур.
• Обсуждается введение «периода охлаждения» (обычно жертве достаточно 24 часов для осознания, что заявка на кредит оформлена им под влиянием мошенников).
• В настоящее время 30% всех мошеннических звонков переходят именно в кредитное мошенничество.

Дропперы

• Дропперов предложено признать соучастниками преступления и ввести в отношении них наказания в виде штрафов и конфискации имущества.
• Предусмотреть для данного вида преступной деятельности максимальное наказание в виде лишения свободы до 10 лет.
• Дропперами в основном становятся студенты, которые за вознаграждение снимают деньги в одном банкомате и кладут в другом, или же предоставляют данные своих карт.
• Одна из предложенных мер — введение лимитов на внесение средств через терминалы.

Обмен информацией

• Необходимо решить вопрос низкого качества отчетов со стороны финансовых организаций об операциях без согласия клиентов, а также обеспечить корректный обмен информацией по дропперам.
• Рассматривается создание единой платформы для обмена данными между финансовыми организациями, включая информацию о наступлении рисковых событий.

Ответственность за утечки

• Обсуждается повышение персональной ответственности за утечки данных в виде дисквалификации на 10 лет для заместителей глав финансовых организаций, ответственных за ИБ.
• Дисквалификация подразумевает полный запрет занимать аналогичную должность.
• Основным вопросом остается возможность корректного определения источника утечки и ее срока давности.

Кибератаки

• Злоумышленники начали на практике применять подмену биометрии, включая синтез голоса и дипфейки. Также отмечено, что существующие инструменты не готовы к данному виду мошенничества.
• Наблюдается изменение поведения: раньше чаще организовывали DDoS-атаки, сейчас — атаки через бизнес-окружение (партнеров, поставщиков и подрядчиков).
• Все чаще происходят кражи «клиентских слепков». Но эти данные не продают, поэтому возможны новые неочевидные сценарии их использования.

IT-аутсорсинг

• Большой круг организаций попадает под определение IT-аутсорсинга, поэтому необходимо разделять аутсорсеров и облачных провайдеров, а также предъявлять им разные требования по информационной безопасности.
• Важно проработать правовую модель оказания таких услуг и модель распределения рисков в зависимости от того, какие технологические процессы передаются.

Киберстрахование

• Введение оборотных штрафов за утечку персональных данных и возмещений пострадавшим гражданам может стимулировать развитие рынка киберстрахования.
• Ведется активная дискуссия, на основании чего должны быть эти возмещения: по факту утечки или по факту наступления негативных последствий. В первом случае есть сложность с доказательством утечки у конкретного оператора персональных данных, во втором — сложность соотнесения утечки и последствий из-за возможного отложенного характера.