Финансовая сфера

Банковское обозрение


  • Уральский форум — 2024 глазами участника
01.03.2024 FinRegulationFinSecurityFinTechАналитика

Уральский форум — 2024 глазами участника

На прошедшем с 14 по 16 февраля 2024 года в Екатеринбурге Уральском форуме «Кибербезопасность в финансах» участники активно обсуждали вопросы обеспечения информационной безопасности, возможности IT-аутсорсинга, тенденции сферы ИБ, защиту от кибератак, а также перспективы развития киберустойчивости финансовых организаций


Представляем основные тезисы ключевых секций Уральского форума.

Аудит ИБ

  • Повышение доверия к результатам внешнего или внутреннего аудита ИБ является важной задачей. В дальнейшем это позволит обоснованно использовать результаты аудита для принятия управленческих решений на разных уровнях.
  • Разрабатывается национальный стандарт, который будет описывать требования как к проверяющей организации, так и к самой процедуре оценки.
  • Запланировано внедрение системы добровольной сертификации. Это обеспечит сертификацию проверяющих организаций и аттестацию аудиторов, а также наладит контроль качества проводимых оценок за счет разработки общих методических документов и обучающих программ.

Кредитное мошенничество

  • Следует акцентировать внимание на проблемах кредитного мошенничества и повысить качество связанных с ним антифрод-процедур.
  • Обсуждается введение «периода охлаждения» (обычно жертве достаточно 24 часов для осознания, что заявка на кредит оформлена им под влиянием мошенников).
  • В настоящее время 30% всех мошеннических звонков переходят именно в кредитное мошенничество.

Дропперы

  • Дропперов предложено признать соучастниками преступления и ввести в отношении них наказания в виде штрафов и конфискации имущества.
  • Предусмотреть для данного вида преступной деятельности максимальное наказание в виде лишения свободы до 10 лет.
  • Дропперами в основном становятся студенты, которые за вознаграждение снимают деньги в одном банкомате и кладут в другом, или же предоставляют данные своих карт.
  • Одна из предложенных мер — введение лимитов на внесение средств через терминалы.

Обмен информацией

  • Необходимо решить вопрос низкого качества отчетов со стороны финансовых организаций об операциях без согласия клиентов, а также обеспечить корректный обмен информацией по дропперам.
  • Рассматривается создание единой платформы для обмена данными между финансовыми организациями, включая информацию о наступлении рисковых событий.

Ответственность за утечки

  • Обсуждается повышение персональной ответственности за утечки данных в виде дисквалификации на 10 лет для заместителей глав финансовых организаций, ответственных за ИБ.
  • Дисквалификация подразумевает полный запрет занимать аналогичную должность.
  • Основным вопросом остается возможность корректного определения источника утечки и ее срока давности.

Кибератаки

  • Злоумышленники начали на практике применять подмену биометрии, включая синтез голоса и дипфейки. Также отмечено, что существующие инструменты не готовы к данному виду мошенничества.
  • Наблюдается изменение поведения: раньше чаще организовывали DDoS-атаки, сейчас — атаки через бизнес-окружение (партнеров, поставщиков и подрядчиков).
  • Все чаще происходят кражи «клиентских слепков». Но эти данные не продают, поэтому возможны новые неочевидные сценарии их использования.

IT-аутсорсинг

  • Большой круг организаций попадает под определение IT-аутсорсинга, поэтому необходимо разделять аутсорсеров и облачных провайдеров, а также предъявлять им разные требования по информационной безопасности.
  • Важно проработать правовую модель оказания таких услуг и модель распределения рисков в зависимости от того, какие технологические процессы передаются.

Киберстрахование

  • Введение оборотных штрафов за утечку персональных данных и возмещений пострадавшим гражданам может стимулировать развитие рынка киберстрахования.
  • Ведется активная дискуссия, на основании чего должны быть эти возмещения: по факту утечки или по факту наступления негативных последствий. В первом случае есть сложность с доказательством утечки у конкретного оператора персональных данных, во втором — сложность соотнесения утечки и последствий из-за возможного отложенного характера.






Новости Новости Релизы
Сейчас на главной

ПЕРЕЙТИ НА ГЛАВНУЮ