На кого следует ориентироваться в регулировании ИБ в финансовой отрасли — на Запад, на Азию, или у России свой особый путь? Такой вопрос был задан аудитории Форума перед стартом панельной дискуссии «Международный опыт регулирования вопросов информационной безопасности и киберустойчивости, а также управления операционным риском в финансовых организациях» ее модератором Дмитрием Тулиным, первым заместителем председателя Банка России.

За условный «Запад» отвечал Шриман Трипати (Shrimant Tripathy), глава направления IT-рисков и ИБ Всемирного Банка. «Азию» представляла Варша Асвал (Varsha Uswal) из ЦБ Индии. За Россию «бились» Михаил Бухтин, начальник управления моделирования рисков ЦБ, и Артем Сычев, первый заместитель директора департамента ИБ Банка России. В группу поддержки нашей страны вошел Василий Хижный, начальник управления защиты информации ЦБ Республики Беларусь.

Панельная дискуссия «Международный опыт регулирования вопросов информационной безопасности и киберустойчивости, а также управления операционным риском в финансовых организациях».

Тема, которую модератор предложил обсудить, — «Регулирование и надзор киберустойчивости. Равны ли киберучения стресс тестированию. А также противостояние операционных рисков рискам ИБ: “Вместе или каждый сам за себя?”». Скажем сразу — победила Россия (56,1%). Второе место занял «Запад» — 34,1%. «Азия» получила бронзу — 9,8%. С одной стороны, результат неожиданный, учитывая активную вовлеченность Банка России в работу с международными финансовыми организациями и регуляторами. С другой стороны, результат вполне очевиден, учитывая действия некоторых международных финансовых организаций и государственных учреждений Запада. Но не только! Есть и объективные внутренние обстоятельства, и их оказалось немало.

У нас есть своя Школа

Артем Сычев, раскрыв некоторые секреты своей научной карьеры, напомнил о том, что существующий у нас в стране собственный «математический вероятностный аппарат» прекрасно ложится на вычисление вероятности наступления негативного события, если оно будет вовремя выявлено. Дальше следует расчет вероятности потерь, которые может понести финансовая организация вследствие реализации той или иной угрозы. В итоге будет понятно, как вся эта цепочка влияет на качество корпоративного управления. Естественно, в этой методике одно из ключевых мест занимает киберучение. Одно с ним плохо — не очень понятно, как правильно перевести это слово на английский язык, чтобы иностранным коллегами в панельной дискуссии было понятно, о чем идет речь. Совместными усилиями со ссылками на Базельский комитет пришли к выводу, что правильный перевод — Cyber Exercises.

Решать задачу перехода к риск-ориентированному надзору без «шоковой терапии» по отношению к банкам можно своими силами

К чему, по словам Артема Сычева, ЦБ хотел бы прийти в итоге трансформации надзора в области ИБ? «Прежде всего необходимо научиться оценивать потери без проведения никому не нужных исследований — виноват антивирус или что-то еще? Самое главное — расчет потерь. Это первое. Второе — оценка возможности восстановления в рамках имеющихся у организации (и ее собственников) ресурсов, даже в случае наступления негативных потерь системного характера. Естественно, риски должны быть рассчитаны на всю экосистему вокруг данной организации». Вероятно, все сказанное будет под прицелом регулятора в перспективе до двух лет. Время для работы есть, но и задача непростая.

Дмитрий Тулин был крайне удивлен тому факту, что департаменту ИБ, как и надзорным подразделениям, которые он курирует лично, «не чужды догмы математической науки, а “матстатистика — это то, что реально всех сближает”». Первый заместитель председателя Банка России в этой связи отметил, что у Артема Сычева «хорошие перспективы для личной самореализации. Дело в том, что в систему управления операционными рисками будет встраиваться оценка рисков IT и ИБ». Это направление деятельности Банка России ранее затронул Михаил Бухтин.

Дмитрий Тулин, очевидно, имел в виду наличие у ЦБ некой регуляторной «супердубины», которую Банк России еще ни разу не применял. Этот инструмент в свое время был рекомендован Базельским комитетом и прошел у нас некоторые шаги по внедрению в жизнь: процесс внутренней оценки достаточности капитала (ВПОДК). Регулятор имеет право в случае несоответствия оценки реальности осуществлять надбавку капитала до 3%. Поле деятельности для встраивания управления рисками ИБ в общий пул операционных рисков огромное, и это хорошо ложится на общую надзорную деятельность Банка России в этом вопросе (СУОР).

Артем Сычев не стал возражать, лишь заметил: «Любой острый инструмент, хоть столовый нож, можно использовать и во благо, и во вред. Имеющиеся надзорные рычаги в вопросах ИБ применяются сегодня крайне осторожно, а по максимуму лишь в крайних случаях. СУОР — это еще более сильный и острый инструмент. Без надежного математического аппарата и хорошей аналитики, а также организации плотного взаимодействия с поднадзорными организациями пускать его в ход попросту нельзя».

И Дмитрий Тулин, и Артем Сычев, и Михаил Бухтин, и Василий Хижный, представляющий Беларусь, сошлись во мнении, что в России и других странах ЕАЭС решить задачу перехода к риск-ориентированному надзору без «шоковой терапии» по отношению к банкам своими силами можно. Математическая школа в наших странах это позволяет.

Cyber Exercises и социальная инженерия

Но кое-чему можно и нужно поучиться у коллег на «Западе» и в «Азии». Варша Асвал рассказала о том, как в Индии учитываются особенности каждого банка, невзирая на то что в ходе цифровизации отрасли различия между финансовыми организациями с точки зрения рисков нивелируются, — ведь они все же остаются. Для их учета центр кибербезопасности ЦБ Индии оценивает подходы к каждому из них, создавая инструкции в области ИБ, а также стимулирует работу небанковских организаций для обеспечения проактивной и динамичной работы по управлению рисками в этой сфере. Объединяет наш и индийский центральные банки проблема своевременного и качественного информирования клиентов по разным вопросам, в первую очередь о ситуации с социальной инженерией.

Никто в Банке России не желает делать из среднего звена менеджмента «стрелочников» в области ИБ

Шримана Трипати из Всемирного Банка модератор попросил рассказать о лучших практиках киберучений, проводимых в США. По словам эксперта, в последнее время показала свою эффективность концепция Red Teams и Blue Teams. Термин Red Team пришел из военной среды и определяет дружественную атакующую команду. В противовес ей существует команда защитников — Blue Team. Кроме того, крайне важен обмен информацией между множеством заинтересованных организаций не только о реализовавшихся инцидентах ИБ, но и о тех, которые были отражены. Это позволяет обогатить набор практик и инструментов для проведения киберучений. Естественно, учения должны закончиться разработкой и реализацией практических мер (как внутри, так и вне банка) по устранению фактов и недочетов, выявленных в ходе Cyber Exercises.

Но самое важное услышанное нашими экспертами в зале, — то, что никто в Банке России не желает делать из среднего звена менеджмента «стрелочников» в области ИБ. Вопрос управления киберрисками требует куратора из числа топ-менеджеров. Для обзора «пряников» для них времени не нашлось, а вот то, что им, как выразился модератор, в случае чего «прилетит по-любому», — это факт. Вот и победила в голосовании «Россия»!