Кибербезопасность в банковском секторе: поможет IT-outsourcing?

12.09.2018

Кибербезопасность в банковском секторе: поможет IT-outsourcing?

В последнее время функционирования информационных систем в мире выявило проблему недостаточной защищенности от компьютерных вирусов. BadRabbit, WannaCry и другие поражали неожиданно, парализуя компьютерные системы различных учреждений и предприятий. Их разработчики хотя и имели кое-какие различные цели и способы внедрения вирусных программ, однако базировались на общей основе - недостатках и слабостях системы кибербезопасности. Довольно иллюстративным в этом вопросе представляется механизм действия вируса BadRabbit, который за несколько дней нанес миллионные убытки национальному бизнесу и государственным учреждениям. Вирус незаметно поражал популярную программу бухгалтерского обеспечения M.E.Doc., получал доступ к административным прав управления компьютерной системой и беспрепятственно распространял собственные копии.

Не стали исключением банковские учреждения, которые должны быть защищены современным техническим и системным обеспечением. Мировой опыт атак вирусов и значительных финансовых потерь имел стимулировать, прежде всего, именно финансовые учреждения к поиску пробелов собственных систем киберзащиты и их постоянного обновления.

Эксперты по кибербезопасности «Бробанка» на основе своей деятельности, в том числе связанной с выпуском и защитой информации на пластиковых кредитных картах (см. подробнее https://brobank.ru/kreditnaya-karta-russkij-standart-platinum/), предоставили аналитику, которая свидетельствует о необходимости постоянного осуществления действий, направленных на исключение несанкционированных проникновений в банковскую систему посторонних лиц.

Общая оценка событий 27-29.06.2018 г. показывает, что 20% национальных банков так или иначе пострадали от кибератак. Видимым следствием таких атак стала остановка работы терминалов, платежных систем, отделений банков, а также ограниченный доступ к интернет-банкингу и международных переводов. Хотя банки продолжают утверждать, что атаки негативно повлияли исключительно на инфраструктуру Windows, а вирус не получил доступа к персональным баз данных клиентов, никто не может быть уверен, что более «утонченная» программа не сможет этого сделать.

Тот факт, что банки подвергались кибератакам, наталкивает на вывод, что проблема кроется не только в IT-департаменте каждого отдельного банка. Недооценка потенциальных угроз, отсутствие надлежащего программного обеспечения и пренебрежение надлежащим бюджетированием систем кибербезопасности банка - все это свидетельствует о недостаточности системного подхода к обеспечению кибербезопасности.

Внедрение услуг IT-outsourcing

Действительно ли банки готовы в такие короткие сроки самостоятельно разработать, профинансировать и ввести все необходимые меры? Ведь такие нововведения требуют значительных финансовых затрат и привлечения квалифицированных IT-специалистов. Хотя поиск и внедрение программного обеспечения не предусматривает значительных сложностей, однако найти специалистов, которые смогли бы провести качественную оценку недостатков систем и сопутствующих рисков кибербезопасности, оказывается гораздо более сложной задачей. В то время, когда рынок международных компаний-интеграторов (например, Windows) обладает полным спектром необходимого программного и технического обеспечения, рынок национальных специалистов в области систем кибербезопасности остается очень узким.

Таким образом, каждый банк, имеющий IT-департамент сможет устоять против следующей атаки вируса, ведь сильнейшим гарантом безопасности для банка является именно подготовительная работа, а также постоянное обновление систем и анализ недостатков, которые требуют комплексной оценки более узкоспециализированных специалистов.

Другими негативными факторами, влияющими на несостоятельность банков самостоятельно улучшать собственные системы кибербезопасности является «устарелость» взглядов некоторых специалистов IT-департаментов по внедрению современных методов защиты информационных систем, значительные финансовые затраты на привлечение узкоспециализированных работников, ненадлежащее внедрение международных стандартов ISO и недостаточность внешней независимой оценки систем безопасности банка.

Именно поэтому все большее распространение приобретают услуги IT-outsourcing для банков с целью скорейшего приведения методов защиты их информационных систем в соответствие с Постановлением. Прежде всего, такие услуги предлагают некоторые IT-компании, которые проводят общий технический аудит и проверку регламентного обеспечения функционирования систем защиты банка. Такая проверка должна включать penetration test (тест на проникновение как метод оценки защищенности компьютерной системы), который помогает выявить технические недостатки информационных систем и определить необходимый перечень нужных систем безопасности. Однако достаточный ли такой аудит для выявления всех потенциальных рисков?

Предварительный комплексный аудит самом деле является определяющим фактором понимания недостатков информационных систем банка, однако лишь первой стадией для оценки всех возможных рисков. Ведь наряду с информационно-технологическим аспектом также необходима оценка рисков менеджмента и правового регулирования, которые влияют на общую политику банка по обеспечению информационной безопасности.

К сожалению, проверка только регламентного обеспечения также не сможет выявить рисков ненадлежащей работы персонала по обеспечению информационной безопасности и в целом отношение администрации банка к предупреждению атак на информационные системы.

Итак, кибербезопасность банков требует комплексного, четко спланированного, поэтапного проекта совершенствования систем ее защиты. Такой комплекс должен включать три основных подхода по выявлению угроз для функционирования информационных систем банка:

• технологический - первоочередной аудит, внедрение обновленных методов защиты и дальнейшая оптимизация всей ИТ-инфраструктуры банка с целью не только избавиться от недостатков, но и предупредить их в будущем
• работа с персоналом и администрацией банка - на этом этапе необходимо не только проверить надлежащее регламентное обеспечение работы информационных систем, но и провести дальнейшие разъяснительные работы с персоналом; с другой стороны, это работа с руководством банка, должно обеспечить понимание всех возможных рисков следующих кибератак и санкций НБУ за несоответствие положениям Постановления;
• правовое обеспечение, которое позволило бы надлежащим образом урегулировать отношения между банком и ИТ-компанией конфиденциальности информации.

Разработка такого комплексного проекта позволила бы построить долгосрочные отношения между банками и узкоспециализированными IT-компаниями, предоставляющими услуги в сфере кибербезопасности. Ведь если внедрение мероприятий по приведению информационных систем банков в соответствие с положениями Постановления возможно с привлечением только отдельных ИТ-компаний, то дальнейшая защита от возможных кибератак, к сожалению, не будет полностью обеспечена, поскольку только постоянная работа по предотвращению вирусным угрозам сможет обезопасить банки от возможных материальных убытков.

Количество показов: 481