Что же происходит с банковским сектором?

Что нынче происходит с банковским сектором? В лентах новостей сплошь и рядом информация о киберпреступлениях: «Тут похитили более 500 млн рублей, там, слава богу, предотвратили попытки хищения почти на 2 млрд рублей, в другом банке снова что-то там по-серьезному похитили».

Что же происходит? Данной тенденции уже года два как минимум… Внезапная атака и как результат - непрогнозируемые последствия. Кто виноват? ИнформБезопасники, которые заполняют анкеты по СТО БР ИББС и 382-П и на этом успокаиваются, так как реальных бюджетов на средства защиты и на команду все равно практически нет? Руководство банков, которое не выделяет средства на реальную безопасность до тех пор, пока не случается громкий инцидент, да и даже когда «жареный петух» внезапно клюет – все еще сомневается, надо ли тратить деньги на ИБ?

Создается такое впечатление, что в аналогии «меч всегда опережает щит» - меч т.е. киберпреступность всегда «впереди на белом коне», а ИБ в догоняющих второго десятка. И это крайне печально..

Очень долго необходимым базовым уровнем безопасности считалось наличие антивируса и антиспама, а также внедренная парольная политика (конечно, немного утрирую, но суть где-то рядом). Но вот времена поменялись, и новое время требует других, более адекватных защитных мер, а также грамотно выстроенных ИБ-процессов. Требуются немедленные и кардинальные изменения.

В свете последних новостей о том, что «ЦБ будет наказывать банки за низкий уровень кибербезопасности» (http://bankir.ru/novosti/20160309/tsb-budet-nakazyvat-banki-za-nizkii-uroven-kiberbezopasnosti-10116380/) хочется отметить, что данный шаг очень важно было предпринять. Вопрос в объективности подхода к системе оценки уровня кибербезопасности. Наличие ИБ-систем по списку? Они могут формально быть, но не работать фактически. Наличие ИБ-процедур? И сейчас данные требования существуют в действующих стандартах и законодательстве. При этом хищения денежных средств происходят как из крупных банков, так и из небольших. Очевидно, что уровень ИБ в них далеко не одинаков. Критерий же «Если произошло киберпреступление и похитили денежные средства, то уровень кибербезопасности априори низкий» крайне субъективный, но в чем-то возможно и правильный. В общем, будет интересно ознакомиться с реальными предложениями.

Правда справедливости ради надо заметить, что первый шаг отхода от «бумажной» и перехода к реальной ИБ со стороны ЦБ я прочувствовала на себе лично еще в 2014 году, почти два года назад, во время моей работы в финансовом секторе. Когда при плановой проверке одного из наших банков, в рамках которой была затронута и самооценка по 382-П, после ознакомления с нормативной документацией коллеги из ЦБ захотели на практике ознакомиться со всем, что написано на бумаге. И действительно, начали проверять фактические ИБ-процессы, опрашивать сотрудников операционных подразделений, требовать свидетельства аудита и подтверждения выполнения требований ИБ. Погоняли тогда представители ЦБ информационную безопасность неслабо, но самым интересным было то, что по итогам проверки результаты оценки по 382-П даже поднялись на несколько десятых – где-то на 0.2-0.3. А на заключительном совещании с представителями ЦБ было озвучено, что включенная в состав проверка по 382-П была экспериментальной, коллеги обкатывали новые, более практические подходы к ИБ-аудиту.

Подпишитесь на рассылку INFOWATCH