В рубрику "Директор по безопасности" | К списку рубрик | К списку авторов | К списку публикаций

Бизнес-аспекты обеспечения информационной безопасности финансовых институтов

За последние пять лет мировые убытки от компьютерных инцидентов возросли в несколько раз, при этом сами атаки становятся все более изощренными и опасными. В 2017 г. компьютерные преступления в России нанесли ущерб, оцениваемый в пределах 600 млрд рублей, а мировые убытки приближаются к сумме в 1 трлн долларов.¹ При этом финансовый сектор страдает от кибератак значительно больше других отраслей

Валерия
Суворова

Руководитель направления безопасности критической информационной инфраструктуры ЗАО "Бионт"

Илья
Куценко

Ведущий программист ООО "Парагон"

Каждая вторая атака в финансовом секторе приходится на банки и финансовые организации, ведь основным мотивом злоумышленников по-прежнему остается получение финансовой выгоды (рис. 1).

Информационная безопасность как ключевой фактор функционирования

В финансовых институтах наиболее популярными являются компьютерные преступления и атаки на:

SWIFT (международная межбанковская система передачи информации и совершения платежей);
карточный процессинг;
управление банкоматами;
интернет-банкинг;
платежные шлюзы.

Кроме того, злоумышленники активно используют массовые рассылки фишинговых писем, содержащих вредоносные вложения.

Среди недавних громких инцидентов:

октябрь 2017 г. ограбление банка Far Eastern International Bank тайваня, где в результате атаки на SWIFT злоумышленникам удалось вывести почти 60 млн долларов на счета в Шри-Ланке, камбодже и США;
ноябрь 2017 г. крупный негосударственный банк Непала NIC Asia Bank подвергся целенаправленной атаке, в ходе которой было выведено 4,4 млн долларов;
декабрь 2017 г. Жертвой первой успешной атаки на SWIFT в россии стал банк "Глобэкс", потерявший около 55 млн рублей;
июль 2018 г. Московский "ПИР банк" подвергся атаке, в результате которой с его счета было выведено более 58 млн рублей.

И это лишь некоторые яркие примеры. Несомненно, обеспечение информационной безопасности для финансового сектора является одним из важнейших приоритетов. И финансовые институты это осознают, что подтверждается ежегодным ростом вложений в кибербезопасность приблизительно на 3–4% (по оценкам PricewaterhouseCoopers).

Возрастающие требования законодательства к защите информации

В россии все большее внимание вопросам защиты информации банков и иных финансовых организаций уделяется со стороны государства, наблюдаются серьезные законодательные изменения, которые значительно повышают ответственность в данной сфере:

федеральный закон № 187-фЗ от 26.07.2018 г. "О безопасности критической информационной инфраструктуры российской федерации", вступивший в силу 01.01.2018 г., определяет банковскую и иные сферы финансового рынка как критическую информационную инфраструктуру и устанавливает усиленные меры по защите таких объектов;
новый национальный стандарт российской федерации Гост р 57580.1–2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер". в документе отмечается: "Для финансовых организаций угрозы безопасности информации представляют существенную опасность, а обеспечение защиты информации является для финансовых организаций одним из основополагающих аспектов их деятельности". Данный стандарт предоставляет гибкий механизм выбора защитных мер. В настоящее время стандарт является рекомендательным, но ожидается его перевод в ранг обязательного уже в 2019 г.;
на официальном сайте Центрального Банка рф доступен проект положения "о требованиях к системе управления операционным риском в кредитной организации и банковской группе", где устанавливаются в том числе требования к управлению риском информационной безопасности и вводится понятие киберриска;
еще в июне 2015 г. был создан Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (Фин-Церт), главной задачей которого является противодействие злоумышленникам путем взаимного информирования участников банковского сообщества об уязвимостях, угрозах и рисках информационной безопасности. А с 1 июля 2018 г. банки обязаны направлять в финЦерт информацию о технических параметрах компьютерных атак, а также о сумме убытков от них.

Таким образом, финансовые институты испытывают усиленное давление со стороны регуляторов по вопросам защиты информации, что обязывает их соблюдать все новые серьезные требования и увеличивать вложения в защиту данных.

Финансовые институты испытывают усиленное давление со стороны регуляторов по вопросам защиты информации, что обязывает их соблюдать все новые серьезные требования и увеличивать вложения в защиту данных

Однако усиление требований законодательства не всегда приводит к фактической защищенности инфраструктуры от киберпреступлений. Все чаще наблюдается формальное отношение к соблюдению требований, внедрению технических мер и отсутствие целостного подхода к управлению процессами информационной безопасности на практике.

Широкий выбор интеллектуальных средств защиты на рынке

Каким образом следует организовать процессы информационной безопасности, чтобы они были эффективны и результативны не только на бумаге?

Сегодня на рынке средств защиты информации представлено большое число программных и программно-аппаратных решений, способствующих построению защищенной инфраструктуры:

межсетевые экраны нового поколения, позволяющие не просто фильтровать трафик, но и активно ликвидировать последствия атак;
современные умные системы обнаружения/ предотвращения вторжений (IDS/IPS), анализирующие сетевой трафик на наличие проводимых компьютерных атак;
SIEM-системы, агрегирующие информацию от отдельных сетевых устройств в четко структурированные отчеты о безопасности;
решения класса DLP, позволяющие защититься от внутренних нарушителей;
системы Threat Intelligence (киберразведка) для анализа информации об актуальных угрозах;
многие другие классы продуктов.

Все большее конкурентное преимущество и эффективность приобретают средства защиты информации со встроенными интеллектуальными алгоритмами, способные автоматизированно принимать решения, анализировать большие объемы данных и выявлять закономерности. Одним из перспективных направлений является применение методов машинного обучения в задачах обеспечения информационной безопасности: искусственных нейронных сетей, генетических алгоритмов, деревьев принятия решений и др.

Методы машинного обучения успешно применяются в таких задачах, как:

поиск мошеннических транзакций;
анализ зловредов;
поиск аномалий в сетевом трафике;
кластеризации спам-доменов и т.д.

Финансовая отрасль является одним из основных потребителей подобных интеллектуальных средств защиты, однако часто разнообразные продукты различных производителей, установленные в инфраструктуре, работают обособленно друг от друга, выполняют отдельные функции и не позволяют увидеть картину информационной безопасности организации в целом, что приводит к вероятности не обнаружить своевременно возникновение инцидента.

Другими словами, использование подобных интеллектуальных решений способно значительно увеличить защищенность информационной инфраструктуры, однако только в том случае, если такие решения используются комплексно, с учетом общей стратегии обеспечения информационной безопасности компании, специфики бизнеса и текущих потребностей. Кроме того, для достижения максимального эффекта таких средств их применение должно быть подкреплено экономически обоснованными оценками, то есть необходимо учитывать стоимость актуальных киберрисков в денежном эквиваленте. Обоснованность и целесообразность внедренных мер возможно оценить лишь тогда, когда известны ожидаемые и неожидаемые потери (Expected and Unexpected Loss) от реализации информационного риска. Именно стоимостная оценка киберриска позволяет в дальнейшем определить оптимальный объем инвестиций в информационную безопасность (например, с использованием модели Gordon-Loeb и аналогичных) и определить набор мер, необходимых и достаточных для конкретной организации.

Управление киберрисками – необходимое условие успешного развития

Финансовые институты постепенно приходят к пониманию того, что тщательное выполнение требований регулятора, а также приобретение дорогостоящих средств защиты порой приводят не к реальной защищенности, а лишь к "бумажной безопасности" и ложному чувству защиты. Получение необходимых аттестатов соответствия, введение регламентов и инструкций, использование сертифицированных средств защиты, безусловно, позволят успешно пройти проверки контролирующих органов. Однако для того чтобы по-настоящему снизить риски возникновения компьютерных инцидентов, необходимо построение эффективной системы управления процессами информационной безопасности, в частности структурированного менеджмента информационных рисков. А это невозможно без непрерывного анализа киберриска и его стоимостной оценки, что применимо не только для финансовых институтов, но именно для них это является решающим фактором успешного функционирования в условиях современной цифровой реальности.

Процесс менеджмента рисков информационной безопасности является непрерывным и в общем виде представлен на рис. 2.

Кроме того, даже после смягчения риска остаточный киберриск всегда имеет место, так как построить на 100% защищенную инфраструктуру нельзя: невозможно избежать вероятности наличия уязвимостей "нулевого дня", также всегда присутствует человеческий фактор.

Именно по этой причине страхование информационных рисков приобретает все большую популярность, потребность в нем ежегодно увеличивается (рис. 3) и, по разным оценкам, годовой рост рынка киберстрахования составляет от 25 до 50%. Согласно отчету группы Allianz, рынок страхования от киберугроз может стать одним из самых перспективных в ближайшие 10 лет³.

Возможность страхования киберриска сегодня имеет особую актуальность для банков и иных финансовых организаций, так как позволяет восстановить возможные убытки от совершенного киберпреступления и сохранить жизнеспособность организации.

Однако представители крупнейших российских страховых компаний отмечают, что на данном этапе не готовы брать ответственность за страхование компьютерных преступлений, так как отсутствуют надежные механизмы объективной оценки киберриска, а также еще не выработан оптимальный подход к андеррайтингу таких рисков, что сдерживает рост популярности данной услуги в россии⁴.

От проблем к решениям

Подводя итог, можно коротко сформулировать основные трудности в области защиты информации, с которыми на сегодняшний день сталкиваются финансовые институты:

Финансовые организации терпят большие убытки от кибератак и непрерывно рискуют оказаться жертвой киберпреступников, которые разрабатывают все новые способы проведения атак.
В то же время данные организации испытывают особенно сильное давление со стороны государства и вынуждены выполнять серьезные законодательные требования по защите информации, часто – формально, что не всегда приводит к реальной защищенности и не снижает фактическую подверженность организации киберриску.
Чрезвычайное разнообразие средств защиты информации на рынке приводит к тому, что сделать правильный выбор средств защиты, которые действительно необходимы, сложно. Отсутствует комплексный подход к их применению, возникает разрозненное представление о текущем уровне защиты, а это, в свою очередь, может повлечь принятие неверных управленческих решений и неэффективные финансовые вложения в информационную безопасность.
Потребность в страховании информационных рисков растет, однако на российском страховом рынке представлено крайне мало вариантов страхования киберриска по причине отсутствия (слабости) стратегии андеррайтинга.

Для устранения обозначенных проблем необходим прозрачный и объективный подход комплексного управления киберрисками организации.

Годовой рост рынка киберстрахования составляет от 25 до 50%. Согласно отчету группы Allianz, рынок страхования от киберугроз может стать одним из самых перспективных в ближайшие 10 лет

Решением может стать система или фреймворк, способный выявлять и анализировать киберриски, производить их финансовую оценку с учетом специфики конкретной компании.

Стоимостная оценка информационных рисков крайне необходима для банков и иных финансовых институтов, так как позволит количественно оценить реальную защищенность от актуальных киберугроз. В дальнейшем данная оценка также может служить основой для составления планов по митигации информационных рисков и определения оптимального объема инвестиций в средства и системы защиты.

Помимо этого, подобное решение сможет оказать положительное влияние и на рынок страхования информационных рисков, так как стоимостная оценка подверженности компании информационным рискам ускорит и упростит андеррайтинг данного типа рисков.

___________________________________________
¹ Источник: https://www.securitylab.ru/news/489902.php.
² Источник: https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/Cybersecurity-threatscape-2017-rus.pdf.
³ Источник: https://www.anti-malware.ru/news/2017-02-27/22365.
⁴ Там же

Опубликовано: Журнал "Системы безопасности" #5, 2018
Посещений: 3704

Автор