В рубрику "Директор по безопасности" | К списку рубрик | К списку авторов | К списку публикаций
Каждая вторая атака в финансовом секторе приходится на банки и финансовые организации, ведь основным мотивом злоумышленников по-прежнему остается получение финансовой выгоды (рис. 1).
В финансовых институтах наиболее популярными являются компьютерные преступления и атаки на:
Кроме того, злоумышленники активно используют массовые рассылки фишинговых писем, содержащих вредоносные вложения.
Среди недавних громких инцидентов:
И это лишь некоторые яркие примеры. Несомненно, обеспечение информационной безопасности для финансового сектора является одним из важнейших приоритетов. И финансовые институты это осознают, что подтверждается ежегодным ростом вложений в кибербезопасность приблизительно на 3–4% (по оценкам PricewaterhouseCoopers).
В россии все большее внимание вопросам защиты информации банков и иных финансовых организаций уделяется со стороны государства, наблюдаются серьезные законодательные изменения, которые значительно повышают ответственность в данной сфере:
Таким образом, финансовые институты испытывают усиленное давление со стороны регуляторов по вопросам защиты информации, что обязывает их соблюдать все новые серьезные требования и увеличивать вложения в защиту данных.
Однако усиление требований законодательства не всегда приводит к фактической защищенности инфраструктуры от киберпреступлений. Все чаще наблюдается формальное отношение к соблюдению требований, внедрению технических мер и отсутствие целостного подхода к управлению процессами информационной безопасности на практике.
Каким образом следует организовать процессы информационной безопасности, чтобы они были эффективны и результативны не только на бумаге?
Сегодня на рынке средств защиты информации представлено большое число программных и программно-аппаратных решений, способствующих построению защищенной инфраструктуры:
Все большее конкурентное преимущество и эффективность приобретают средства защиты информации со встроенными интеллектуальными алгоритмами, способные автоматизированно принимать решения, анализировать большие объемы данных и выявлять закономерности. Одним из перспективных направлений является применение методов машинного обучения в задачах обеспечения информационной безопасности: искусственных нейронных сетей, генетических алгоритмов, деревьев принятия решений и др.
Методы машинного обучения успешно применяются в таких задачах, как:
Финансовая отрасль является одним из основных потребителей подобных интеллектуальных средств защиты, однако часто разнообразные продукты различных производителей, установленные в инфраструктуре, работают обособленно друг от друга, выполняют отдельные функции и не позволяют увидеть картину информационной безопасности организации в целом, что приводит к вероятности не обнаружить своевременно возникновение инцидента.
Другими словами, использование подобных интеллектуальных решений способно значительно увеличить защищенность информационной инфраструктуры, однако только в том случае, если такие решения используются комплексно, с учетом общей стратегии обеспечения информационной безопасности компании, специфики бизнеса и текущих потребностей. Кроме того, для достижения максимального эффекта таких средств их применение должно быть подкреплено экономически обоснованными оценками, то есть необходимо учитывать стоимость актуальных киберрисков в денежном эквиваленте. Обоснованность и целесообразность внедренных мер возможно оценить лишь тогда, когда известны ожидаемые и неожидаемые потери (Expected and Unexpected Loss) от реализации информационного риска. Именно стоимостная оценка киберриска позволяет в дальнейшем определить оптимальный объем инвестиций в информационную безопасность (например, с использованием модели Gordon-Loeb и аналогичных) и определить набор мер, необходимых и достаточных для конкретной организации.
Финансовые институты постепенно приходят к пониманию того, что тщательное выполнение требований регулятора, а также приобретение дорогостоящих средств защиты порой приводят не к реальной защищенности, а лишь к "бумажной безопасности" и ложному чувству защиты. Получение необходимых аттестатов соответствия, введение регламентов и инструкций, использование сертифицированных средств защиты, безусловно, позволят успешно пройти проверки контролирующих органов. Однако для того чтобы по-настоящему снизить риски возникновения компьютерных инцидентов, необходимо построение эффективной системы управления процессами информационной безопасности, в частности структурированного менеджмента информационных рисков. А это невозможно без непрерывного анализа киберриска и его стоимостной оценки, что применимо не только для финансовых институтов, но именно для них это является решающим фактором успешного функционирования в условиях современной цифровой реальности.
Процесс менеджмента рисков информационной безопасности является непрерывным и в общем виде представлен на рис. 2.
Кроме того, даже после смягчения риска остаточный киберриск всегда имеет место, так как построить на 100% защищенную инфраструктуру нельзя: невозможно избежать вероятности наличия уязвимостей "нулевого дня", также всегда присутствует человеческий фактор.
Именно по этой причине страхование информационных рисков приобретает все большую популярность, потребность в нем ежегодно увеличивается (рис. 3) и, по разным оценкам, годовой рост рынка киберстрахования составляет от 25 до 50%. Согласно отчету группы Allianz, рынок страхования от киберугроз может стать одним из самых перспективных в ближайшие 10 лет3.
Возможность страхования киберриска сегодня имеет особую актуальность для банков и иных финансовых организаций, так как позволяет восстановить возможные убытки от совершенного киберпреступления и сохранить жизнеспособность организации.
Однако представители крупнейших российских страховых компаний отмечают, что на данном этапе не готовы брать ответственность за страхование компьютерных преступлений, так как отсутствуют надежные механизмы объективной оценки киберриска, а также еще не выработан оптимальный подход к андеррайтингу таких рисков, что сдерживает рост популярности данной услуги в россии4.
Подводя итог, можно коротко сформулировать основные трудности в области защиты информации, с которыми на сегодняшний день сталкиваются финансовые институты:
Для устранения обозначенных проблем необходим прозрачный и объективный подход комплексного управления киберрисками организации.
Решением может стать система или фреймворк, способный выявлять и анализировать киберриски, производить их финансовую оценку с учетом специфики конкретной компании.
Стоимостная оценка информационных рисков крайне необходима для банков и иных финансовых институтов, так как позволит количественно оценить реальную защищенность от актуальных киберугроз. В дальнейшем данная оценка также может служить основой для составления планов по митигации информационных рисков и определения оптимального объема инвестиций в средства и системы защиты.
Помимо этого, подобное решение сможет оказать положительное влияние и на рынок страхования информационных рисков, так как стоимостная оценка подверженности компании информационным рискам ускорит и упростит андеррайтинг данного типа рисков.
Опубликовано: Журнал "Системы безопасности" #5, 2018
Посещений: 3704
Автор
| |||
Автор
| |||
В рубрику "Директор по безопасности" | К списку рубрик | К списку авторов | К списку публикаций