Контакты
Подписка
МЕНЮ
Контакты
Подписка

Бизнес-аспекты обеспечения информационной безопасности финансовых институтов

Бизнес-аспекты обеспечения информационной безопасности финансовых институтов

В рубрику "Директор по безопасности" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Бизнес-аспекты обеспечения информационной безопасности финансовых институтов

За последние пять лет мировые убытки от компьютерных инцидентов возросли в несколько раз, при этом сами атаки становятся все более изощренными и опасными. В 2017 г. компьютерные преступления в России нанесли ущерб, оцениваемый в пределах 600 млрд рублей, а мировые убытки приближаются к сумме в 1 трлн долларов.1 При этом финансовый сектор страдает от кибератак значительно больше других отраслей
Валерия
Суворова
Руководитель направления безопасности критической информационной инфраструктуры ЗАО "Бионт"
Илья
Куценко
Ведущий программист ООО "Парагон"

Каждая вторая атака в финансовом секторе приходится на банки и финансовые организации, ведь основным мотивом злоумышленников по-прежнему остается получение финансовой выгоды (рис. 1).


Информационная безопасность как ключевой фактор функционирования

В финансовых институтах наиболее популярными являются компьютерные преступления и атаки на:

  • SWIFT (международная межбанковская система передачи информации и совершения платежей);
  • карточный процессинг;
  • управление банкоматами;
  • интернет-банкинг;
  • платежные шлюзы.

Кроме того, злоумышленники активно используют массовые рассылки фишинговых писем, содержащих вредоносные вложения.


Среди недавних громких инцидентов:

  • октябрь 2017 г. ограбление банка Far Eastern International Bank тайваня, где в результате атаки на SWIFT злоумышленникам удалось вывести почти 60 млн долларов на счета в Шри-Ланке, камбодже и США;
  • ноябрь 2017 г. крупный негосударственный банк Непала NIC Asia Bank подвергся целенаправленной атаке, в ходе которой было выведено 4,4 млн долларов;
  • декабрь 2017 г. Жертвой первой успешной атаки на SWIFT в россии стал банк "Глобэкс", потерявший около 55 млн рублей;
  • июль 2018 г. Московский "ПИР банк" подвергся атаке, в результате которой с его счета было выведено более 58 млн рублей.

И это лишь некоторые яркие примеры. Несомненно, обеспечение информационной безопасности для финансового сектора является одним из важнейших приоритетов. И финансовые институты это осознают, что подтверждается ежегодным ростом вложений в кибербезопасность приблизительно на 3–4% (по оценкам PricewaterhouseCoopers).

Возрастающие требования законодательства к защите информации

В россии все большее внимание вопросам защиты информации банков и иных финансовых организаций уделяется со стороны государства, наблюдаются серьезные законодательные изменения, которые значительно повышают ответственность в данной сфере:

  • федеральный закон № 187-фЗ от 26.07.2018 г. "О безопасности критической информационной инфраструктуры российской федерации", вступивший в силу 01.01.2018 г., определяет банковскую и иные сферы финансового рынка как критическую информационную инфраструктуру и устанавливает усиленные меры по защите таких объектов;
  • новый национальный стандарт российской федерации Гост р 57580.1–2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер". в документе отмечается: "Для финансовых организаций угрозы безопасности информации представляют существенную опасность, а обеспечение защиты информации является для финансовых организаций одним из основополагающих аспектов их деятельности". Данный стандарт предоставляет гибкий механизм выбора защитных мер. В настоящее время стандарт является рекомендательным, но ожидается его перевод в ранг обязательного уже в 2019 г.;
  • на официальном сайте Центрального Банка рф доступен проект положения "о требованиях к системе управления операционным риском в кредитной организации и банковской группе", где устанавливаются в том числе требования к управлению риском информационной безопасности и вводится понятие киберриска;
  • еще в июне 2015 г. был создан Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (Фин-Церт), главной задачей которого является противодействие злоумышленникам путем взаимного информирования участников банковского сообщества об уязвимостях, угрозах и рисках информационной безопасности. А с 1 июля 2018 г. банки обязаны направлять в финЦерт информацию о технических параметрах компьютерных атак, а также о сумме убытков от них.

Таким образом, финансовые институты испытывают усиленное давление со стороны регуляторов по вопросам защиты информации, что обязывает их соблюдать все новые серьезные требования и увеличивать вложения в защиту данных.

Финансовые институты испытывают усиленное давление со стороны регуляторов по вопросам защиты информации, что обязывает их соблюдать все новые серьезные требования и увеличивать вложения в защиту данных

Однако усиление требований законодательства не всегда приводит к фактической защищенности инфраструктуры от киберпреступлений. Все чаще наблюдается формальное отношение к соблюдению требований, внедрению технических мер и отсутствие целостного подхода к управлению процессами информационной безопасности на практике.

Широкий выбор интеллектуальных средств защиты на рынке

Каким образом следует организовать процессы информационной безопасности, чтобы они были эффективны и результативны не только на бумаге?

Сегодня на рынке средств защиты информации представлено большое число программных и программно-аппаратных решений, способствующих построению защищенной инфраструктуры:

  • межсетевые экраны нового поколения, позволяющие не просто фильтровать трафик, но и активно ликвидировать последствия атак;
  • современные умные системы обнаружения/ предотвращения вторжений (IDS/IPS), анализирующие сетевой трафик на наличие проводимых компьютерных атак;
  • SIEM-системы, агрегирующие информацию от отдельных сетевых устройств в четко структурированные отчеты о безопасности;
  • решения класса DLP, позволяющие защититься от внутренних нарушителей;
  • системы Threat Intelligence (киберразведка) для анализа информации об актуальных угрозах;
  • многие другие классы продуктов.

Все большее конкурентное преимущество и эффективность приобретают средства защиты информации со встроенными интеллектуальными алгоритмами, способные автоматизированно принимать решения, анализировать большие объемы данных и выявлять закономерности. Одним из перспективных направлений является применение методов машинного обучения в задачах обеспечения информационной безопасности: искусственных нейронных сетей, генетических алгоритмов, деревьев принятия решений и др.

Методы машинного обучения успешно применяются в таких задачах, как:

  • поиск мошеннических транзакций;
  • анализ зловредов;
  • поиск аномалий в сетевом трафике;
  • кластеризации спам-доменов и т.д.

Финансовая отрасль является одним из основных потребителей подобных интеллектуальных средств защиты, однако часто разнообразные продукты различных производителей, установленные в инфраструктуре, работают обособленно друг от друга, выполняют отдельные функции и не позволяют увидеть картину информационной безопасности организации в целом, что приводит к вероятности не обнаружить своевременно возникновение инцидента.

Все большее конкурентное преимущество и эффективность приобретают средства защиты информации со встроенными интеллектуальными алгоритмами, способные автоматизированно принимать решения, анализировать большие объемы данных и выявлять закономерности

Другими словами, использование подобных интеллектуальных решений способно значительно увеличить защищенность информационной инфраструктуры, однако только в том случае, если такие решения используются комплексно, с учетом общей стратегии обеспечения информационной безопасности компании, специфики бизнеса и текущих потребностей. Кроме того, для достижения максимального эффекта таких средств их применение должно быть подкреплено экономически обоснованными оценками, то есть необходимо учитывать стоимость актуальных киберрисков в денежном эквиваленте. Обоснованность и целесообразность внедренных мер возможно оценить лишь тогда, когда известны ожидаемые и неожидаемые потери (Expected and Unexpected Loss) от реализации информационного риска. Именно стоимостная оценка киберриска позволяет в дальнейшем определить оптимальный объем инвестиций в информационную безопасность (например, с использованием модели Gordon-Loeb и аналогичных) и определить набор мер, необходимых и достаточных для конкретной организации.

Управление киберрисками – необходимое условие успешного развития

Финансовые институты постепенно приходят к пониманию того, что тщательное выполнение требований регулятора, а также приобретение дорогостоящих средств защиты порой приводят не к реальной защищенности, а лишь к "бумажной безопасности" и ложному чувству защиты. Получение необходимых аттестатов соответствия, введение регламентов и инструкций, использование сертифицированных средств защиты, безусловно, позволят успешно пройти проверки контролирующих органов. Однако для того чтобы по-настоящему снизить риски возникновения компьютерных инцидентов, необходимо построение эффективной системы управления процессами информационной безопасности, в частности структурированного менеджмента информационных рисков. А это невозможно без непрерывного анализа киберриска и его стоимостной оценки, что применимо не только для финансовых институтов, но именно для них это является решающим фактором успешного функционирования в условиях современной цифровой реальности.

Процесс менеджмента рисков информационной безопасности является непрерывным и в общем виде представлен на рис. 2.


Кроме того, даже после смягчения риска остаточный киберриск всегда имеет место, так как построить на 100% защищенную инфраструктуру нельзя: невозможно избежать вероятности наличия уязвимостей "нулевого дня", также всегда присутствует человеческий фактор.

Именно по этой причине страхование информационных рисков приобретает все большую популярность, потребность в нем ежегодно увеличивается (рис. 3) и, по разным оценкам, годовой рост рынка киберстрахования составляет от 25 до 50%. Согласно отчету группы Allianz, рынок страхования от киберугроз может стать одним из самых перспективных в ближайшие 10 лет3.


Возможность страхования киберриска сегодня имеет особую актуальность для банков и иных финансовых организаций, так как позволяет восстановить возможные убытки от совершенного киберпреступления и сохранить жизнеспособность организации.

Однако представители крупнейших российских страховых компаний отмечают, что на данном этапе не готовы брать ответственность за страхование компьютерных преступлений, так как отсутствуют надежные механизмы объективной оценки киберриска, а также еще не выработан оптимальный подход к андеррайтингу таких рисков, что сдерживает рост популярности данной услуги в россии4.

От проблем к решениям

Подводя итог, можно коротко сформулировать основные трудности в области защиты информации, с которыми на сегодняшний день сталкиваются финансовые институты:

  1. Финансовые организации терпят большие убытки от кибератак и непрерывно рискуют оказаться жертвой киберпреступников, которые разрабатывают все новые способы проведения атак.
  2. В то же время данные организации испытывают особенно сильное давление со стороны государства и вынуждены выполнять серьезные законодательные требования по защите информации, часто – формально, что не всегда приводит к реальной защищенности и не снижает фактическую подверженность организации киберриску.
  3. Чрезвычайное разнообразие средств защиты информации на рынке приводит к тому, что сделать правильный выбор средств защиты, которые действительно необходимы, сложно. Отсутствует комплексный подход к их применению, возникает разрозненное представление о текущем уровне защиты, а это, в свою очередь, может повлечь принятие неверных управленческих решений и неэффективные финансовые вложения в информационную безопасность.
  4. Потребность в страховании информационных рисков растет, однако на российском страховом рынке представлено крайне мало вариантов страхования киберриска по причине отсутствия (слабости) стратегии андеррайтинга.

Для устранения обозначенных проблем необходим прозрачный и объективный подход комплексного управления киберрисками организации.

Годовой рост рынка киберстрахования составляет от 25 до 50%. Согласно отчету группы Allianz, рынок страхования от киберугроз может стать одним из самых перспективных в ближайшие 10 лет

Решением может стать система или фреймворк, способный выявлять и анализировать киберриски, производить их финансовую оценку с учетом специфики конкретной компании.

Стоимостная оценка информационных рисков крайне необходима для банков и иных финансовых институтов, так как позволит количественно оценить реальную защищенность от актуальных киберугроз. В дальнейшем данная оценка также может служить основой для составления планов по митигации информационных рисков и определения оптимального объема инвестиций в средства и системы защиты.

Помимо этого, подобное решение сможет оказать положительное влияние и на рынок страхования информационных рисков, так как стоимостная оценка подверженности компании информационным рискам ускорит и упростит андеррайтинг данного типа рисков.

Опубликовано: Журнал "Системы безопасности" #5, 2018
Посещений: 327


  Автор
Валерия Суворова

Валерия Суворова

Руководитель направления безопасности критической информационной инфраструктуры ЗАО "Бионт"

Всего статей:  1


  Автор
Илья Куценко

Илья Куценко

Ведущий программист ООО "Парагон"

Всего статей:  1

В рубрику "Директор по безопасности" | К списку рубрик  |  К списку авторов  |  К списку публикаций