С 15 по 17 февраля в Екатеринбурге проходил Уральский форум «Кибербезопасность в финансах». Организатором мероприятия стал Банк России в партнерстве с лидерами рынка информационной безопасности
15 февраля
Сессия «Управление киберриском»
По мнению докладчиков, управление рисками информационных угроз необходимо в первую очередь для расстановки приоритетов как внутри функции ИБ, так и на уровне всей организации. Помимо этого, управление рисками позволяет определить четкие регламенты действий во время внештатных ситуаций. К сожалению, многие организации до сих пор относятся к управлению киберрисками, как к части комплаенса. В то же время это возможность для службы ИБ начать диалог с топ-менеджментом на языке бизнеса, то есть на языке денег и моделей, что повышает прозрачность функции ИБ и встраивает ее в процесс управления организацией.
Поднимались на сессии и «неудобные» вопросы, например об острой нехватке российских методологий в области оценки киберрисков, а также о необходимости отраслевого обмена информацией по инцидентам для определения вероятностей их реализации. При этом все участники сошлись во мнении, что самостоятельно рынок не сможет организовать этот процесс и обеспечить его защищенность, а значит, необходимо непосредственное участие регулятора.
Сессия «Информационная безопасность некредитных финансовых организаций»
Примечательно, что отдельная сессия для некредитных финансовых организаций (НФО) проводилась на Уральском Форуме впервые. Эксперты обсудили основные тренды последних нескольких лет.
НФО почувствовали значительный приток розничных клиентов — физических лиц, появились новые задачи по защите прав клиентов. В то же время во многих НФО пока еще нет выделенной службы ИБ либо она не очень зрелая по сравнению с такими службами кредитных организацияй. Как результат регулятор ввел новые требования по информационной безопасности для НФО, где риски ИБ включил в систему управления рисками организаций. Поддержка этих требований нуждается в значительных ресурсах, и большая часть организаций не готова к таким затратам.
Хотя регуляторика для НФО и копирует банковские нормативно-правовые акты, однако риски некредитных и кредитных организаций сильно различаются. НФО, со своей стороны, поддерживают инициативы по введению практики аттестации аудита информационной безопасности Банком России, отрасль нуждается в доверенной среде аудита.
Сессия «Аудит информационной безопасности»
Спикерами стали представители Банка России и эксперты ИБ-отрасли, модератором выступила Анастасия Харыбина, председатель АБИСС и руководитель AKTIV.CОNSULTING. Участники сошлись во мнении, что в ближайшее время финансовые организации и экспертное сообщество должны пересмотреть роль внешнего аудита ИБ.
-
Анастасия Харыбина
Руководитель AKTIV.CОNSULTING и председатель Ассоциации АБИСС
Внешний аудит информационной безопасности должен стать инструментом обеспечения операционной надежности, а значит, необходимо контролировать качество и сопоставимость его результатов. При этом нужно понимать, что при сегодняшних темпах развития количество обязательных аудитов будет увеличиваться. Все это требует разработки стандартов, регулирующих данную сферу, а также создания системы добровольной сертификации для аудиторских компаний.
Отдельным важным вопросом участники сессии назвали регламентирование действий внешних аудиторов. В пользу скорейшей подготовки соответствующих стандартов высказывались сами аудиторы. В этой связи Банк России запланировал изменения в существующий отраслевой стандарт СТО БР ИББС, а также разработку стандарта по оценке качества работы аудиторов, который будет гармонизирован со стандартами серии ISO/ИСО 27000.
Мастер-класс «Стандарты по информационной безопасности,операционной надежности и управлению рисками»
В рамках сессии участники узнали о ключевых активностях Технического комитета по стандартизации «Стандарты финансовых операций» ТК 122.
- Разрабатываются стандарты идентификации и аутентификации с привлечением третьих сторон — Сбер id, Яндекс id. Планируется включение требований в Профиль защиты по линии безопасной разработки.
- Разрабатываются стандарты безопасности для протоколов открытых API.
- Разрабатываются стандарты безопасности QR-кодов совместно с НСПК.
- Идет переработка стандарта взаимодействия с ФинЦЕРТ.
Спикеры подчеркнули, что Россия остается участником международного рынка платежных систем и соблюдает требования стандартов. Также НСПК участвует в разработке новой версии стандарта PCI DSS, и уже в скором времени ожидается принятие PCI DSS 4.0. Что касается требования по внешнему аудиту, то его проведение остается необходимым для участников платежных систем.
16 февраля
Сессия «Основные направления развития информационной безопасности в кредитно-финансовой сфере»
Второй день Уральского форума стартовал с доклада Германа Зубарева, заместителя председателя Банка России, который рассказал об основных направлениях развития информационной безопасности в кредитно-финансовой сфере.
Он обозначил три ключевые цели ведомства в сфере ИБ на ближайшие три года:
- защита прав потребителей финансовых услуг и повышение доверия к цифровым технологиям;
- безопасные цифровые и платежные технологии, обеспечение технологического суверенитета;
- контроль рисков ИБ для непрерывного оказания финансовых услуг.
Представитель Банка России отметил, что для достижения перечисленных целей необходимо соблюдать баланс интересов граждан, бизнеса и государства.
Панельная дискуссия «Противодействие мошенничеству и социальной инженерии»
В рамках панельной дискуссии выступила председатель Банка России Эльвира Набиуллина. Она подчеркнула, что ЦБ будет уделять больше внимания развитию информационной безопасности. Это связано с тремя основными трендами:
- развитием технологий;
- развитием экосистем и переходом приложений в единый интерфейс;
- значительным рост кибератак.
Также Эльвира Набиуллина отметила, что банки обязаны блокировать денежные переводы на мошеннические счета. Глава ЦБ допустила создание единой централизованной базы данных мошенников, которая будет способствовать ускорению обмена информацией между банками. По мнению главы ЦБ, кредитные организации должны нести ответственность перед клиентами и возмещать ущерб. Это станет стимулом для развития антифрода, потому что системы защиты могут создать только сами финансовые институты.
17 февраля
Сессия «Технологическая независимость: миф или реальность?»
В рамках сессии участники обсуждали проблемы импортозамещения средств защиты информации в финансовой отрасли. Они подтвердили, что импортозамещение средств защиты информации находится сейчас на высоком уровне — практически по каждому классу есть аналоги. Основная проблема, которая пока находится в стадии решения, связана с сетевой безопасностью.
Государство стимулирует переход на российские решения «кнутом и пряником»: с одной стороны, установлены жесткие сроки по переходу — 1 января 2025 года, с другой — выделено 75 млрд рублей на поддержку разработки, а также созданы все условия для организаций и самих разработчиков (налоговые льготы, отсрочка от мобилизации и прочие).
Вносятся изменения и в действующую регуляторику: на весенней сессии ожидается принятие Госдумой поправок в федеральные законы, которые скорректируют критерии отнесения программного обеспечения к отечественному. Также за федеральными органами исполнительной власти закрепят функции по утверждению планов по импортозамещению и контролю их реализации (для финансовой отрасли это будет возложено на Банк России).
Помимо этого, в 2023 году планируется создание российского репозитория опенсорсного кода, где будут выстроены процессы анализа уязвимостей ПО, а также контроля обновлений.
Сессия «Реализация жизненного цикла безопасной разработки программного обеспечения (DEVSECOPS)»
По различным оценкам, в финансовой отрасли используется 70–80% open source ПО, и риски атак на него оценивались и раньше. Уязвимости и закладки в крупных библиотеках быстро выявлялись самим комьюнити. В связи с изменением ситуации в 2022 году стали актуальны два вектора: зависимость от «мелких» библиотек и действия удаленных команд разработки.
При общей готовности к рискам open source эксперты отметили фактор «capacity», т. е. нехватку ресурса сотрудников «в моменте» во время пиковой нагрузки. И здесь организациям может помочь риск-ориентированный подход, когда часть персонала переводят с менее критичных работ на проверку кода.
50% компаний с собственной разработкой начинают внедрять процедуры безопасной разработки ПО. Помимо стандартных инструментов SAST, DAST, IAST начинается применение продвинутых инструментов, таких как:
- динамическое конфигурирование среды исполнения;
- software bill of materials (SBOM), средства инвентаризации состава ПО и выявления известных уязвимостей, определение лицензионной политики на сторонние компоненты и библиотеки;
- security by design, концепция своеобразной цифровой иммунной системы программного комплекса с самых ранних стадий его жизненного цикла.
Подходы DevSecOps прежде всего способствуют реализации требований к отказоустойчивости информационных систем. Что изменилось за 2022 год: если раньше все крупные репозитории считались доверенной средой, то с прошлого года компании стали организовывать свои локальные «чистые» репозитории. В такие «чистилища», как в шутку их называют между собой специалисты, попадает только проверенный на безопасность код, в том числе повторно при его обновлении.
Участники встречи также рассказали о своем отношении к государственному регулированию вопросов безопасной разработки. Некоторые эксперты отметили, что иногда первые редакции требований невыполнимы, но необходимо вступать в диалог с регулятором и искать баланс между развитием ПО и поиском уязвимостей в нем. Финансовый сектор развивается конкурентными темпами, отставать нельзя даже на полгода. Выход — предлагать регулятору свою встречную концепцию.
Сессия «Аутсорсинг на финансовом рынке: оптимизация расходов или новые риски?»
Участники отметили, что аутсорсинг IT в финансовой отрасли нужен и полезен, особенно для тестирования разработанных сервисов в облаках, но говорить о передаче «core-функций» (АБС, процессинг и т. п. ) пока рано. Основные риски аутсорсинга, с которыми могут столкнуться организации, касаются регуляторики и операционной надежности (от ошибок конфигурации не раз страдали даже крупные сервис- и интернет-провайдеры). При этом эксперты согласились с тем, что на услуги аутсорсинга IT и ИБ существует большой спрос, особенно у банков с базовой лицензией и малых/средних НФО.
На сессии стало известно, что Банк России готовит проекты положений, которые полностью опишут процесс аутсорсинга IT и ИБ для финансовой отрасли, а также возможные поправки в закон.
Основные сложные моменты, которые необходимо проработать:
- обозначить правовой статус аутсорсинговой компании;
- указать полномочия ЦБ по определению порядка передачи данных;
- сформулировать ответственность аутсорсеров.
Регулятор предлагает сосредоточиться прежде всего не на разделении уголовной и административной ответственностью между финансовой организацией и аутсорсером, а на выстраивании системы защиты информации и обеспечения операционной надежности у последнего.
В процессе сессии стало очевидно, что необходимо проработать аспекты создания реестра доверенных провайдеров, их сертификацию и, возможно, аудит. Все это Банк России возьмет в проработку, и он надеется в ближайшее время поделиться с рынком своими наработками.
Сессия «Идентификация, аутентификация. Единая биометрическая система»
Эксперты подняли проблему определения конечных бенефициаров юридических лиц. На текущий момент есть два подхода: самодекларация и государственные информационные ресурсы. С точки зрения надзорных органов пока лидирует второй подход (исходя из практики Росфинмониторинга и ФНС).
Обсуждался вопрос отдельных реестров бенефициаров, в работе которых сегодня обозначены две проблемы: поддержание реестра в актуальном состоянии и вопросы обработки персональных данных.
Участники обсудили принятый федеральный закон об обороте биометрических данных для целей идентификации и аутентификации. Важным изменением, которое планируется внедрить, является хранение биометрии только у регулятора. Коммерческим организациям разрешат осуществлять только сбор биометрии, а работать уже с преобразованными данными.
В рамках сессии также была рассмотрена зарубежная практика:
- «европейский подход», который реализуется с 2007 года и заключается в использовании цифрового паспорта с машиночитаемой доверенностью и электронной подписью, обеспечивающими широкий спектр применения;
- «азиатский подход», который подразумевает создание единой централизованной информационной системы, что позволит уже к 2025 году использовать приложения для идентификации и аутентификации.
Сессия «Взаимодействие организаций финансовой сферы с правоохранительными органами»
В 2022 году, по данным МВД, было зафиксировано 522 тыс. преступлений с использованием информационных технологий, в особенности с помощью социальной инженерии.
Участники сессии отметили одну из проблем раскрываемости — низкую скорость отработки цифровых следов. Преступления происходят в цифровой плоскости, а процессы правоохранительных органов — аналоговые.
В связи с этим Банк России предложил новую схему взаимодействия финансовых организаций с правоохранительными органами:
- пострадавший обращается в банк, который направляет его в МВД;
- МВД делает запрос в ФинЦЕРт по операциям без согласия;
- информация из банка отправляется через ФинЦЕРТ в МВД.
Это позволит ускорить получение информации для восстановления цепочки вывода средств.
Для борьбы с дропперами Банк России предлагает внести поправки в Федеральный закон № 161-ФЗ. Это позволит изменить процесс взаимодействия: МВД сможет направлять информацию в ФинЦЕРТ (при наличии возбужденного дела и книги учета сообщений о происшествиях, а ФинЦЕРТ — пересылать информацию во все банки, которые будут блокировать все открытые счета дроппера.
Важным стало заявление представителей Сбера, которые рассказали о своем участии в расследовании по мошенническому колл-центру в Бердянске. По словам экспертов, в ближайшее время ожидается официальное совместное заявление Сбера и правоохранительных органов. Это дело станет первым прецедентом с реальными сроками для мошенников.
Сессия «Национальные цифровые проекты и информационная безопасность»
Эксперты подчеркнули, что финансовая отрасль является самой защищенной, число успешных атак на ее организации снизилось с 8% в 2021 году до 4% в 2022-м. Тем не менее уязвимости в финансовой отрасли остаются, в том числе по вине подрядчиков, которые предоставляют широкие возможности для проведения атак.
Пока ситуация складывается так, что IТ-аутсорсеры не поддерживают идею регулирования. Банк России не хочет брать их под контроль. Поэтому требуется внимание к данному вопросу со стороны профильных регуляторов.
Участники также констатировали изменение классического подхода к защите информации в концепции security by design. По их мнению, если распределять данные в архитектуре решений, отпадает необходимость их защищать. Лучший эффект при этом дает консолидация IT, бизнеса и ИБ.