Эксперты Банка России рассуждают о рисках в области информационной безопасности, которые в условиях кризиса резко возросли
Проблема информационной безопасности состоит не только в том, чтобы защитить персональные данные. Организациям нужно защищать любую информацию, циркулирующую во внутренних сетях. Вот показательные цифры: объем «рынка» киберпреступности в 2007 году оценивался в $100 млрд. А ущерб от промышленного шпионажа для тысячи крупнейших компаний мира составил $45 млрд - это прямые и косвенные потери. В США, к примеру, темпы роста расходов на информационную безопасность превышают расходы на IT в 3 раза. А в России - всего лишь на 15%. Это говорит о том, что информационное общество в стране еще недостаточно развито. Хотя в некоторых отраслях ситуация иная, в том числе и в банковском секторе.
Михаил Сенаторов
Заместитель председателя Банка России
Исследования показывают, что очень многие руководители не относят обеспечение информационной безопасности к числу приоритетных задач. Не осознают ту опасность, с которой сталкиваются. Конечно, она не ощущается прямым восприятием человека. Это не кисло, не сладко, это никак. Среди ведущих компаний мира доля руководителей, которые не контролируют свои базы данных, не ставят подчиненным соответствующие задачи, составляет около 40%. А доля нарушений, совершенных сотрудниками или контрагентами, повысилась до 70%.
Понятно, что в условиях нынешней экономической ситуации вопросы информационной безопасности становятся еще более важными: обостряется проблема инсайдеров. Из организаций уходят сотрудники, которые нередко перед увольнением осуществляют злонамеренные действия. Все мы знаем о том, что в последнее время участилось количество атак на банковские счета. Наиболее популярные мошенничества в банковской сфере за последнее время - изъятие данных кредитных карт с целью похищения средств, получение сведений о банковских счетах и проведение по ним несанкционированных операций.
Только техническими средствами проблему информационной безопасности решить невозможно. Защита корпоративных систем на 40% зависит от организационных мероприятий, на 30% -от морально-нравственного состояния общества и общекультурного уровня пользователя. И только на «последние» 30% - от тех технических решений, которые применяются. Особенно важно понимать, что без жесткой технологической дисциплины обеспечить информационную безопасность очень сложно. Если же говорить об ее развитии в банковской сфере, то систему целесообразно строить на основе разработанного Банком России Стандарта. Это проработанный документ, который на протяжении нескольких лет дополняется и развивается.
Все помнят что, когда 15 лет назад мы только начинали заниматься банковской безопасностью, то в первую очередь беспокоились об инкассаторах. И только через 5 лет начали говорить о проблемах IT. Если сейчас заглянуть в криминальные сводки, можно вновь обнаружить сообщения о нападениях на инкассаторов. Это не значит, что мы вернулись в начало, просто преступники всегда ищут более слабое место в обороне. И значит, с точки зрения IT-технологий ситуация улучшилась. Можно считать, что по этому «предмету» криминалитет выставляет нам твердую четверку.
Александр Лахтиков
Начальник ГУБЗИ Банка России
Инциденты по части безопасности всегда будут - логика жизни такова. Ясно и то, что оборона всегда запаздывает, а нападение действует на опережение и по определению более агрессивно. Конечно, хотелось бы почувствовать свою профессиональную ненужность, но нам это не грозит. И системы по IT-безопасности, которые мы выстраиваем, не могут быть безупречными; нельзя сказать, что когда-нибудь этих рисков не будет. Они будут, но при этом система должна быть выстроена так, чтобы в случае необходимости затрагивать минимальное время на восстановление. А вот это уже зависит от нас с вами.
Вопросы по информационной безопасности сейчас весьма актуальны. И многие это понимают. Нам, в частности, удалось добиться того, что высшее руководство ЦБ РФ на совете директоров обсуждает эти темы. Это не значит, им делать нечего, просто они заинтересованы в решении соответствующих проблем. И, между прочим, это показатель зрелости системы. И если кто-то из руководителей кредитных организаций не посвящен в тему, я бы настоятельно рекомендовал специалистам служб безопасности потратить время и силы на изменение ситуации. Это сторицей окупится.
Злободневная проблема сейчас - риски несоответствия. Со следующего года в силу вступает закон «О персональных данных», и кредитным организациям уже пора подумать о том, как соответствовать новым требованиям. От этого никуда не денешься. Мы со своей стороны заинтересованы не только в совершенствовании контроля, но и в обратной реакции, мы хотим наладить диалог с банками и совместно приходить к решению проблем. Понимаю, что к Стандарту Банка России можно относиться по-разному, можно его хвалить, можно ругать. Но вряд ли стоит спорить по поводу того, нужен он или нет. Надо исходить из того, что принципы и подходы уже сформулированы, что закон уже есть. Поэтому странными кажутся вопросы о том, будет ли Стандарт обязательным. Банки должны для себя решить, что он уже обязательный. И когда регулирующие органы сделают его таковым, вы будете подготовлены.
Защита корпоративных систем на 40% зависит от организационных мероприятий, на 30% от морально-нравственного состояния общества и общекультурного уровня пользователя. И только на «последние» 30% - от тех технических решений, которые применяются.
Какие цели стоят перед службами безопасности кредитных организаций? Во-первых, это снижение уровня криминальных рисков. Во-вторых, повышение качества работы. Ориентир здесь - минимум затрат при максимуме эффективности. В-третьих, взаимодействия с регуляторами. Не менее важен вопрос стандартизации контроля безопасности. Если мы не стандартизируем оценку собственной деятельности, то оценить ее будет просто невозможно. Классический пример -если мы будем измерять расстояние от Москвы до Петербурга в километрах, а до Воронежа - в милях, мы ничего не сможем сравнить. Стандарты должны быть, причем одинаковые.
Особенность текущего момента, как мы все понимаем, заключается в финансовой нестабильности. Она сказывается и на нашей деятельности, и на деятельности кредитных организаций. Последние исследования показывают, что расходы банков на содержание работников служб безопасности практически не уменьшились. И о массовых увольнениях этих
специалистов я не слышал. Хотелось бы надеяться, что так оно будет и в дальнейшем. Потому что разрушить систему безопасности легко, а создать ее - чрезвычайно сложная задача. Понятно, что в условиях кризиса от чего-то приходится отказываться. Так вот — лучше сосредоточиться на управлении и эксплуатации тех систем, которые есть. Если они уже созданы, если они эффективны, они могут оставаться таковыми в течение нескольких лет. С модернизацией можно подождать.
Андрей Курило
Заместитель начальника ГУБЗИ Банка России
Какие риски наиболее остро ощущаются? Риск инсайдерства в нынешней сложной экономической ситуации возрастает, и тому есть печальные примеры. Также увеличиваются риски несоответствия законам. Это большая проблема, ее разрешение стоит приличных денег. Но делать это необходимо. И конечно, нельзя не отметить явную неготовность банковской системы к выполнению требований закона «О персональных данных». Никому скидок не будет, обратный отсчет пошел. С 1 января 2010 года возникнут риски административного характера. И это надо учитывать.
Мы провели экспресс-исследования на тему информационной безопасности, опросили кредитные организации. Выяснилось, что в 50% российских банков отсутствуют специалисты по информационной безопасности в принципе. Да, какие-то функции выполняются дистанционно, но все это носит фрагментарный характер. В 42% структур функции ложатся на плечи IT-специалистов в качестве дополнительной нагрузки. И только в 8% банков существуют службы по информационной безопасности. И появляется вопрос, как выполнять закон «О персональных данных» в организации, в которой нет ни одного человека, разбирающегося в теме. Это невозможно. А закон исправлять нам никто не даст.
Начать дискуссию