КИБЕРБЕЗОПАСНОСТЬ В РОССИЙСКОЙ БАНКОВСКОЙ СФЕРЕ И ОПЫТ
ЗАРУБЕЖНЫХ СТРАН
Д.В. Романченко, студент
Финансовый университет при Правительстве Российской Федерации (Россия, г. Москва)
Б01: 10.24411/2411-0450-2019-10872
Аннотация. В статье характеризуется кибербезопасность со стороны финансовых организаций Российской Федерации и зарубежных стран. Показана степень ответственности банков перед физическими и юридическими лицами, формирование стандартов безопасности, зарубежные потери финансовых организаций и меры по их предотвращению. Кибербезопасность понимается как необходимость, популярность которой связывается с увеличением интереса данной области для преступлений. Определено, что дефицитный характер взаимодействие в сфере кибербезопасности и не комплексное нормативно-правового регулирования являются препятствием к широкому его применению в банковской сфере Российской Федерации.
Ключевые слова: кибербезопасность, банковская сфера, опыт зарубежных стран, финансовые организации, киберриски.
В настоящее время все чаще слышатся слова о безопасности в цифровой сфере. Президент России часто говорит: «Цифровая экономика - это не отдельная отрасль, по сути это уклад жизни, новая основа для развития системы государственного управления, экономики, бизнеса, социальной сферы, всего общества, - отметил он. - Формирование цифровой экономики -это вопрос национальной безопасности и независимости России, конкуренции отечественных компаний» [1]. Конечно, это и вопрос безопасности национальной экономики, который в нашей стране стоит очень остро. В каком состоянии находится кибербезопасность в России, отношение к данному вопросу в зарубежных странах -эти вопросы будут рассмотрены в статье.
Перед началом исследования данного вопроса, веду основные понятия кибербе-зопасности. Киберпространство формулируется как комплексная виртуальная среда, сформированная в результате действий людей, программ и сервисов в сети Интернет посредством соответствующих сетевых и коммуникационных технологий. Сущностями киберпространства могут быть виртуальные деньги, аватары, облака, виртуальные посольства, виртуальные преступления, виртуальные развлечения и т.д.
Тезаурус кибербезопасности интегрирован с понятиями информационной безопасности, безопасности приложений, сетевой безопасности, безопасности Интернет, а также безопасности критической информационной инфраструктуры, кибератака.
Безопасность приложений определяется в отношении программных приложений, а также информационно-программных ресурсов и процессов, участвующих в их жизненном цикле. Безопасность сетей связана с проектированием, внедрением и использованием сетей внутри организации, между организациями, между организациями и пользователями. Безопасность в сети Интернет касается интернет-услуг и соответствующих систем информационно-коммуникационных технологий и сетей. Безопасность критической информационной инфраструктуры характеризует защищенность от соответствующих угроз, в том числе угроз информационной безопасности [2, с. 29-31].
Кибератака - это преднамеренная эксплуатация компьютерных систем, технологических предприятий и сетей. Хакеры (киберпреступники) используют вредоносный код и программное обеспечение для изменения компьютерного кода, логики или данных, что приводит к разрушительным последствиям, которые могут по-
ставить под угрозу данные и привести к киберпреступлениям, таким как финансовая информация, медицинские данные, кража личных данных или проникновение в систему.
Российские банки и другие финансовые организации пока еще не научились управлять киберрисками: у всех проверенных ЦБ в 2019 году на соответствие требованиям кибербезопасности 75 банков были обнаружены нарушения. Можно сказать, проблема отчасти заключается в том, что зачастую руководители банков и компаний скидывают ответственность за ки-берриски на менеджеров. У тех, в свою очередь, не хватает полномочий на решение данной проблемы. Для защиты всех элементов современных систем нужно не только иметь какую-то очень мощную компетенцию внутри компаний, но для этого нужна очень серьезная кооперация в банковской сфере в общем.
Нельзя сказать, что государство не реагирует на современные реалии, так как ЦБ объявил об ужесточении требований по защите средств банков и их клиентов от киберпреступников: если раньше кредитные организации должны были обеспечивать информационную безопасность только при проведении операций по переводу денег, то теперь под это требование подвели еще и процедуры по привлечению вкладов.
Одним из последних нововведений стало то, что Банк России ужесточает требования по защите средств банков и их клиентов от киберпреступников. Об этом говорится в положении ЦБ, опубликованном 21 мая. Документ одобрен руководством ЦБ, ФСБ и Федеральной службы по техническому и экспортному контролю.
В 2018 году убытки компаний по всему миру от кибератак достигли $1,5 трлн. В целом, отмечают аналитики банка, в среднесрочной перспективе, с 2019 по 2030 год, ожидается экспоненциальный рост ущерба от кибератак. В исследовании страховой компании Zurich Insurance Group, проведенном совместно с Atlantic Council, ущерб от злоумышленников и затраты на обеспечение кибербезопасности в интернете к 2030 году оценили в $120
трлн. Компания Group-IB, провела исследование, которое показало, что 74% российских банков не готовы к атакам хакеров. Причину они видят в низком уровне организации защиты. Кибератаки на финансовую сферу с лета 2017 по лето 2018 года нанесли порядка 3 млрд руб. ущерба.
Такие цифры указали на низкий мировой уровень кибербезопасности, что приводит к формированию фундамента в России. Принципы стандартного и усиленного уровней защиты прописаны в ГОСТе 2017 года. Основные различия касаются того, нужно ли для защиты информации применять технические меры (с помощью аппаратных и программных систем) или же организационные (вводить разного рода ограничения на работу информационной системы). Для разных видов банков имеются, например, следующие ограничения:
- крупные банки, имея усиленный уровень защиты, должны автоматически блокировать учетные записи уволенных сотрудников и тех, кто более 90 дней не находится на рабочем месте;
- со стандартным уровнем защиты достаточно однофакторной аутентификации пользователя при подключении к системам банка, с усиленным нужна уже многофакторная;
- помещения с устройствами, дающими доступ к системам банка, должны быть оборудованы средствами контроля доступа, видеонаблюдением и сигнализацией при усиленном уровне защиты;
- с усиленным уровнем защиты требуется автоматическая фиксация неавторизованного подключения к банковскому Wi-Fi;
- обновление ПО систем защиты при усиленном уровне должно быть автоматическим, при стандартном же достаточно ручного (организационного) способа;
- другие ключевые требования - внедрение усиленной электронной подписи клиента, выполнение всех требований ФСБ при работе со средствами криптоза-щиты, уведомление ЦБ обо всех инцидентах информбезопасности, а также регистрация действий клиента и работников банка при обработке платежной информации [3].
Также хотелось бы показать, как высоко ценится кибербезопасность на примере американской компании, такой как Palo Alto Networks. Одна из самых высоких средних зарплат (учитывается суммы за год) в 2018-м была в компании специализирующаяся на кибербезопасности и равнялась $223 тыс.
В 2016 году нарушения безопасности данных обошлись американским предприятиям почти в 4 млрд долл. и выявили в среднем 24000 записей на инцидент [4]. В Великобритании защита от кибератак и устранение ущерба, нанесенного хакерами, проникающими в системы безопасности, обходится бизнесу в 34 млрд фунтов стерлингов в год. Главные инженеры, участвовавшие в опросе, рассматривали кражу корпоративной интеллектуальной собственности в качестве своего шестого приоритета с точки зрения основных проблем кибербезопасности, и почти 70% считают, что их нынешняя политика в области ки-бербезопасности негативно влияет на инновации компании. Главные проблемы руководителей Великобритании - это расходы на утечку данных, ущерб репутации и потерянный доход из-за простоев [5]. Приблизительно 3,2 млн дебетовых карт были взломаны в 2016 году в результате взлома сервера коммутатора ATM Hitachi. В результате Союзный банк Индии понес финансовые потери в размере около 171 млн. долл. США. Эти атаки в сочетании с экспоненциальным ростом финтех-платформ и решений, отчасти поддерживаемых демонетизацией, подчеркивают необходимость активных инициатив в области ки-бербезопасности. В этой связи выступление министра финансов Союза Аруна Джейтли в этом году, в котором было объявлено о создании отраслевой группы реагирования на компьютерные инциденты для финансов (Cert-Fin) [6].
Согласно правилам критической информационной инфраструктуры, разрабо-
танным в 2013 году в соответствии с Законом об информационных технологиях 2000 года, сектор банковских, финансовых услуг и страхования (BFSI) является одной из наиболее важных областей, подверженных кибератакам. По данным PwC, в 2014 году JPMorgan Chase (83 млн учетных записей), Heartland Payments Systems (134 млн учетных записей), Global Payments, Inc. (~ 1,5 млн учетных записей), Citigroup (360000 учетных записей) сообщили о ки-берпреступности в 2014 году.
Сектор банковских и финансовых услуг подвергается почти в три раза большему количеству кибератак, чем любая другая отрасль. Банки там, где деньги. Кроме того, банки также располагают данными миллионов пользователей. Таким образом, для киберпреступников атакующие банки предлагают множество способов получения прибыли за счет вымогательства, кражи и мошенничества. Все чаще финансовые организации работают в состоянии постоянной атаки, в результате чего ИТ-отделы и службы безопасности испытывают трудности с возможностью сбора, распространения и интерпретации вредоносных событий [7].
Международная практика дает нам ценные указания и перечень мер по повышению кибербезопасности в Интернет, придерживаясь в целом рискориентированно-го подхода в области информационной безопасности. Использование рекомендаций стандарта, видимо, поможет финансовым организациям спланировать работы по повышению уровня информационной безопасности ресурсов компьютерных систем, подключенных к сетям общего доступа. Нельзя не отметить, что, первые версии киберзащиты во многом представляет фрагментарную интерпретацию традиционных организационно-технических мер, зачастую мало систематизированных и неполных, что является основной причиной их малой распространенности.
Библиографический список
1. Путин: формирование цифровой экономики - вопрос нацбезопасности РФ. [Электронный ресурс] // URL: https://tass.ru/ekonomika/4389411 (дата обращения 13.06.2019)
2. Марков Алексей Сергеевич, Цирлов Валентин Леонидович. Руководящие указания по кибербезопасности в контексте ISO 27032. 2014. С. 29-31.
3. Росстандарт. ГОСТР 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения (ред. от 1 ноября 2018)
4. Интернет вещей собирается изменить все о кибербезопасности. Harvard Business Reviev. [Электронный ресурс] // URL: https://hbr.org/ (дата обращения 17.06.2019)
5. Обследование Veracode подчеркивает влияние киберпреступности на глобальном уровне. Veracode. [Электронный ресурс] // URL: https://www.veracode.com/ (дата обращения 13.06.2019)
6. Проектирование кибербезопасности для финансового сектора. Livemint. [Электронный ресурс] // URL: https://www.livemint.com/ (дата обращения 20.06.2019)
7. Кибербезопасность в секторе банковских и финансовых услуг - угрозы IoT, потенциальные решения и блокчейн. Stoodnt. [Электронный ресурс] // URL: https://www.stoodnt.com/ (дата обращения 20.06.2019)
CYBERSECURITY IN THE RUSSIAN BANKING SECTOR AND THE EXPERIENCE
OF FOREIGN COUNTRIES
D.V. Romanchenko, student
Financial university under the Government of the Russian Federation (Russia, Moscow)
Abstract. The article characterizes cybersecurity on the part of financial organizations of the Russian Federation and foreign countries. The degree of responsibility of banks to individuals and legal entities, the formation of security standards, foreign losses offinancial institutions and measures to prevent them. Cybersecurity is understood as a necessity, the popularity of which is associated with the increasing interest in this area for crimes. It is determined that the scarce nature of interaction in the field of cybersecurity and not a comprehensive regulatory framework is an obstacle to its wide application in the banking sector of the Russian Federation.
Keywords: cybersecurity, banking, experience of foreign countries, financial institutions, cyber risks.