Кибербезопасность под контролем
Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) приступил к активному участию в проверках финорганизаций. Прежде проверка информационной безопасности банков осуществлялась на основе представленной ими документации. А с новым подходом можно будет проверять, как на практике реализуются заявленные тем или иным банком в процессе самоаттестации меры, направленные на борьбу с киберугрозами.
От участников финрынка стало известно об участии специалистов FinCERT в проверках банков наряду с работниками, представляющими главную инспекцию Банка России (ГИБР). Эта информация подтверждена и Центробанком. ЦБ создал FinCERT для того, чтобы организовать обмен информацией между правоохранительными структурами, регулятором и банками про атаки и подготовить рекомендаций по тому, как от них защититься. По словам представителя пресс-службы ЦБ, при проверках банков в рамках полномочий Банка России может быть проведена и проверка вопросов, связанных с положением 382-П, посвященном требованиям к обеспечению защиты информации при денежных переводах. Эти проверки могут проводиться с привлечением специалистов ГУ безопасности и защиты информации ЦБ (ГУБиЗИ), структырным подразделением которого является FinCERT. Как сказал заместитель начальника ГУБиЗИ Артем Сычев, специалисты FinCERT приглашаются, если это необходимо, как эксперты, решающие и анализирующие "технические вопросы", проявлять самостоятельность в инициировании проверок FinCERT не будет. До конца года запланировано проведение примерно ста проверок банков в направлении информационной безопасности.
В банках, где уже начались проверки с участием сотрудников FinCERT, отмечают высокое внимание к вопросам, связанным с информбезопасностью. При этой проверке осматривается оборудование, программное обеспечение, тогда как раньше они носили чисто документальный характер. Привлечение специалистов FinCERT к проверкам, по мнению участников рынка, связано с тем, что банками нередко недостаточно хорошо соблюдаются их же собственные правила информационной безопасности. Имели место случаи, когда банк сам аттестовал информбезопасность, после чего его успешно атаковали. Появляются вопросы, а насколько соответствует реальная ситуация в банке той, что ранее была представлена Центробанку. По сведениям ЦБ, в России самоаттестовано по информбезопасности порядка 300 банков.
Как говорят участники рынка, в ходе инспекций с участием сотрудников FinCERT осуществляется проверка того, как соблюдаются не только требования, но и рекомендации ЦБ. По словам вице-президента АРБ "Россия" Алины Ветровой, какие-то документы регулятора являются сугубо рекомендательными, при проверках обращается внимание и на соответствие им, когда банк занимается соответствующими операциями, что, в свою очередь, ведет к возрастанию рисков хищений по ним. Стоит отметить, что рекомендациями ЦБ по информационной безопасности уже используют почти 500 банков страны.
Как считают участники рынка, в скором времени стоит ожидать существенного роста активности FinCERT в проверках банков и выхода на новый уровень. По словам первого заместителя председателя ЦБ Георгия Лунтовского, сейчас регулятор занят подготовкой ряда требований и стандартов в сфере информбезопасности. С предполагаемыми изменениями на уровне законодательства, а также принятием ГОСТа, обязательного для исполнения, мы уже в этом году существенно продвинемся вперед.
Если ЦБ придаст рекомендациям FinCert обязательный характер, значит, он проконтролирует и то, как они будут выполняться. Уже сегодня специалистами FinCert ведется работа в пилотном режиме, чтобы после придания рекомендациям обязательности, они могли приступить к работе в полную силу. На сегодняшний день в FinCERT работают 16 человек, физически не способных участвовать в проверках, если их будет много. На официальном уровне в ЦБ не говорят про глобальное расширение штата FinCERT, но по некоторым наблюдениям, в ближайшее время ее штат может увеличиться примерно до 50 чел.
По мнению экспертов, из-за активного привлечения FinCERT к проверкам банков, небольшие игроки могут столкнуться со сложностями. По словам заместителя руководителя Zecurion Александра Ковалева, оценив затраты банков, можно уверенно сказать, что банки из первых двух сотен выполнят все требования ЦБ по информационной безопасности. А вот небольшим банкам сделать это будет сложнее ввиду того, что их бюджеты ограничены.
