Безопасность под прицелом: как работает система информационной безопасности в банках

Большое количество инцидентов в ИБ подрывают имидж компании, и этот вопрос более актуален для банков

Фото: Офелия Жакаева

Профессиональная банковская площадка, на которой бы поднимались вопросы ИБ, могла стать весьма полезным инструментом для всего сектора. Управляющий директор ИТ группы АО «Банк ЦентрКредит» Нурлан Сарсебеков поделился взглядом на безопасность в банках.

- Нурлан, расскажите насколько актуальны вопросы цифровой безопасности в банках? Какие риски сегодня стоят перед финансовыми организациями?

На фоне высокой конкуренции банки наращивают свой технологический потенциал. Фактически на ежедневной основе создаются новые продукты и сервисы, как это модно сейчас говорить, в цифровом формате. Т.е. в базисе современных финансовых сервисов большая доля технологичности, представленной в виде набора ИТ решений. А любое хорошее ИТ решение должно разрабатываться с учетом требований информационной безопасности. Все больше углубляясь в трансформацию традиционного банкинга, занимаясь цифровизацией процессов и услуг мы, банки, не должны забывать, что в фундаменте банковского бизнеса изначально заложен принцип надежности и стабильности. Следовательно, создавать современные финансовые сервисы без учета вопросов информационной безопасности - это подрывать основы банковского дела.

Если говорить о рисках технологических, то кибер угрозы растут, так как это обратная, хочется сказать «темная», сторона развития ИТ, развивающаяся параллельно. Но я считаю это естественным и, по большому счету, нормальным явлением. С одной стороны угрозы и технологии, направленные на нанесение ущерба, конечно негативный аспект, но с другой, в ответ на эти угрозы идет колоссальное развитие соответствующих технологий. Тут важно отметить, что к вопросу о рисках информационной безопасности, мы должны подходить системно и комплексно. Недостаточно просто в ответ на техно угрозу, установить техническую систему. Необходимо прорабатывать вопросы организации операционных процессов ИБ, и конечно, постоянно повышать компетенции специалистов ИБ.  Только при соблюдении правильного баланса между технологиями, процессами и уровнем компетенции специалистов можно организовать эффективную систему защиты от рисков ИБ.

- Сталкивались ли банки с такой историей?

Конечно в истории современного банкинга много кейсов связанных с событиями в области нарушения информационной безопасности.  В том, числе есть печальный опыт и в Казахстане. Но я могу отметить, что банковский сектор в области развития Информационной безопасности достаточно зрелый. У многих банков, есть отдельные службы ИБ, выстроены или выстраиваются процессы поддержки и обеспечения высокого уровня информационной безопасности. Есть программы развития внутренней компетенции. Банки проходят на периодической основе аудиты на соответствие международным стандартам и внутренним стандартам крупных компаний, таких как PCI DSS, ISO. Так же есть нормативные документы регулятора в виде отдельных требований и рекомендаций к участникам банковского рынка по вопросам обеспечения должного уровня ИБ. Клиентов банков в РК могу уверить в том, что в большинстве структур финансового сектора РК, работа, в направлении обеспечения информационной безопасности, проводится регулярно и под надзором, соответствующих компетентных органов.

- Какой экономический ущерб несут банки в результате кибератак?

Ущерб может быть разным. Помимо аспекта, связанного с прямыми финансовыми потерями, очень большое количество инцидентов в ИБ подрывают имидж компании, и этот вопрос более актуален для банков. Доля прямых финансовых потерь, на самом деле минимальная.  Но, как я упоминал, самое главное требование которое предъявляет клиент к банкам, это его надежность. Если надежность поставлена под сомнение, это может привести к оттоку клиентов.  Именно с этой позиции, любой даже самый безобидный инцидент ИБ, может нанести больший ущерб банку подорвав его имидж.  Кто будет хранить деньги в сейфе, который взломали? Обидно только, что иногда даже попытка взломать сейф, может вызывать сомнения клиентов в его надежности. Очень важно своевременно и адекватно реагировать, и отрабатывать такие вопросы. И без правильно организованных процессов тут никак.

- На какие системы чаще всего осуществляются атаки?

На сегодняшний день противозаконным действиям больше других подвергаются устройства дистанционного банковского обслуживания. И здесь срабатывает обычная психология. Что такое банковский банкомат или терминал самообслуживания? Это ящик с деньгами. Соответственно у людей, периодически возникает желание подорвать систему безопасности, но как правило это редко заканчивается большим финансовым ущербом для банка. Такие взломщики в основном наносят ущерб оборудованию.   Тут конечно идет речь о физической атаке.

Другое дело это цифровое поле, и тут количество всевозможных инцидентов, от компьютерных вирусных программ, атак, приводящих к отказу от обслуживания, до взлома системы и получения бизнес критической информации, значительно превышает физические. Другое дело, что большая доля всевозможных технических инцидентов обрабатывается и решается современными техническими системами в рамках организованных операционных процессов. Уровень зрелости этих процессов зависит от конкретной компании или банка.

- На ваш взгляд, почему банки не раскрывают данные об атаках и нужно ли это делать?

К вопросам уведомления широкой публики об инцидентах ИБ необходимо подходить очень аккуратно. Я скорее, против такой практики, и не потому, что сомневаюсь в уровне ИБ в Банках и компетенции соответствующих специалистов.  Подобные сообщения могут вызывать неправильную реакцию со стороны клиентов и партнеров, ввиду возможного отсутствия достаточной компетенции в технических вопросах. Безобидный инцидент, может обернуться в потерю доверия к компании, просто из-за неверного толкования произошедшего события.

Банки ежедневно сталкиваются с какими-то техническими проблемами и сбоями - 100% надежной системы не существует. Поэтому, информирование о таких случаях, при недостаточном понимании глубины этих процессов со стороны клиентов, может сыграть злую шутку с банками.  По этой причине я не сторонник, таких «благих инициатив» не хотел бы чтобы создавались условия для возможной дискредитации, не только какой-то конкретной финансовой структуры, но и системы в целом.

С другой стороны, создание отдельной профессиональной площадки, на уровне банковского сообщества, на которой бы поднимались вопросы ИБ, вырабатывались общие меры по противодействию, вырабатывались стандарты и т.п. безусловно, было бы полезным. Я больше за формат, когда узко специализированные вопросы, обсуждались на профессиональных площадках.  

- Расскажите, какие направления в IT-сегменте будут развивать банки в текущем году? К чему готовиться клиентам?

Технологическая часть очень сильно развивается, это очевидно. Происходит совершенствование банковских мобильных приложений, систем персонального банкинга. Все это будет естественно развиваться, будут дополнительно вводится какие-то новые элементы для облегчения процессов взаимодействия между банком и клиентом.

Интересное направление - это мобильные решения для малого и среднего бизнеса, которые будут нацелены на то, чтобы клиенты без посещения банка выполняли как можно больше финансовых операций. 

- К слову, на прошлой неделе Национальный банк РК сообщил о запуске системы по удаленной идентификации личности для финансового сектора в тестовом режиме. Расскажите подробнее об этой инициативе?

Цифровая аутентификация позволит любому гражданину РК получить доступ к услугам без физического посещения банка. Сейчас мы этого сделать не можем поскольку по правилам нужны определенные документы с физической подписью.

Безусловно, мы очень заинтересованы в том, чтобы решения по удаленной идентификации появились как можно скорее. Также мы ожидаем, создание новой технологической платформы поспособствует изменениям в законодательстве, пересмотру требований регулятора. На наш взгляд, эта важная работа, которая создаст условия для следующего этапа развития финуслуг в Казахстане.  

 

Читайте "Курсив" там, где вам удобно. Самые актуальные новости из делового мира в Facebook, Telegram и Яндекс.Дзен

banner_wsj.gif

 

Как изменится банк Kassa Nova после вхождения в состав Freedom Finance

Банк начнет предоставлять кастодиальные услуги

Фото: kursiv.kz

 Глава Freedom Holding Corp. Тимур Турлов рассказал, чем новый банк будет отличаться от других игроков на рынке.

Напомним, компания Freedom Holding Corp. во вторник, 4 августа, объявила о приобретении АО «Банк Kassa Nova», входящего в состав АО «Forte Bank». По завершении сделки банк Kassa Nova станет дочерней компанией АО «Freedom Finance». Ожидается, что сделка будет закрыта к концу года.

Комментируя сделку во вторник, Турлов отмечал, что приобретаемый холдингом банк будет в первую очередь сфокусирован на бизнесе инвестиционного банка.

Глава Freedom Holding Corp. представил свое видение банка после покупки, выступая в сегодня перед клиентами и сотрудниками.

«Мы считаем, что будем в состоянии построить эффективный цифровой банк с хорошими карточными продуктами и простым доступом к инвестициям, когда люди смогут со своей банковской карты инвестировать на фондовом рынке», - отметил Турлов.

По его словам, холдинг планирует получить кастодиальную лицензию для своего банка.

«Сейчас кастодиальные издержки для подавляющего большинства игроков очень высокие, и это сильно сдерживает глобальную конкурентоспособность наших игроков. Мы постараемся перестроить базовую инфраструктуру, поработать над снижением операционной себестоимости и над радикальным ускорением этих процессов», - отметил глава Freedom Finance.

После завершения сделки Банк Kassa Nova больше не будет заниматься кредитованием в прежнем виде. Согласно условиям сделки, нынешний владелец банка, АО «Forte Bank», приобретет весь кредитный портфель Kassa Nova в размере 62 млрд тенге.

«Бизнес кредитования мы не поддерживаем, это не является нашей экспертизой, так же, как и банка в Москве (Freedom Finance Bank прим. ред.). Мы специализируемся на других направлениях, поэтому не планируем осуществлять кредитование ни своих структур, ни малого и среднего бизнеса в текущем формате», - отметил председатель правления АО «Freedom Finance» Сергей Лукьянов.

Вместе с тем, это не означает, что банк вообще не будет заниматься кредитованием. Инвестиционные банки предоставляют продукты в разных сегментах, в том числе в сегментах потребительского кредитования и ипотеки. При этом они не держат кредиты на своем балансе, а превращают их в ценные бумаги и продают на фондовом рынке.

«Даже пулы займов по кредитным картам могут продаваться на бирже каким-то крупным игрокам. Есть маленький региональный банк, он сделал выдачу каких-то займов и продал их крупному банку. Это – тоже интересный и хороший бизнес. Кто-то выдает займы, кто-то зарабатывает на том, что просто держит их на балансе и имеет доступ к дешевым деньгам», - пояснил Турлов.

Он отметил, что в Казахстане есть банки, накопившие большой объем свободных денег.

«Мы хотим дать возможность в том числе и нашим конкурентам и партнерам получить больший спектр интересных инструментов, которым они будут доверять, который будет хорошо структурирован и позволит зарабатывать больше и нам, и акционерам других крупных банков. В этом тоже одна из ключевых основ инвестиционного банка», - подчеркнул Турлов.

Отметим, Freedom Holding Corp. по итогам 2020 фискального года увеличил чистую прибыль втрое, до $22 млн.

Читайте "Курсив" там, где вам удобно. Самые актуальные новости из делового мира в Facebook, Telegram и Яндекс.Дзен

banner_wsj.gif

 

#Коронавирус в Казахстане

Читайте нас в TELEGRAM | https://t.me/kursivkz

Читайте свежий номер

kursiv_uz_banner_240x400.jpg