nedvijimost-v-krizis.png

8780 просмотров

Управление рисками финансовой кибербезопасности перейдет под госконтроль?

Данияр Акишев заявил, что регулятор «в тесном взаимодействии с заинтересованными государственными органами» разрабатывает систему кибербезопасности, которая сможет обеспечить защиту всех субъектов финансового рынка

Управление рисками финансовой кибербезопасности перейдет под госконтроль?

Управление рисками финансовой кибербезопасности перейдет под госконтроль?

Несмотря на то, что финансовая система страны считается одной из самых продвинутых отраслей экономики в плане цифровых технологий, она и здесь нуждается в поддержке государства. Так, на прошлой неделе глава Национального Банка Данияр Акишев заявил, что регулятор «в тесном взаимодействии с заинтересованными государственными органами» разрабатывает систему кибербезопасности, которая сможет обеспечить защиту всех субъектов финансового рынка.

«Защита средств банка и клиентов обеспечивается в их собственных интересах. Тем не менее нужно учитывать, что банки не всегда могут противостоять серьезным атакам... В настоящее время госорганами ведется работа по внесению изменений и дополнений в законодательство по вопросам создания и функционирования единой государственной системы киберзащиты, включающей в себя систему отраслевых оперативных центров информационной безопасности и службу реагирования на инциденты информационной безопасности», – заявил председатель правления Национального Банка на совещании по вопросам цифровизации, в котором принял участие глава государства.

Данияр Акишев отметил, что в мажилисе парламента РК находится законопроект, который регламентирует механизмы мониторинга инцидентов в банках второго уровня: «В дальнейшем, в течение трех-пяти лет в целях реализации задач, предусмотренных в законопроекте, будет идти построение единой системы кибербезопасности страны, которая поможет ее участникам эффективно противостоять крупным кибератакам».

Есть ли угроза

Согласно опубликованной на разных ресурсах официальной статистике Государственной технической службы КНБ РК, с 2011 по 2017 год банки и национальные компании страны отразили свыше 79 тыс. кибератак. При этом даже в КНБ не владеют информацией о сумме нанесенного хакерами ущерба.

Эксперты говорят, финансовые организации лишь в крайнем случае публично озвучивают успехи хакеров, так как это всегда провалы банков.

«Давайте посмотрим на суть кибератак. Для людей, которые занимаются атаками на банки, это в первую очередь способ заработать деньги. Люди это достаточно прагматичные, им не нужны ни лишний риск, ни лишние сложности. Поэтому они обычно выбирают более безопасные и простые способы добычи денег. Им не нужна прямая конфронтация с банками, так как это и технически сложнее, и последствия хуже. Злоумышленники стараются выбирать менее защищенное звено – клиентов», – отметил Константин Пак, директор по развитию новых технологий и инноваций Ассоциации финансистов Казахстана.

По его словам, мошенники выбирают в жертвы наименее информированных и технически неподготовленных клиентов БВУ.

«В большинстве случаев для этого не требуется совершать какой-то технический взлом. Методы работают на уровне психологии. Определенные приемы позволяют узнать информацию для доступа в банковские системы, просто правильно выстроив вопросы и, возможно, подделав (не взломав) письмо от банка или страницу сайта. Это классический фишинг.

Бороться с ним можно, либо применяя новые методы аутентификации, не логин/пароль, а, например, биометрию, когда клиент, даже обманутый, при всем желании не сможет передать «код доступа» злоумышленнику. Потому что код доступа – это его лицо, отпечатки пальцев, голос. И второй способ борьбы – это повышение грамотности населения в области информационной безопасности. Двигаться надо, безусловно, обоими путями, и эти меры сейчас заложены в ряд дорожных карт по информатизации, развитию электронной торговли в Казахстане и других», – подчеркнул директор по развитию новых технологий и инноваций Ассоциации финансистов Казахстана.

Два года Первое кредитное бюро продвигает идею биометрической идентификации клиента БВУ, но пока дальше ее одобрения дело не идет.

«Благодаря четвертой волне цифровой революции у нас размываются периметры и границы. Предыдущий этап характеризовался быстрым проникновением интернета в жизнь потребителей. Текущий отличает быстрое и взаимоусиливающее проникновение гораздо более широкого спектра цифровых сервисов, продуктов и систем. По этой причине мы приходим к обществу одного пространства. Если раньше после кибератак на российские банки мы ждали какое-то время (обычно шесть месяцев), то теперь ничего подобного! Иногда хакеры к нам заходят с новыми мошенническими технологиями раньше, чем в Россию. Но там уже в 2018 году крупнейшие банки страны начнут массовый сбор биометрических данных клиентов», – поделился Андрей Воякин, заместитель генерального директора ТОО «Первое кредитное бюро».

Андрей Воякин в сфере безопасности цифровых технологий работает с 1996 года. Один из самых опытных экспертов в нашей стране считает, что наибольший вред банкам приносят ни кибератаки хакеров, а инсайдеры, которые могут продать любую конфиденциальную информацию.

«Протестные люди, сотрудники, недовольные своим положением или руководством, способны принести больше вреда, чем самый изощренных хакер», – сказал заместитель генерального директора ПКБ.

Хорошо, что нет денег

По его мнению, от наплыва хакеров и охотников за личными данными казахстанцев нас спасают неурядицы на финансовых и сырьевых рынках.

«У нас снизился объем денежных поступлений в страну. Вспомните 2005–2006 годы. Председатели правления первых десяти банков каждый год ездили на road show за рубеж и привозили в Казахстан $2–3 млрд. Эти деньги не только в экономику вкладывались – на них смогли поживиться и хакеры, и инсайдеры. Сейчас свободных средств в стране намного меньше. Из-за этого мы не так интересны международным мошенникам. Кроме того, из-за того что деньги начали считать на всех уровнях, в прошлое отходит институт родственных и дружеских связей. Теперь хорошие руководители берут на работу, как правило, не двух, а одного человека, и он профессионал», – отметил Андрей Воякин.

По его мнению, государству стоит воспользоваться относительным затишьем и приступить к созданию единой системы защиты от кибератак, которая будет поддерживать «виртуальные щиты» финансовых учреждений страны.

С этим мнением не согласен представитель АФК Константин Пак.

«В мире пока нет прецедентов, когда какая-то одна система была бы способна защитить все информационный ресурсы, даже узкоспециализированные. Кибербезопасность – это всегда комплекс мер, поэтому вряд ли можно говорить о построении какой-то централизованной системы безопасности. Скорее нужен единый подход, соблюдение ряда стандартов на всех уровнях, начиная от государства, далее через коммерческий сектор непосредственно для пользователей. Так что «купить волшебную систему за N долларов и решить вопрос» не получится», – заключил Константин Пак.

Альтернативный путь

В соседней России Центробанк, закрывая один БВУ за другим, не рефлексирует и не прикладывает усилий для создания единого киберщита, здесь пошли другим путем. ЦБ намерен ужесточить требования к кибербезопасности, и с 2018 года форма отчетности Банку России обяжет БВУ раскрывать экономические показатели, связанные с кибератаками. Таким образом, финорганизации будут передавать регулятору суммы, на которые хакеры покушались в отчетный период, объем хищений со счетов клиентов и информацию о средствах, возвращенных гражданам.

Безусловно, это жесткое требование потребует от финансистов серьезных капиталовложений, которые для маленьких банков могут отказаться критичными.

Но и финансисты Казахстана не сидят сложа руки. Так, Первое кредитное бюро создало и успешно внедряет систему межбанковской базы данных по операционным рискам.

«Каждый банк фиксирует у себя любые операционные инциденты – от утечки информации до ограбления банкомата. После этого финансовая организация всегда проводит какие-то корректировки в своей работе, меняет бизнес-процессы. У небольших банков меньше опыта, меньше инцидентов, но риски их из-за недостатка информации велики. Поэтому мы создали систему, которая позволяет в режиме онлайн обмениваться этой информацией. При обмене не разглашаются персональные данные банка, его клиентов или сотрудников. Первая задача этой базы – своевременное получение информации (что очень важно при кибератаках). Во-вторых, база данных может стать аналитическим инструментом для среднего и маленького банка. Они смогут получать всю картину по операционным инцидентам в стране и видеть, как решались проблемы в других БВУ», – рассказала о новом проекте директор по развитию бизнеса ТОО «Первое кредитное бюро» Асем Нургалиева.

Пока межбанковская база данных по операционным рискам работает в тестовом режиме лишь в одной финансовой организации. Еще в трех структурах идет техническая подготовка к ее внедрению.

«Надо подготовить специалистов, показать саму программу, ее особенности. Думаю, в 2018 году проект начнет работать в полную силу», – заключила Асем Нургалиева.

Рассказывая президенту о создании эффективной системы финансовой кибербезопасности, Данияр Акишев не вдавался в подробности и не пояснил, идет ли речь, как в случае с Россией, об ужесточении контроля или о создании при помощи регулятора и силовых структур «единого киберщита». Думаю, не стоит гадать, тем более что у финансистов в мажилисе есть лобби и поддержка, и мало кто из владельцев банков готов встретить представителей КНБ с распростертыми объятиями и тем более подпустить их к святая святых – дата-центрам или внутренним системам. И выбирая из двух зол – материальные затраты или доступ к данным, финансисты Казахстана быстрее и охотнее распрощаются с деньгами.

Читайте "Курсив" там, где вам удобно. Самые актуальные новости из делового мира в Facebook, Telegram и Яндекс.Дзен

kursiv_in_telegram.JPG

banner_wsj.gif


Материалы по теме


Читайте в этой рубрике

 

#Коронавирус в Казахстане

Читайте нас в TELEGRAM | https://t.me/kursivkz

kursiv_instagram.gif

Читайте свежий номер

kursiv_opros.gif

kursiv_opros.gif