Інформаційна безпека в українських банках: ініціативи НБУ очима практика

4 жовтня 2017 року опубліковано Постанову Національного банку України «Про затвердження Положення про організацію заходів щодо забезпечення інформаційної безпеки в банківській системі України» (далі – Постанова №95). Українські банки отримали час до 1 березня наступного року, щоб привести власні системи інформаційної безпеки у відповідність до вимог, а в окремих випадках – побудувати їх з нуля.

Про особливості організації управління інформаційною безпекою в комерційних організаціях розповідає Юрій Лисак, фахівець з інформаційної безпеки української ІТ-компанії “Innovation Development HUB”.

Досьє. Юрій Лисак

Посада: Chief Information Security Officer.

Компанія: “Innovation Development HUB”, українська ІТ-компанія.

Досвід роботи в сфері інформаційної безпеки: 17 років.

Спеціалізація:

– впровадження та сертифікація систем управління інформаційною безпекою (стандарт ISO 27001);

– аудит інформаційних систем і архітектури інформаційної безпеки;

– організація проведення експертизи засобів технічного і криптографічного захисту інформації.

Сертифікований фахівець:

по системам менеджменту інформаційної безпеки, внутрішній аудитор систем менеджменту інформаційної безпеки (ISO / IEC 27001: 2005/27001: 2013);
по системам менеджменту безперервності бізнесу (ISO 22301);
внутрішній аудитор (ISO 9001).

 

– Юрію, чи варто розглядати Постанова №95, перш за все, як реакцію на актуальні кіберзагрози, з якими зіткнулася наша країна останнім часом?

– На мою думку, НБУ на сьогодні – це найбільш прогресивний державний орган з точки зору створення нормативних рамок інформаційної безпеки, причому, відповідно до міжнародних стандартів. Саме НБУ був ініціатором впровадження в 2010 році адаптованого під наші реалії стандарту ISO / IEC 27001 – в якості галузевого банківського стандарту. Однак, підкреслю: прогресивний державний орган в плані розробки і прийняття вимог, але ось безпосередньо впровадження та контроль дотримання вимог до сих пір залишали бажати кращого.

Як наслідок, прийняття Постанови №95, як мені здається, – це спроба «вдихнути більше життя» в уже існуючі вимоги з інформаційної безпеки. Безсумнівно, резонансні інциденти інформаційної безпеки додатково стимулювали прийняття Постанови №95, але її розробка почалася задовго до атак WannaCry і Nyetya, а проект для обговорення був доступний всім бажаючим.

Що стосується своєчасності … Краще запізніла реакція, ніж подальше ігнорування загроз. Довгий час ставлення до інформаційної безпеки формувалося за залишковим принципом. Є надія, що остаточний перелом ситуації почнеться якраз з банків, які вже давно в лідерах по застосуванню інформаційних технологій.

 

– Чи є в цьому зв’язку будь-які зобов’язання України перед Європейським Союзом? І в цілому, як регулюється управління інформаційною безпекою в європейських країнах?

– Найголовнішим в цьому відношенні, як мені здається, має бути не прагнення формально виконати наші зобов’язання перед зовнішніми партнерами. Побудова системи управління інформаційною безпекою вже давно стало внутрішньою, усвідомленою потребою як державного сектора, так і бізнесу. Хочеться вірити, що Україна насамперед вирішує свої власні завдання.

Що стосується європейської практики, то вимоги ЄС щодо захисту конфіденційної інформації актуальні для всіх без винятку організацій і установ. Документально вони оформлені у вигляді Регламенту Європейського парламенту і Ради Європейського Союзу «Про захист фізичних осіб при обробці персональних даних і про вільний обіг таких даних» №2016 / 679 від 27 квітня 2016 р дія якого розпочнеться з 25 травня майбутнього року. У нас є всі можливості і досить часу, щоб привести системи управління інформаційною безпекою у відповідність до вимог ЄС.

Також є ряд специфічних вимог, які можна застосувати безпосередньо до банків України. Це вимоги PCI DSS (Payment Card Industry Data Security Standard) до забезпечення безпеки платіжних систем, а також окремі положення стандарту 27001 і т.п. Постанова №95 більшою мірою орієнтоване якраз на 27001, а також ряд нормативних актів НБУ, спрямованих на забезпечення фізичної безпеки банків.

 

Наскільки специфіка фінансової діяльності визначає особливості управління інформаційною безпекою саме в банках?

– Почнемо з того, що підхід до організації інформаційної безпеки визначається трьома основними факторами. Перший – це особливості бізнес-процесів в організації. Другий – специфіка інформації, яка є в розпорядженні і обробляється. І третій – це коло осіб, допущених до обробки інформації.

У найзагальнішому розумінні, банки оперують чужими грошима, щоб «створити» свій прибуток. Тому інцидент інформаційної безпеки в банку в більшості випадків призводить до реальних втрат реальних грошей. Ще раз: ні до недоотримання прибутку, а до прямих збитків. Не будемо забувати і про репутаційні втрати, штрафні санкції, тощо. Постанова №95 уточнює поняття «критичний бізнес-процес банку», навколо якого і повинна будуватися вся система управління інформаційною безпекою.

Другий момент. Банки оперують персональними даними клієнтів. У нашій реальності, мабуть, саме банки володіють найбільшим обсягом інформації про кожного з нас. Будучи клієнтом банку, ми всі даємо згоду на обробку персональних даних, не замислюючись, хто і як буде їх обробляти і зберігати. Це теж завдання системи управління інформаційною безпекою.

Далі. Важливо пам’ятати, що в рамках роботи систем банку задіяні звичайні користувачі, далекі від питань безпеки. Відповідно, щоб уникнути можливих проблем і перебоїв в роботі систем для користувачів повинні бути розроблені єдині вимоги з управління обліковими записами, парольної політики, аутентифікації і т.п.

В кінцевому підсумку, банківська система – це частина критичної інфраструктури держави, збої в роботі якої можуть привести до плачевних наслідків для всієї фінансової системи.

 

– Як на даний момент йдуть справи з інформаційною безпекою в українських банках?

– Українські банки прагнуть не афішувати випадки інцидентів з інформаційною безпекою, що цілком зрозуміло. Тому судити про реальний стан справ можна лише за непрямими ознаками. Наприклад, під час атаки вірусу Nyetya багато банків істотно обмежили функціонал для користувача онлайн-систем, і навіть банкоматів і терміналів самообслуговування. В ідеалі, грамотно вибудувана система управління безпекою дозволяє уникнути таких простоїв, незалежно від характеру загрози.

Останнім часом найбільші державні банки проявляють все більший інтерес до окремих елементів забезпечення безпеки – як правило, мова йде про спеціалізоване програмне забезпечення. Це дає підстави вважати, що українська практика поки що далека від ідеалу, що зайвий раз доводить важливість прийняття Постанови №95.

 

– Звідки виходить головна загроза інформаційній безпеці банку: від зловмисників, власних співробітників або некомпетентних пользовате

– Співробітники були, є і будуть найбільшою проблемою для організацій будь-якої форми власності та будь-якого напрямку діяльності. За статистикою більше 60% витоків інформації відбуваються з вини внутрішнього порушника. Тим більше, коли мова йде про людей, які працюють з «живими» грошима і кожен день схильних спокусі. Одним із завдань системи управління інформаційною безпекою є створення оптимальних умов для розслідування посадових злочинів. В такому випадку умисні дії будь-якого з посадових осіб можуть бути однозначно встановлено і доведено.

Друга проблема – помилки операторів, що можуть призвести або до порушення працездатності систем, або до витоку інформації. В цьому відношенні завдання системи полягають в максимально швидкій реакції на інцидент і недопущення виникнення небажаних наслідків.

Для зовнішніх зловмисників головною метою залишаються клієнти банку, а більшість методів шахрайства спрямовані на виманювання у них персональної і платіжної інформації. Щорічно в Україні реєструється понад 30 тисяч фактів шахрайства з платіжними картами фізичних осіб. У фінансовому вираженні втрати перевищують півмільярда гривень.

Таким чином, характер загроз, що виходять з різних джерел, для банку буде різним. Як і можливі втрати. Тому система управління інформаційною безпекою змушена комплексно орієнтуватися на протидію всім загрозам.

 

– Чи випливає з цього, що самі по собі апаратні і програмні засоби захисту будуть неефективні? Або без організаційної та нормативної складової можна обійтися?

– Без стратегії, чіткого визначення цілей, повноважень і вбудовування системи управління інформаційною безпекою в оргструктуру організації неможливо говорити про комплексність цієї системи. Значить, і необхідної надійності теж не вдасться досягти. Тому розробка цілого ряду внутрішніх документів (політик, положень, інструкцій і т.п.) – обов’язковий крок, хоч він і зустрічає часте нерозуміння і опір.

Для прикладу поділюся недавнім досвідом нашої компанії. Фахівці “Innovation Development HUB” займалися розробкою і впровадженням системи управління інформаційною безпекою одної з приватних медичних установ, що називається, «з нуля». До цього захист інформації був організований безсистемно і практично ніяк не справлявся, не кажучи вже про документи. Різноманітні інциденти і проблеми в системах були звичним явищем.

Завдяки комплексному аудиту і точному виконуванню вимог стандарту нам вдалося домогтися високого рівня організаційної ефективності і прийнятної комбінації обладнання та спеціального програмного забезпечення. Отримана система прекрасно проявила себе під час двох найбільших атак, а нормальна робота установи не переривалася ні на хвилину.

Я не можу гарантувати, що без попередньої документальної підготовки та організаційних заходів подібна стійкість була б можлива.

Відомі приклади інших підприємств, керівництво яких відкрито визнає, що на момент останньої атаки в їх розпорядженні не було серйозних технічних засобів.Однак завдяки організаційним заходам, включаючи документацію з інформаційної безпеки, ці атаки пройшли без наслідків.

Сюди ж відноситься і передбачене Постановою №95 обов’язкове призначення особи, відповідальної за інформаційну безпеку банку, – Chief Information Security Officer, CISO. Тобто, функції IT та інформаційної безпеки розмежовуються, як цього і вимагає стандарт 27001.

 

– Говорячи про CISO. З огляду на особливий статус цієї посадової особи, його повноваження і «автономність», чи не виникнуть проблеми з постійним втручанням в виробничий процес?

– Питання підпорядкованості CISO дійсно дуже важливий. В даному контексті його необхідно розглядати з позиції «конфлікту інтересів» і впливу на прийняття рішень. На практиці часто зустрічаються ситуації, коли інформаційна безпека є одним з відділів департаменту IT. Але незважаючи на спільну мету (безперервне функціонування системи і розвиток банку), шляхи її досягнення різні, а в ряді випадків прямо конфліктуючі. Крім того, одне із завдань інформаційної безпеки – контроль діяльності IT-персоналу, що зі зрозумілих причин вимагає, як мінімум, незалежності.

 

– І на завершення. Наскільки витратним буде впровадження повноцінної системи управління інформаційною безпекою?

– Єдиного «цінника» немає, все залежить від кінцевих завдань, масштабів організації і ступеня «занедбаності» інформаційної безпеки.

Якщо говорити про банки, то витрати на побудову системи управління інформаційною безпекою слід зіставляти з ризиками. Як я вже говорив, прямі втрати від шахрайських дій перевищують 500 мільйонів гривень на рік. Непрямі втрати банків не піддаються обчисленню в принципі.

У будь-якому випадку, ініціатива НБУ щодо забезпечення інформаційної безпеки банків не залишиться без позитивних наслідків. Питання тепер в виконавської дисципліни та дійсно системний підхід.