Информационная безопасность в украинских банках: инициативы НБУ глазами практика

4 октября 2017 года опубликовано Постановление Национального банка Украины «Об утверждении Положения об организации мероприятий по обеспечению информационной безопасности в банковской системе Украины» (далее – Постановление №95). Украинские банки получили время до 1 марта следующего года, чтобы привести собственные системы информационной безопасности в соответствие с требованиями, а в отдельных случаях – построить их с нуля.

Об особенностях организации управления информационной безопасностью в коммерческих организациях рассказывает Юрий Лысак, специалист по информационной безопасности украинской ІТ-компании “Innovation Development HUB”.

Досье. Юрий Лысак

Должность: Chief Information Security Officer.

Компания: “Innovation Development HUB”, украинская ІТ-компания.

Опыт работы в сфере информационной безопасности: 17 лет.

Специализация:

— внедрение и сертификация систем управления информационной безопасностью (стандарт ISO 27001);

— аудит информационных систем и архитектуры информационной безопасности;

— организация проведение экспертизы средств технической и криптографической защиты информации.

Сертифицированный специалист:

  • по системам менеджмента информационной безопасности, внутренний аудитор систем менеджмента информационной безопасности (ISO/IEC 27001:2005/27001:2013);
  • по системам менеджмента непрерывности бизнеса (ISO 22301);
  • внутренний аудитор (ISO 9001).

 

– Юрий, стоит ли рассматривать Постановление №95, прежде всего, как реакцию на обострившиеся киберугрозы, с которыми столкнулась наша страна в последнее время?

– По моему мнению, НБУ на сегодня – это наиболее прогрессивный государственный орган с точки зрения создания нормативных рамок информационной безопасности, причем, в соответствии международным стандартам. Именно НБУ был инициатором внедрения в 2010 году адаптированного под наши реалии стандарта ISO/IEC 27001 – в качестве отраслевого банковского стандарта. Однако, подчеркну: прогрессивный государственный орган в плане разработки и принятия требований, но вот непосредственно внедрение и контроль соблюдения требований до сих пор оставляли желать лучшего.

Как следствие, принятие Постановления №95, как мне кажется, – это попытка «вдохнуть больше жизни» в уже существующие требования по информационной безопасности. Несомненно, имевшие место резонансные инциденты информационной безопасности дополнительно стимулировали принятие Постановления №95, но его разработка началась задолго до атак WannaCry и Nyetya, а проект для обсуждения был доступен всем желающим.

Что касается своевременности… Лучше запоздалая реакция, чем дальнейшее игнорирование угроз. Долгое время отношение к информационной безопасности формировалось по остаточному принципу. Есть надежда, что окончательный перелом ситуации начнется как раз с банков, которые уже давно в лидерах по применению информационных технологий.

 

– Если ли в этой связи какие-либо обязательства Украины перед Европейским Союзом? И в целом, как регулируется управление информационной безопасностью в европейских странах? 

– Самым главным в этом отношении, как мне кажется, должно быть не стремление формально выполнить наши обязательства перед внешними партнерами. Построение системы управления информационной безопасностью уже давно стало внутренней, осознанной потребностью как государственного сектора, так и бизнеса. Хочется верить, что Украина прежде всего решает свои собственные задачи.

Что касается европейской практики, то требования ЕС по защите конфиденциальной информации актуальны для всех без исключения организаций и учреждений. Документально они оформлены в виде Регламента Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» №2016/679 от 27 апреля 2016 г., действие которого начнется с 25 мая будущего года. У нас есть все возможности и достаточно времени, чтобы привести системы управления информационной безопасностью в соответствие с требованиями ЕС.

Также имеется ряд специфических требований, применимых непосредственно к банкам Украины. Это требования PCI DSS (Payment Card Industry Data Security Standard) к обеспечению безопасности платежных систем, а также отдельные положения стандарта 27001 и т.п. Постановление №95 в большей степени ориентировано как раз на 27001, а также ряд нормативных актов НБУ, направленных на обеспечение физической безопасности банков.

 

– Насколько специфика финансовой деятельности определяет особенности управления информационной безопасностью именно в банках?

– Начнем с того, что подход к организации информационной безопасности определяется тремя основными факторами. Первый – это особенности бизнес-процессов в организации. Второй – специфика информации, которая имеется в распоряжении и обрабатывается. И третий – это круг лиц, допущенных к обработке информации.

В самом общем понимании, банки оперируют чужими деньгами, чтобы «создать» свою прибыль. Поэтому инцидент информационной безопасности в банке в большинстве случаев приводит к реальным потерям реальных денег. Еще раз: не к недополучению прибыли, а к прямым убыткам. Не будем забывать и о репутационных потерях, штрафных санкциях и т.п. Постановление №95 уточняет понятие «критический бизнес-процесс банка», вокруг которого и должна строиться вся система управления информационной безопасностью.

Второй момент. Банки оперируют персональными данными клиентов. В нашей реальности, пожалуй, именно банки обладают наибольшим объемом информации о каждом из нас. Будучи клиентом банка, мы все даем согласие на обработку персональных данных, не задумываясь, кто и как будет их обрабатывать и хранить. Это тоже задачи системы управления информационной безопасностью.

Далее. Важно помнить, что в рамках работы систем банка задействованы обычные пользователи, далекие от вопросов безопасности. Соответственно, во избежание возможных проблем и перебоев в работе систем для пользователей должны быть разработаны единые требования по управлению учетными записями, парольной политики, аутентификации и т.п.

В конечном итоге, банковская система – это часть критической инфраструктуры государства, сбои в работе которой могут привести к плачевным последствиям для всей финансовой системы.

 

– Как на данный обстоят дела с информационной безопасностью в украинских банках?

– Украинские банки стремятся не афишировать случаи инцидентов с информационной безопасностью, что вполне объяснимо. Поэтому судить о реальном состоянии дел можно лишь по косвенным признакам. Например, во время атаки вируса Nyetya многие банки существенно ограничили функционал пользовательских онлайн-систем, и даже банкоматов и терминалов самообслуживания. В идеале, грамотно выстроенная система управления безопасностью позволяет избежать таких простоев, независимо от характера угрозы.

В последнее время крупнейшие государственные банки проявляют все больший интерес к отдельным элементам обеспечения безопасности – как правило, речь идет о специализированном программном обеспечении. Это дает основания считать, что украинская практика пока что далека от идеала, что лишний раз доказывает важность принятия Постановления №95.

 

– Откуда исходит главная угроза информационной безопасности банка: от злоумышленников, собственных сотрудников или некомпетентных пользовате

– Сотрудники были, есть и будут самой большой проблемой для организаций любой формы собственности и любого направления деятельности. По статистике более 60% утечек информации происходят по вине внутреннего нарушителя. Тем более, когда речь идет о людях, работающих с «живыми» деньгами и каждый день подверженных соблазну. Одной из задач системы управления информационной безопасностью является создание оптимальных условий для расследования должностных преступлений. В таком случае умышленные действия любого из должностных лиц могут быть однозначно установлены и доказаны.

Вторая проблема – ошибки операторов, могущие привести либо к нарушению работоспособности систем, либо к утечке информации. В этом отношении задачи системы заключаются в максимально быстрой реакции на инцидент и недопущении возникновения нежелательных последствий.

Для внешних злоумышленников главной целью остаются клиенты банка, а большинство методов мошенничества направлены на выманивание у них персональной и платежной информации. Ежегодно в Украине регистрируется свыше 30 тысяч фактов мошенничества с платежными картами физических лиц. В финансовом исчислении потери превышают полмиллиарда гривен.

Таким образом, характер угроз, исходящих из разных источников, для банка будет разным. Как и возможные потери. Поэтому система управления информационной безопасностью вынуждена комплексно ориентироваться на противодействие всем угрозам.

 

– Следует ли из этого, что сами по себе аппаратные и программные средства защиты будут неэффективны? Или без организационной и нормативной составляющей можно обойтись?

– Без стратегии, четкого определения целей, полномочий и встраивания системы управления информационной безопасностью в оргструктуру организации невозможно говорить о комплексности этой системы. Значит, и необходимой надежности тоже не удастся достичь. Поэтому разработка целого ряда внутренних документов (политик, положений, инструкций и т.п.) – обязательный шаг, хоть он и встречает частое непонимание и сопротивление.

Для примера поделюсь недавним опытом нашей компании. Специалисты “Innovation Development HUB” занимались разработкой и внедрением системы управления информационной безопасностью одного из частных медицинских учреждений, что называется, «с нуля». До этого защита информации была организована бессистемно и практически никак не управлялась, не говоря уже о документах. Разнообразные инциденты и проблемы в системах были привычным явлением.

Благодаря комплексному аудиту и точному следованию требованиям стандарта нам удалось добиться высокого уровня организационной эффективности и приемлемой комбинации оборудования и специального программного обеспечения. Получившаяся система прекрасно проявила себя во время двух крупнейших атак, а нормальная работа учреждения не прерывалась ни на минуту.

Я не могу гарантировать, что без предварительной документальной подготовки и организационных мероприятий подобная устойчивость была бы возможна.

Известны примеры других предприятий, руководство которых открыто признает, что на момент последней атаки в их распоряжении не было серьезных технических средств. Однако благодаря организационным мероприятиям, включая документацию по информационной безопасности, эти атаки прошли без последствий.

Сюда же относится и предусмотренное Постановлением №95 обязательное назначение лица, ответственного за информационную безопасность банка, – Chief Information Security Officer, CISO. То есть, функции IT и информационной безопасности разграничиваются, как этого и требует стандарт 27001.

 

– Говоря о CISO. Учитывая особый статус этого должностного лица, его полномочия и «автономность», не возникнут ли проблемы с постоянным вмешательством в производственный процесс?

– Вопрос подчиненности CISO действительно очень важен. В данном контексте его необходимо рассматривать с позиции «конфликта интересов» и влияния на принятие решений. На практике часто встречаются ситуации, когда информационная безопасность является одним из отделов департамента IT. Но несмотря на общую цель (непрерывное функционирование системы и развитие банка), пути ее достижения разные, а в ряде случаев прямо конфликтующие. Кроме того, одна из задач информационной безопасности – контроль деятельности IT-персонала, что по понятным причинам требует, как минимум, независимости.

 

– И в завершение. Насколько затратным будет внедрение полноценной системы управления информационной безопасностью?

– Единого «ценника» нет, все зависит от конечных задач, масштабов организации и степени «запущенности» информационной безопасности.

Если говорить о банках, то расходы на построение системы управления информационной безопасностью следует сопоставлять с рисками. Как я уже говорил, прямые потери от мошеннических действий превышают 500 миллионов гривен в год. Косвенные потери банков не поддаются исчислению в принципе.

В любом случае, инициатива НБУ по обеспечению информационной безопасности банков не останется без положительных последствий. Вопрос теперь в исполнительской дисциплине и действительно системном подходе.