Новости УМКО-2020 Итоги УМКО-2020 Доклады УМКО О Конференции УМКО-2020 Конкурсы УМКО-2020 Библиотека УМКО-2020 Рейтинг ВУЗов Календарь мероприятий
Вход в тест-сектор
Логин:
Пароль:



Телефоны для связи: +7 (908) 636 82 68, +7 (912) 284 18 48

Анализ мер, принимаемых Банком России и кредитными организациями для обеспечения и повышения уровня информационной безопасности

Автор: Кузнецова Карина Александровна, студентка 4 курса бакалавриата, Петрозаводский Государственный Университет

Научный руководитель: Ларченко Ольга Викторовна, старший преподаватель кафедры финансов, финансового права, экономики и бухгалтерского учета

Аннотация: В статье рассматриваются меры, направленные на повышение уровня информационной безопасности банковской системы России. Проанализированы действия Банка России за ряд лет по обеспечению должного уровня защиты данных. Уделено внимание наиболее востребованными в сегменте информационной безопасности технологиям, а также рассмотрены меры кредитных организаций, нацеленные на укрепление систем защиты. Изучены причины и последствия утечек банковской информации, подведены итоги и сделаны выводы.

Ключевые слова: утечка информации, информационная безопасность, защита данных, Банк России, банковская система.

В настоящее время развитие всевозможных цифровых технологий достигло высокого уровня. Они внедрены практически во все сферы жизнедеятельности человека, везде им нашлось применение. Информационные технологии привнесли в жизнь общества удобства, сделали доступными многие действия, невозможные ранее. Однако одной из серьезных проблем, связанной с повсеместной цифровизацией, является недостаточная защита данных, которые часто становятся мишенью хакерских атак и неправомерных действий. Очень распространено такое мошенничество в отношении баз данных кредитных организаций, содержащих персональные данные клиентов банков, а также сведения обо всех банковских операциях и суммах остатков на их счетах. Несмотря на многочисленные и многоуровневые системы защиты информации, применяемые банками, они все еще являются недостаточными.

Так, кража персональных данных клиентов кредитных организаций может привести к неблагоприятным последствиям как для клиентов, так и для самих банков, может стать причиной, сдерживающей темпы развития банковской системы. Поэтому вопрос изучения мер по предотвращению утечек банковских данных является особо актуальным в настоящее время.

Согласно определению Банка России, "утечка информации - это несанкционированное предоставление или распространение информации конфиденциального характера, не контролируемое организацией БС РФ" [7, с. 6]. Так, в 2018 г. 75% банков банковской системы России столкнулись со случаями утечек информации. При этом в 38% случаев утекали персональные данные клиентов, в 28% - информация о клиентах и сделках, в 21% - данные о партнерах, в 13% - техническая информация. Стоит отметить, что не было отмечено ни одного случая утечки данных внутренней бухгалтерии банков. При этом, больше половины кредитных организаций скрыли инцидент и не делали никаких оповещений или заявлений [3].

Подобные случаи происходят регулярно. Так, например, в августе 2019 г. мошенникам впервые удалось вывести денежные средства через Систему Быстрых Платежей. В октябре 2019 г. стало известно о самой масштабной утечке банковских данных в российском банковском секторе: мошенники владели информацией о 60 млн. кредитных карт, как действующих, так и закрытых [4]. В этот период специалисты обнаружили на черном рынке около 13 тыс. предложений купли/продажи данных клиентов [2]. В августе 2020 г. Банк России и "Visa" предупредили коммерческие банки о том, что произошла утечка базы данных с 55 тыс. записей о клиентах банков [9].

Если говорить о последствиях таких утечек, то, согласно исследованию "СёрчИнформ", 31% банков несут имиджевый ущерб, 16% страдают от комплаенс-риска, 14% определяют свои потери как крупный финансовый ущерб, 26% - мелкий финансовый ущерб, а на 12% подобные случаи никак не отражаются [3].

Специалисты говорят о том, что в настоящее время у банков имеются достаточно серьезные системы технической защиты. Вопреки этому утечки все еще происходят, и причиной этому зачастую является простой человеческий фактор. Так, по данным ФинЦЕРТа человеческий фактор находится на первом месте среди всех причин, которые определяют успешность внешних атак на инфраструктуру. Не снижается угроза злоумышленных действий и со стороны самих сотрудников банков?. На долю инцидентов по вине сотрудников (как случайных, так и злонамеренных) приходится 70% от всех утечек из кредитных организаций [8]. Именно поэтому многие рекомендации Центрального Банка Российской Федерации по поводу информационной безопасности банков касаются, в первую очередь, обеспечения тщательной защиты данных внутри кредитных организаций. Помимо сотрудников банков, источниками утечек информации часто становятся и сами пользователи. Согласно отчету ФинЦЕРТа, на долю банковских утечек приходится лишь 12% от всех данных, продававшихся на черном рынке в первой половине 2019 года [8].

Такой вывод подтверждается и тем фактом, что показатель внедрения современных DLP-систем (Data Loss Prevention) в банках довольно высок (около 35% финансовых компаний используют такое программное обеспечение для защиты своей информации). "Однако часто ситуация складывается парадоксальным образом, когда программные комплексы не эксплуатируются в полную силу. Это позволяет судить о том, что угроза человеческого фактора в банковской сфере сохраняется на высоком уровне"[3]. Помимо человеческого фактора внутри банков, серьезной проблемой является отсутствие достаточного финансирования отделов информационной безопасности. Причиной этого, в свою очередь, является несовершенство законодательства в сфере утечек персональных данных - штрафы за разглашение такой информации несоразмерно малы по сравнению с объемом средств, которые необходимо направить на развитие систем информационной безопасности.

Тем не менее, кредитно-финансовая сфера все же является одной из самых оснащенных ИБ-инструментарием. В большей мере причиной этому является пристальное внимание и надзор регулятора, а также работа в данной отрасли высококвалифицированных специалистов и более серьезное финансирование, нежели в других сферах. Поэтому в настоящее время банковский сектор тщательно защищен, и внешние атаки становятся все более "дорогим удовольствием". На этом фоне возрастает угроза от внутреннего фактора.

Центральный Банк Российской Федерации уже давно ведет активную работу по мониторингу и предотвращению мошенничества в сфере интернет-банкинга. Основные меры, принятые Банком России за последние 7 лет, перечислены в таблице 1. Как видно, регулятор уделяет достаточное внимание совершенствованию законодательства, касающегося обеспечения и совершенствования информационной безопасности кредитных организаций банковской системы России. Постепенно требования Банка России к банкам становились обязательными, и регулятор начинал призывать банки к ответственности за несоблюдение установленных стандартов. В целом, у кредитных организаций было достаточно времени, чтобы равномерно распределить свои затраты на формирование необходимых систем безопасности, и нововведения регулятора не должны были стать для них ударом. Нужно также отметить, что Банк России старается решать вновь появляющиеся проблемы совместно с коммерческими банками, что повышает эффективность принимаемых мер по борьбе с мошенниками. Немалое внимание уделяется также созданию соответствующей инфраструктуры, нацеленной на комплексную, постоянную и тщательную работу по защите банковских данных.

Таблица 1

Меры, предпринимаемые Банком России в целях повышения уровня информационной безопасности кредитных организаций за период 2013-2020 гг. [2, составлено автором]

Год

Меры ЦБ РФ для повышения уровня информационной безопасности

2013

Опубликовано Письмо Банка России от 05.08.2013 N 146-Т "О рекомендациях по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети "Интернет"

2014

Вступил в силу Стандарт Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации/ Общие положения" - Банк России рекомендовал коммерческим банкам внедрять системы DLP, чтобы предотвратить утечку данных о клиентах

2015

На базе Центрального Банка Российской Федерации был создан упоминаемый выше Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере - ФинЦЕРТ

2016
  1. ЦБ РФ стал компетентной организацией, имеющей право выявлять вредоносные сайты и предоставлять эти сведения координационному центру и аккредитованным регистраторам доменных имен для их блокировки
  2. Масштабная проверка Банком России безопасности онлайн-банкинга
  3. Запланировано создание лаборатории для защиты банков от киберугроз
    1. Опубликованы рекомендации по обеспечению информационной безопасности организаций банковской системы российской федерации в части предотвращение утечек информации

2017
  1. Банк России и Министерство финансов РФ заявили о намерении упростить для клиентов банков возврат денежных средств, похищенных злоумышленниками
  2. Ужесточении требований к информационной безопасности (ИБ) кредитных организаций (в части взаимодействие со сторонними компаниями, нанятыми для обеспечения киберзащиты и защите информации при переводе денежных средств в интернете)
  3. Начата разработка платформы для автоматизации и ускорения информационного обмена между заинтересованными госструктурами и банковской системой в целях повышения уровня кибербезопасности
  4. Опубликован новый ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер"
  5. Начата работа по внедрению шифрования платежей, направляемых в платежную систему Банка России, на уровне автоматизированной банковской системы (АБС)

2018
  1. Банк России заключил соглашения о взаимодействии в сфере информационной безопасности с несколькими странами ЕАЭС
  2. Банк России закрепил форматы направления сообщений банками в ФинЦЕРТ в пятом стандарте по информбезопасности
  3. ЦБ РФ начал разработку проекта для применения новой модели надзора: различать сайты компаний, имеющих и не имеющих право выдавать займы потребителям
  4. Банки России получили новые обязанности: уведомлять регулятора о спаме с вредоносными файлами и хакерских атаках, а также осуществлять проверку устройства клиентов при переводе денег
  5. Банки стали обязаны раскрывать в своей отчетности финансовый ущерб от кибератак
  6. Создан департамент информационной безопасности в Банке России
  7. Определен перечень угроз безопасности при обработке, сборе, хранении и проверке биометрических персональных данных
  8. Открыт Центр компетенции по противодействию нелегальной деятельности на финансовом рынке

2019
  1. ЦБ РФ впервые начал штрафовать банки за отсутствие систем антифрода, а также за недостаточно сильную киберзащиту
  2. Банк России опубликовал доклад "Основные направления развития информационной безопасности кредитно-финансовой сферы на период 2019-2021 годов"
  3. Вступило в силу Положение Центрального Банка Российской Федерации, которое устанавливает требования для кредитных организаций по обеспечению кибербезопасности
  4. Банк России совместно с коммерческими банками реализует пилотный проект по подтверждению электронной почты банковских клиентов - физических лиц
  5. Ужесточились требования к банкам по защите средств клиентов от киберпреступников

2020
  1. Банк России разработал и порекомендовал банкам новые меры по обеспечению кибербезопасности в условиях пандемии коронавирусной инфекции (COVID-2019).
  2. Банки начнут штрафовать за отсутствие систем распознавания мошеннических операций

Так, своими действиями регулятор способствует не только повышению доверия клиентов банков к современным онлайн-сервисам, но и сохранению устойчивости банковской системы во время информационных трансформаций.

Можно перечислить некоторые средства защиты, которые используются организациями на сегодняшний день (табл. 2).

Таблица 2

Наиболее популярные средства информационной защиты, применяемых в России и мире [3, составлено автором]

Используемые средства защиты

Доля компаний, применяющих технологию (%)

В России

В мире

Антивирусная программа

97

83

Средства администрирования Windows

87

56

NGFW (Firewall и Proxy)

78

79

DLP-система

32

23

IDS/IPS

(Системы обнаружения и предотвращения вторжений)

19

34

SIEM-система

9

18

Уделим внимание наименее популярному на сегодняшний день программному обеспечению. Видно, что SIEM-системы пока применяет лишь малая доля компаний, особенно российских. Во второй половине 2019 г. и начале 2020 г. компания "Positive Technologies" проводила исследование "Выявление инцидентов ИБ с помощью SIEM: типичные и нестандартные задачи", которое заключалось в определении эффективности применения данной системы и ее преимуществах непосредственно на практике.

Основной задачей SIEM-системы (security information and event management) является не только сбор информации о событиях нарушения информационной безопасности с различных источников - сетевых устройств, приложений, журналов ОС, средств защиты, - но и автоматизация процесса обнаружения инцидентов, а также своевременно информировать о них специалистов по безопасности.

Так, SIEM-системы могут применяться для решения следующих задач (рис. 1)

 

Рис. 1 - Список популярных задач для пилотного внедрения MaxPatrol SIEM (доля проектов) [1, с. 4]

С помощью системы SIEM удалось выявить такие события ИБ, как вредоносный контент, доставленный легальным образом, как правило по электронной почте (спам и фишинговые атаки), нарушение доступности отдельных сервисов и систем в целом (например, в случае DDoS-атаки), использование хакерских утилит, применяемых для взлома систем или иных противоправных действий и многие другие [1, с. 7].

Для наиболее эффективного применения систем информационной защиты необходимо обеспечивать тщательный сбор информации и подключение как можно большего количества источников к используемой системе. Вероятно, внедрение таких систем в российскую практику сможет привести к еще более высоким результатам информационной защиты банков и предотвращению утечек информации.

Каждый коммерческий банк разрабатывает "Политику информационной безопасности", в которой описывает, как устроена система его защиты. В качестве примера мер противодействия крупных российских банков утечкам информации можно привести следующее. Сбер Банк для обеспечения своей информационной безопасности применяет в дополнение к DLP-системе такие технологии, как нейросети, машинное обучение, искусственный интеллект и др. Такие системы позволили практически исключить человеческий фактор при проверке данных, а в перспективе планируется полностью автоматизировать проверку и передачу данных, что заметно повысит устойчивость банка к умышленным и непредумышленным утечкам [5, с.48].  Тинькофф Банк активно использует биометрию для идентификации клиентов, используя информацию из своих баз данных, тогда как Банк ВТБ участвует в пилотном проекте верификации операций граждан с помощью биометрических данных с государственными базами данных. В банках активно применяются технологии распределенного реестра (блокчейн), криптографические протоколы передачи данных SSL, нейронные сети и другие технологии. Наиболее новые разработки внедрены в основном в работу лидеров банковского сектора.

Хотелось бы также отметить, что сегодня банковские системы безопасности достигли все же высокого уровня развития. Безусловно, необходимо работать над их дальнейшим совершенствованием и своевременным обновлением, однако на данном этапе необходимо уделять не меньшее внимание другому фактору, который также часто ставится причиной утечек информации, а именно сотрудникам банков. Во-первых, требуется формировать высококвалифицированный кадровый состав, чтобы свести ошибки, связанные с профессиональной некомпетентностью к минимуму. Во-вторых, нужно обеспечивать работникам благоприятные условия и достойную оплату труда во избежание желания получить дополнительный доход посредством продажи банковских данных. В-третьих, необходимо работать над повышением лояльности сотрудников кредитных организаций. Помимо этого, представляется важным дальнейшее повышение финансовой грамотности населения, чтобы клиенты банков также были осведомлены и меньше попадались на уловки мошенников.

Так, в документе "Основные направления развития информационной безопасности кредитно-финансовой сферы на период 2019-2021 годов"  Банк России ставит перед собой такие задачи, как обеспечение информационной безопасности и киберустойчивости инфраструктуры, прикладного ПО, технологий обработки данных, финансовых технологий, стандартизация и развитие правового обеспечения, защита прав потребителей финансовых услуг, содействие реализации национальной программы "Цифровая экономика Российской Федерации" по  направлению "Информационная безопасность" и по противодействию компьютерным атакам и др. Отдельно выделены действия по подготовке кадров и обеспечению доверия граждан к цифровой среде, а именно создание условий подготовки специалистов в области информационной безопасности нового типа и повышение уровня финансовой грамотности населения и базовых компетенций по кибергигиене [6]. В ноябре 2020 г. также стало известно о реструктуризации ФинЦЕРТа Банка России. Основной причиной этого является необходимость разделения функций надзора и мониторинга инцидентов между различными структурными подразделениями для повышения эффективности взаимодействия банков со службой Банка России.

Таким образом, на современном этапе информационная безопасность кредитных организаций достигла высокого уровня развития. Банковские системы уже можно назвать действительно безопасными и защищенными. Но, к сожалению, утечки банковской информации все еще периодически происходят. С появлением все новых технологий требуются и новые методы защиты. Поэтому регулятор банковской системы ведет непрерывную работу по совершенствованию систем безопасности. Кроме технических основ, особое внимание в последнее время уделяется снижению рисков потерь по причине человеческого фактора как внутри организаций, так и за их пределами.

 

 

Список использованных источников и литературы

  1. Выявление инцидентов ИБ с помощью SIEM: типичные и нестандартные задачи [Электронный ресурс] // Опубликовано : Positive Technologies, 2020. URL: [https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/incidents-siem-2020-rus.pdf] (дата обращения: 25.10.2020). Текст: электронный.
  2. Информационно-новостной портал TADVISER : [сайт] - Москва. - Обновляется в течение суток. - URL: [https://www.tadviser.ru] - Текст : электронный (дата обращения: 30.10.2020).
  3. Исследование уровня информационной безопасности в компаниях России и мира за 2018 год [Электронный ресурс] // Опубликовано : "СёрчИнформ", 2018 // URL: [https://searchinform.ru/uploads/sites/1/2019/02/research-2018ru.pdf] (дата обращения: 10.10.2020). Текст: электронный.
  4. Клиенты Сбербанка попали на черный рынок [Электронный ресурс] // Опубликовано : КоммерсантЪ, 3 октября 2019 : [сайт]. [2019]. URL: [https://www.kommersant.ru/doc/4111863] (дата обращения: 01.11.2020). Текст: электронный.
  5. Коряковский Д., Теренин  А. ИИ на страже банковских данных. Опыт Сбербанка // BIS Journal. Информационная безопасность банков. 2020. - 2 (26) с. 42-48. URL: [https://ib-bank.ru/bisjournal/number_pdf/67] (дата обращения: 25.10.2020). Текст: электронный. 
  6. Основные направления развития информационной безопасности кредитно-финансовой сферы на период 2019-2021 годов политике [электронный ресурс] // Москва, 2019 - 26 с. URL: [https://cbr.ru/Content/Document/File/83253/onrib_2021.pdf]. (дата обращения: 26.10.2020). Текст : электронный.
  7. Рекомендации в области стандартизации Банка России (РС БР ИББС-2.9-2016) : обеспечение информационной безопасности организаций банковской системы Российской Федерации: предотвращение утечек информации [электронный ресурс] //  Москва, 2016 - 25 с. - Текст : электронный. URL: [https://cbr.ru/statichtml/file/59420/rs-29-16.pdf] (дата обращения: 31.10.2020)
  8. ФинЦЕРТ назвал главный источник утечек банковских данных россиян [Электронный ресурс] // Опубликовано : SecurityLab.ru, 11 октября 2019 : [сайт]. [2019]. URL: [https://www.securitylab.ru/news/501705.php] (дата обращения: 22.10.2020). Текст: электронный.
  9. ЦБ и Visa предупредили банки об утечке данных 55 тыс. карт [Электронный ресурс] // Опубликовано : РБК Финансы, 27 августа 2020 : [сайт]. [2020]. URL: [https://www.rbc.ru/finances/27/08/2020/5f468fa59a7947858f2c197e] (дата обращения: 20.10.2020). Текст: электронный.
  10. Центральный Банк Российской Федерации: официальный сайт. - Москва. - Обновляется в течение суток. - URL: https://cbr.ru (дата обращения: 26.10.2020). - Текст : электронный.
Реклама