Статья

«Лаборатория Касперского»: Финансовые организации всегда в первых рядах по обеспечению надежной защиты

B2BSecurity

Любая информация, связанная с финансами, является лакомым куском для мошенников, поэтому банки стараются использовать современные технологии для ее защиты. Кирилл Керценбаум, руководитель группы предпродажного сопровождения «Лаборатории Касперского», рассказал об организации защиты, наиболее актуальных рисках и российской регулятивной базе.

CNews: Как изменяется организация ИБ в российских финансовых организация? С чем связаны эти изменения?

Кирилл Керценбаум: Вопросы информационной безопасности с самого начала весьма серьезно воспринимались российскими финансовыми организациями. Конечно же, в эпоху зарождения российской банковской системы, в начале 90-х годов, использование ИТ в банках (как и везде) было лишь в зачаточном состоянии, однако финансовые организации всегда были в числе первых российских компаний, кто начинал использовать самые современные технологии. Поэтому они всегда были в первых рядах по обеспечению надежной защиты своих информационных систем, особенно с учетом специфики: все, что связано с деньгами, всегда было самым лакомым куском для мошенников.

Но раньше финансовые организации концентрировали внимание в основном на вопросах физической защиты материальных ценностей. Теперь, в эпоху электронных денег вопросы защиты информации стали для них намного актуальнее. Сегодня финансовые организации следуют самым современным тенденциям: выводят на рынок новые банковские продукты для интернет-банкинга, систем ДБО, продвигают кредитные инструменты в онлайн. Все это ведет к необходимости использовать новые средства защиты. Но надо понимать, что риски возникновения инцидентов ИБ, а также финансовые потери свести к нулю не представляется возможным.

CNews: Назовите наиболее актуальные ИБ-риски, специфичные для российских финансовых организаций. Почему они актуализировались сегодня?

Кирилл Керценбаум: Для финансовых организаций основными проблемными местами становится управление технологическими и операционными рисками. И те, и другие непосредственно связаны с рисками ИБ. Любая современная финансовая организация – производство непрерывного цикла, и основной кровеносной системой на нем являются ИТ. Ни один современный банк не сможет работать без постоянно доступной и производительной АБС. Но подобные системы должны обеспечиваться наибольшей степенью защиты от внешних и внутренних угроз ИБ, и тут встает вопрос технологических рисков. Что лучше в данном случае: перестараться с уровнем защиты и сделать работу трудно выполняемой или же обеспечить ее недостаточной защитой, но сохранить более высокий уровень доступности?

Кирилл Керценбаум: Любая современная финансовая организация – производство непрерывного цикла, и основной кровеносной системой на нем являются ИТ

Этот вопрос достаточно сложный, и каждая компания находит для себя наиболее правильный ответ, балансируя между операционными и технологическими рисками. В условиях распространения систем ДБО, предоставления все большего числа услуг и сервисов через интернет, который по умолчанию не является доверенной средой, вопрос правильной оценки рисков ИБ вышел на первый план. А по мере усложнения внутренних систем АБС обостряется и вопрос управления внутренним доверием к операциям, откуда вытекают вопросы фрода и борьбы с ним.

CNews: Какие факторы (архитектурные, технологические, организационные, внутренние, внешние, или иные) затрудняют сегодня организацию ИБ в финансовых организациях?

Кирилл Керценбаум: Можно выделить два основных фактора (с пометкой, что они оба присущи также и любым другим компаниям). Первый – это рыночный фактор активизации деятельности, высокой конкуренции, то есть необходимости все делать быстро и эффективно. Финансовые организации тут опять же находятся на самой передовой, необходимость предлагать новые и удобные продукты клиентам часто заставляет их коренным образом перестраивать свои информационные системы, и не всегда удается также быстро и эффективно перестраивать системы защиты. А ждать в этой рыночной ситуации – означает терять конкурентное преимущество.

Второй фактор – это недофинансированность вопросов обеспечения информационной безопасности. Конечно же, в финансовой сфере этот вопрос не стоит так остро, как в некоторых других отраслях. Однако, в отличие от собственно ИТ-инфраструктуры, которая должна развиваться, но не обновляться перманентно, средства и способы защиты должны находится в постоянном движении вслед за изменением и переоценкой рисков. Другими словами, требуются значительные вложения в решения по информационной безопасности, но по-прежнему не каждый бизнес отчетливо понимает, какова эффективность данных вложений, ведь посчитать реальные потери компании от серьезного инцидента ИБ возможно только тогда, когда он реально произошел, но по понятным причинам никто на себе эксперименты проводить не готов.

CNews: Как вы оцениваете влияние российской регулятивной базы на финансовый бизнес в плане обеспечения его информационной защиты? Можно ли считать регулятивную базу адекватной нынешнему состоянию финансового бизнеса?

Кирилл Керценбаум: Я бы оценил данное влияние скорей положительно, особенно с учетом того, что финансовая сфера в России регулируема в достаточном и полезном объеме, как и во всем цивилизованном мире. Центральный Банк, являясь основным регулятором в том числе и вопросов ИТ и ИБ, довольно далеко и в качественном отношении продвинулся в сфере рекомендаций и стандартов для банковской сферы.

СТО БР ИББС является не только одним из лучших отраслевых стандартов в области ИБ России, но и, в сравнении с западными стандартами и требованиями, включает в себя большое количество абсолютно прозрачных и своевременных норм и формулировок, позволяющих организовать в финансовой организации высоконадежную и эффективную систему информационной безопасности, как с точки зрения технических средств, так и организационных мер. Выгодно отличает его от других стандартов и регулятивных норм постоянная адаптация под самые современные требования и угрозы, позволяющая финансовым организациям быть более гибкими и быстро подстраиваться под требования рынка.