Методология анализа рисков недостаточного обеспечения кибербезопасности

анализ рисков

Основными причинами повышенного внимания регулирующих органов к технологиям ДБО (включая СЭБ) являются «виртуальная» форма совершаемых банковских операций (когда каждая проводка выражается в мгновенном изменении содержания центральной базы банковских данных), снижение надежности и устойчивости кредитных организаций, а также банковской системы в целом, так как любые новые высокотехнологичные нововведения повышают и усложняют банковские риски.

В условиях применения СЭБ возникают ранее не учитываемые источники угроз, способные создать дополнительные проблемы, связанные со снижением уровня надежности банковских автоматизированных систем и с угрозами безопасности информационных ресурсов (в том числе АПО, находящегося на стороне провайдеров). Для перехода на новый качественный уровень управления рисками, возникающими в условиях применения СЭБ, не следует ограничиваться только выявлением причин и определением размеров возможных финансовых потерь. Необходимо шире рассматривать проблемы, связанные с использованием СЭБ, выходить за рамки привычных методов учета рисков. В качестве итоговых оценок следует рассматривать риски, связанные с системными характеристиками и показателями (риски системного уровня): возможность продолжения функционирования банка и выполнение им функций финансового посредника в неизменномили измененном масштабе, временный запрет на выполнение определенного вида банковских операций, введение временнойадминистрации, отзыв лицензии на банковскую деятельность.

Иерархию рисков можно представлять в виде трех уровней: системный банковский риск (СБР), типичный банковский риск (ТБР) элементарный банковский риск (ЭБР). Количество источников ЭБР для каждого из ТБР различно, так как они имеют разную природу. Каждый ЭБР отражает некий выявляемый факт, каждый ТБР – какое-либо событие в банке, образуемое совокупностью фактов и связанное с финансовыми потерями, а СБР описывает некоторую итоговую рисковую ситуацию.

Поиск источников ЭБР и дальнейшее выстраивание причинно-следственных связей представляет наиболее сложную задачу для адекватной оценки. Поэтому специалисты, входящие в риск-подразделения и службы внутреннего контроля, должны хорошо представлять особенности функционирования СЭБ и возможные последствия проявления сопутствующих рисков (включая воздействие компьютерных атак на информационные ресурсы банка). Очевидно, что реализованные компьютерные атаки значительно расширяют профили типичных банковских рисков.

Примерная схема анализа возможных последствий нарушения кибербезопасности в условиях ДБО на деятельность кредитных организаций представлена на рис. 7. Например, в случае реализованной компьютерной атаки на системы ДБО банка вполне вероятно, что многие клиенты откажутся от услуг данной кредитной организации. Следовательно, сумма остатков на их счетах и будет возможной суммой единовременного снятия средств клиентами (риск ликвидности). Далее такие клиенты могут быстро распространить отрицательные отзывы о банке, и вполне вероятно, что их знакомые, которые также являются клиентами банка, могут последовать их примеру и закрыть свои счета (репутационный риск и возрастание риска ликвидности).

Добавим, что некоторые клиенты могут обратиться в суды за возмещением не только похищенной суммы, но и суммы упущенной выгоды (например, в случае временной неплатежеспособности при взаимодействии с выгодным клиентом, деловым партнером и т.п.). Судебные издержки, негативная информация об этих судебных решениях в СМИ могут серьезно повлиять на репутацию организации (правовой и репутационный риски).

Для многих кредитных организаций существует управленческая проблема: несоразмерность мер по информационной безопасности (включая обеспечение кибербезопасности) основным целям и общему уровню принимаемых рисков. Это говорит о нехватке качественного управления рисками и о том, что кибербезопасность обеспечивается постфактум, по уже совершившемуся событию, а должна носить превентивный характер и работать на опережение.

К основным причинам появления рисков недостаточного обеспечения кибербезопасности в условиях применения СЭБ можно отнести:

  • наличие множественных уязвимостей АПО СЭБ, отсутствие должной реализации процедур контроля за соответствием СЭБ требованиям информационной безопасности;
  • низкую эффективность мероприятий, проводимых кредитными организациями по внедрению и использованию документов Банка России в области стандартизации обеспечения информационной безопасности;
  • отсутствие правовой основы по распространению нормативных требований к обеспечению защиты информации, устанавливаемых Банком России, на все процессы деятельности кредитных организаций;
  • отсутствие должной достоверности контроля выполнения технических требований, как правило, реализуемого в форме самооценки.

Для минимизации последствий проявления рисков недостаточного обеспечения кибербезопасности Банк России выделяет следующие ключевые направления деятельности:

  • проработка вопроса о законодательном закреплении права Банка России, совместно с ФСТЭК России и ФСБ России, на нормативное регулирование и контроль всех вопросов, связанных с обеспечением информационной безопасности в кредитных организациях, в том числе вопросов защиты информации, отнесенной к категории банковской тайны;
  • законодательное закрепление основ деятельности по реализации системы противодействия хищениям денежных средств (системы антифрод) и создание такой системы на базе FinCERT Банка России (другое название — Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере. Создан в июне 2015 г. в составе Главного управления безопасности и защиты информации Банка России);
  • обеспечение скорейшей разработки и ввода в действие национальных стандартов, регулирующих технические вопросы обеспечения информационной безопасности в организациях кредитно-финансовой сферы;
  • создание совместно с ФСБ России и ФСТЭК России системы для подтверждения соответствия обеспечения информационной безопасности кредитно-финансовых организаций требованиям национальных стандартов;
  • пересмотр технологических требований, связанных с осуществлением переводов денежных средств, внедрение безопасных технологий, в том числе для участников платежной системы Банка России;
  • пересмотр технологии контроля со стороны Банка России за соблюдением участниками платежной системы Банка России требований к обеспечению информационной безопасности;
  • реализация системы надзорных мер, учитывающей результаты контроля информационной безопасности в рамках системы подтверждения соответствия национальным стандартам.

В ближайшем будущем количество физических банковских офисов в России будет постепенно уменьшаться из-за развития технологий ДБО. Наличие собственного кабинета в киберпространстве станет таким же распространенным явлением, как сегодня наличие мобильного телефона.

Активное использование в банковском бизнесе СЭБ создает не только новые общие возможности, но и общие уязвимости, формируя при этом общую ответственность. Создание системы кибер- безопасности и соблюдение культуры кибербезопасности всеми участниками информационного обмена в условиях применения СЭБ является залогом доверия клиентов не только к конкретной кредитной организации, но и ко всей банковской системе в целом.

Этичное хакерство

Может ли хакерство быть этичным?Может ли хакерство быть этичным?

С помощью этических хаков «белые шляпы» имитируют стратегии и действия злоумышленников. Это позволяет выявить бреши в безопасности, которые затем можно устранить еще до того, как злоумышленник получит возможность ими воспользоваться.

Защита конфиденциальной информацииЗащита конфиденциальной информации

Конфиденциальные данные — это информация, которую человек или организация хотят сохранить от публичного доступа, поскольку обнародование этой информации может привести к ущербу, например, к краже личных данных или мошенничеству. В

Актуальные вопросы безопасности Интернет вещейАктуальные вопросы безопасности Интернет вещей

Существуют различные вирусы для устройств, управляемых через Интернет. Кофеварки, чайники и другая бытовая техника, управляемые Wi-Fi системы «родились» не вчера, но и они не идеальны несмотря на то, что с