Выберите ваш город
Популярные города
8 800 700-43-44 Заказать звонок

Обмен информацией в сфере ИБ – что скажет рынок?

В одном из номеров NBJ за текущий год было опубликовано интервью заместителя начальника отдела Управления «К» МВД России Александра ВУРАСКО «Управление «К» на страже компьютерной безопасности». Одна из тем, поднятых в рамках этого интервью, касалась эффективности обмена информацией об инцидентах в сфере ИБ между банками и регулятором рынка в лице Банка России. В связи с этим Александр Вураско высказал следующее предложение: 

«Мы видим, что ряд банков действительно очень плотно взаимодействует с FinCert, ряд банков делает это от случая к случаю, а ряд финансово-кредитных организаций вообще не пользуется этим инструментом. Поэтому у нас с Банком России родилась такая идея: возможно, имело бы смысл разработать законопроект, в соответствии с которым банки были бы обязаны отчитываться перед FinCert. С одной стороны, конечно, речь идет о том, чтобы перевести добровольный механизм в механизм принуждения. А с другой стороны, чем больше проходит времени, тем лучше участники рынка понимают, что FinCert – это очень оперативный организм, который помогает быстро реагировать на угрозы в сфере ИБ, аккумулировать информацию о рисках в этой сфере, описывать типовые сценарии атак и т.д.»

NBJ обратился к участникам банковского рынка с вопросом, как они оценивают текущую эффективность процесса обмена информацией об инцидентах в сфере ИБ между банками и регулятором рынка и как они относятся к предложению закрепить такой обмен на законодательном уровне, тем самым сделав его обязательным для финансово-кредитных организаций. 


РОСГОССТРАХ БАНК 

Артем Гонта,
директор департамента экономической 
и информационной защиты бизнеса 

Если рассматривать все типы инцидентов ИБ, то информации о них может быть очень много, и она не будет нести в себе практической пользы для других участников банковского сообщества, так как подавляющее большинство типов инцидентов ИБ являются общими и встречаются повсеместно. Также, если банки будут обязаны отчитываться перед FinCert, остро встанет вопрос обеспечения конфиденциальности персональных данных клиентов и работников, банковской и коммерческой тайны. Например, используемые средства и методы обеспечения информационной безопасности в большинстве кредитных организаций являются сведениями, составляющими коммерческую тайну, так как знание таких средств позволяет спланировать и осуществить целенаправленную атаку на информационные системы и сервисы банка. То есть все конфиденциальные сведения из передаваемой информации должны предварительно убираться, а это приведет к существенному обобщению и понижению ее практической ценности.

Поэтому без четкого определения объема и типа предоставляемой информации делать такой обмен обязательным, на наш взгляд, преждевременно. Более того, согласно указанию Банка России № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств», все банки уже обязаны ежемесячно предоставлять в ЦБ сведения о выявленных инцидентах ИБ при осуществлении переводов денежных средств.

 

СДМ-Банк

Олег Илюхин, 
заместитель председателя правления, директор департамента информационных технологий 

На мой взгляд, законодательно закрепить обязанность банков передавать информацию об инцидентах в сфере ИБ в FinCert необходимо. При этом надо четко провести грань между информацией, которая подлежит обмену, и другой информацией, которая составляет банковскую тайну, поскольку банки не имеют права без требований регулятора обнародовать такого рода сведения. 
Также нужно объяснять, что за раскрытие информации об инцидентах банки будут поощрять, или хотя бы что это не повлечет никаких негативных последствий. Также необходимо будет принять меры, чтобы эта информация не уходила дальше специализированных подразделений банков, иначе ее распространение неизбежно повлечет за собой репутационные риски банка, раскрывшего информацию, а в худшем случае – и негатив ко всей банковской системе.

В случае организации такого обмена можно будет собирать и классифицировать информацию об атаках и способах атак на расчетные подразделения банков, на системы ДБО, на сеть банка, а также данные о мошеннических операциях, например по пластиковым картам. Подобная информация будет служить подспорьем службе ИБ при совершенствовании систем защиты.
Сейчас подобного рода обмен организован на базе FinCert в добровольном режиме. Когда банки стоят перед выбором, отправлять или нет, то получается, что информацию не отправляют, либо зачастую служба ИБ действует на свой страх и риск, делая это без согласования с руководством. Поэтому и нужно организовать этот обмен сверху, с помощью регулятора, действуя при этом крайне аккуратно.

 

Быстроденьги

Кирилл Кибалко, 
директор по информационным технологиям 

Несомненно, обмен информацией об инцидентах в сфере ИБ необходим. При таких инцидентах кредитные учреждения сталкиваются не с единичными хакерами, а с организованными преступными группировками. Это целые сообщества, которые вырабатывают стратегии и способы хищения, обмениваются информацией между собой. 

Нет ни одной финансовой компании, которая бы не подвергалась таким информационным атакам. МФО «Быстроденьги» не исключение: мы регулярно фиксируем DDoS-атаки, направленные на приостановку деятельности компании. За 2015 год наши специалисты предотвратили 96 таких посягательств и еще порядка 30 атак с использованием шпионского программного обеспечения, направленных на кражу информации, составляющей коммерческую тайну. 

С учетом этого я думаю, что банкам и МФО стоит делиться опытом, учиться друг у друга и, как я уже сказал, обмениваться информацией с регулятором рынка в лице Банка России, например по пластиковым картам. 

 

Златкомбанк

Александр Виноградов,
начальник управления ИБ 

Любой обмен информацией преследует или должен преследовать определенные цели. Характер целей определяет требования к процессу обмена информацией, включая требования к ее содержанию. Например, для целей общей оценки объемов ущерба может быть достаточно информации о сумме похищенных/заблокированных на чужом счете средств, для целей выявления в собственном банке аналогичной атаки – данных о настройке средств мониторинга и контроля. А для целей выявления, противодействия и недопущения каких-то атак впредь нужна полная информация: кто, что, где, когда, как, что в результате и куда ушло и пр. (может включать до пяти-шести листов структурированных стандартных данных на каждый инцидент). 

В этой связи беспредметное (неконкретное) обсуждение темы обмена информацией об инцидентах в сфере информационной безопасности для банков не несет содержательного смысла. При этом следует учитывать, что любая информация об инциденте безопасности в каком-либо из банков может быть использована конкурентами недобросовестным образом, например для антирекламы: антиреклама запрещена, но за руку здесь не поймаешь. Поэтому любой обмен информацией должен осуществляться с соблюдением мер анонимности, а возможно, и псевдонимности, но здесь не обойтись без третьей доверенной стороны. А теперь давайте подумаем: можно ли в имеющихся обстоятельствах говорить о некоем обязательном обмене, когда по указанным позициям еще нет полной ясности, хотя есть основания надеяться, что она начнет формироваться (FinСеrt и т.п.).

 

Связь-Банк

Сергей Курочкин,
заместитель директора департамента безопасности 

Наш банк сотрудничает с FinCert, который на регулярной основе предоставляет отчеты по угрозам безопасности, и мы вносим изменения в политику безопасности согласно рекомендациям Центра. Со своей стороны, в случае обнаружения новых угроз мы предоставляем о них информацию и комментарии о способах противодействия.

Мы считаем это сотрудничество продуктивным, так как отчеты FinCert позволяют нам устранять уязвимости и предотвращать потери данных до возникновения инцидента в наших системах. При обнаружении нами каких-либо угроз FinCert проводит комплексное исследование и отправляет запросы разработчикам ПО для устранения уязвимости, например запросы к разработчикам антивирусных систем о выпуске сигнатур обнаружения выявленного вирусного кода.

Если говорить о законодательном закреплении обязаннос-ти банков передавать информацию в FinCert, то лично я считаю такое развитие событий желательным и уверен, что в этом случае сотрудничество между Центром и банками может стать более эффективным.

 

ФК «Открытие»

Вячеслав Касимов,
заместитель директора по безопасности банка

Наш банк сотрудничает с FinCert. Мы регулярно получаем от Центра информацию об инцидентах в кредитной сфере и, безусловно, будем передавать информацию об инцидентах в случае их возникновения. Если кого-либо интересует наша оценка эффективности такого сотрудничества, то мы по собственному опыту считаем его достаточно продуктивным. 

Что же касается законодательного закрепления обязанности банков передавать информацию в FinCert и того, повысит ли это эффективность сотрудничества между ним и банками, то мой ответ – нет. В таком закреплении нет необходимости, поскольку, на наш взгляд, взаимодействие между финансово-кредитными организациями и FinCert является и на сегодняшний день вполне успешным.

 

МТИ-Банк

Александр Вильдман, 
советник председателя правления

Обмен информацией, конечно, весьма полезен, только делать его обязательным бессмысленно. К сожалению, позиция регулятора такова, что любая информация об инциденте приведет к негативу как минимум в сфере рисков. Причем не важно, что произошло, своевременно ли выявили угрозу, предотвратили негативные последствия или нет. В такой ситуации банки будут вынужденно скрывать информацию и сообщать только о том, что скрыть просто нереально. Если регулятор изменит позицию и введет какие-то поощрительные баллы за предотвращение инцидентов, информирование об угрозах и способах защиты, тогда обязательный обмен будет эффективным.

Источник: NBJ

Рассылка
Рассылка

Подпишитесь на нашу ежемесячную новостную рассылку

e-mail не введен либо введен не корректно
Пресс-служба
Пресс-служба

Телефон
Электронная почта

Реквизиты компании

В любом отделении любого банка


Безналичным переводом на расчетный счет нашей компании. Необходим паспорт, реквизиты компании и информация о договоре.

Микрофинансовая компания «Быстроденьги» (Общество с ограниченной ответственностью)
123290, Москва г, 1-й Магистральный тупик, дом № 11, строение 10
ИНН 7710353606
КПП 631643001
ОГРН 1027739207462
ОКПО 48183777
ОКАТО 73401384000
р/с 40701810710310008965
Банк получателя Филиал №6318 ВТБ24 (ПАО) г.Самара
БИК 043601955
к/с 30101810422023601955

При выборе данного способа проведения платежа необходимо учитывать, что поступление банковского перевода занимает около 3 дней (конкретную информацию необходимо уточнить в выбранном банке). Таким образом, внесенная к оплате сумма должна включать проценты за пользование микрозаймом в течение данного периода.

НАСТОЯЩИМ ВЫРАЖАЮ СОГЛАСИЕ

Микрофинансовой компания «Быстроденьги» (Общество с ограниченной ответственностью) (ОГРН 1087325005899), расположенной по адресу: 123290, Россия, город Москва, тупик Магистральный 1-й, дом 11, стр. 10 (далее – «Общество»)

1. ПОЛУЧАТЬ ИНФОРМАЦИЮ РЕКЛАМНОГО ХАРАКТЕРА ОБ ОБЩЕСТВЕ ИЛИ ЕГО ПАРТНЕРАХ ОТ ОБЩЕСТВА И/ИЛИ ОТ МФК Турбозайм (ООО) (ОГРН 1137746702367, ИНН 7702820127, КПП 771401001);

2. ОБРАБАТЫВАТЬ СЛЕДУЮЩИЕ МОИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ: фамилия, имя, отчество; пол; дата и место рождения; паспортные данные, в том числе, сведения об адресе регистрации; идентификационный номер налогоплательщика; номер страхового свидетельства обязательного пенсионного страхования; место фактического проживания; семейное положение и количество детей; сведения о полученном образовании; сведения о форме занятости и среднем размере месячного дохода и расхода; дата предыдущей и следующей зарплаты; номера контактных телефонов; адрес электронной почты; сведения о наименовании работодателя, адресе места работы и должности; трудовом стаже и графике работы; а также иные данные, предоставляемые мной Обществу в процессе заполнения анкеты на сайте Общества.

В случае предоставления мною Обществу персональных данных третьих лиц, я заявляю и гарантирую, что мною получено согласие этих лиц на передачу их персональных данных Обществу и обработку этих персональных данных Обществом.

Мое согласие распространяется на обработку моих персональных данных Обществом В СЛЕДУЮЩИХ ЦЕЛЯХ:

- рассмотрение Обществом моих заявок, при котором производится оценка моей потенциальной кредитоспособности и платёжеспособности;

- осуществление и выполнение функций, полномочий и обязанностей Общества, возложенных на него законодательством Российской Федерации, а также прав и законных интересов Общества;

- оказание мне Обществом финансовых и иных консультаций;

- продвижение услуг Общества и /или партнеров Общества, включая МФК Турбозайм (ООО) (ОГРН 1137746702367, ИНН 7702820127, КПП 770201001).

Мое согласие распространяется на следующие ДЕЙСТВИЯ ОБЩЕСТВА ПО ОБРАБОТКЕ моих персональных данных, осуществленные в указанных выше целях: сбор, запись, хранение, уточнение (обновление, изменение), использование, передача третьим лицам (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение, как с использованием средств автоматизации, так и без использования таких средств.

Мое согласие распространяется на передачу Обществом моих персональных данных третьим лицам, в частности, МФК Турбозайм (ООО) (ОГРН 1137746702367, ИНН 7702820127, КПП 770201001), включая трансграничную передачу персональных данных на территории любых иностранных государств, если такая передача соответствует указанным выше целям обработки персональных данных.

Настоящее Согласие действует в течение 1 (один) год.

Настоящее Согласие может быть отозвано мной путем подачи Обществу соответствующего письменного заявления. Заявление об отзыве настоящего Согласия может быть подано только мной лично, для чего я должен (должна) явиться в Общество с документом, удостоверяющим личность, и подать сотруднику Общества соответствующее заявление, либо направить заявление на отзыв Согласия на юридический адрес Общества, в таком заявлении должны быть указаны мои паспортные данные, а моя подпись заверена нотариально.

Между мной и Обществом достигнуто соглашение о том, что в случае отзыва мною настоящего Согласия Общество вправе продолжать обрабатывать мои персональные данные в целях исполнения Обществом требований законодательства.

Настоящим я признаю и подтверждаю, что в случае необходимости предоставления моих персональных данных для достижения указанных выше целей третьему лицу, передачи Обществом принадлежащих ему функций и полномочий иному лицу, а равно при привлечении третьих лиц к оказанию услуг в указанных целях Общество вправе в необходимом объеме раскрывать для совершения вышеуказанных действий информацию обо мне лично (включая мои персональные данные) таким третьим лицам, а также предоставлять таким лицам соответствующие документы, содержащие такую информацию.