Кібербезпека у банківському секторі: чи допоможе IT-outsourcing?

Останнім часом функціонування інформаційних систем у світі виявило проблему недостатньої захищеності від комп’ютерних вірусів. BadRabbit, WannaCry, Petya та інші вражали несподівано, паралізуючи комп’ютерні системи різних установ та підприємств. Їх розробники хоча й мали подекуди різну мету та способи впровадження вірусних програм, однак базувалися на спільному підґрунті – недоліках і слабкостях системи кібербезпеки. Доволі ілюстративним у цьому питанні видається механізм дії вірусу Petya, який за кілька днів завдав мільйонних збитків українському бізнесу та державним установам. Вірус непомітно вражав популярну програму бухгалтерського забезпечення M.E.Doc., отримував доступ до адміністративних прав керування комп’ютерною системою та безперешкодно поширював власні копії.

Не стали винятком банківські установи, які повинні бути захищеними сучасним технічним та системним забезпеченням. Світовий досвід атак вірусів і значних фінансових втрат мав стимулювати, насамперед, саме фінансові установи до пошуку прогалин власних систем кіберзахисту та їх постійного оновлення. Однак 2017 р. показав фактичну неготовність українських банків захисти себе від подібних втручань у роботу їхніх  інформаційних систем.

Загальна оцінка подій 27- 29.06.2017 р. демонструє, що 70% українських банків так чи інакше постраждали від кібератак вірусу Petya. Видимим наслідком таких атак стала зупинка роботи терміналів, платіжних систем, відділень банків, а також обмежений доступ до інтернет-банкінгу та міжнародних переказів. Хоча банки продовжують стверджувати, що атаки негативно вплинули винятково на інфраструктуру системи Windows, а вірус не отримав доступу до персональних баз даних клієнтів, ніхто вже не може бути впевнений, що більш «витончена» програма не зможе цього зробити. Той факт, що банки не витримали кібератак, наштовхує на висновок, що проблема криється не лише в IT-департаменті кожного окремого банку. Недооцінка потенційних загроз, відсутність належного програмного забезпечення та нех- тування належним бюджетуванням систем кібербезпеки банку – все це свідчить про недостатність системного підходу до забезпечення  кібербезпеки.

Постанова НБУ №95 та її наслідки

28.09.2017 р. Національний банк України прийняв Постанову №95 «Про затвердження Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України» (далі – Постанова), якою зобов’язав банки протягом 2018 р. вжити заходів для посилення своєї кібербезпеки. Цей акт об’єднав у собі два етапи:

  • до 01.03.2018 р. банки мають провести організаційні зміни – обов’язкове створення колективного органу з питань впровадження та функціонування систем управління інформаційною безпекою («СУІБ»), забезпечити у ньому представництво членів правління банку та призначення відповідальної особи за інформаційну безпеку банку, а також частково чи повністю оновити свої базові системи інформаційної безпеки та привести їх у відповідність до Міжнародних стандартів ISO/IEC 27001, ISO/IEC 27002, PCI DSS, які закладені в основу Постанови;
  • до 01.09.2018 р. мають бути впроваджені додаткові заходи посилення інформаційної безпеки – робота з носіями інформації, функціонування серверів банку та використання інструментів централізованого моніторингу.

Найбільш суттєві зміни повинні бути впроваджені вже до 01.03.2018 р. Насамперед, для банків буде важливо забезпечити належний розподіл прав доступу до інформаційних систем банку та періодичність їх контролю, використання механізмів багатофакторної автентифікації та відповідні стандарти шифрування, централізоване управління мережею банку та належний рівень документального оформлення таких процесів захисту інформації.

Таким чином, вже за тиждень банки мають бути готові представити свої оновлені системи кіберзахисту, які повинні відповідати більше ніж сотні вимог Постанови (стаття підготовлена 23.02.2018 р. – прим. ред.). Водночас Постанова не передбачає спеціальних санкцій у разі порушення встановлених вимог. Однак, з огляду на ст. 73 Закону України «Про банки і банківську діяльність», можна виокремити види санкцій за порушення банківського законодавства, які можуть застосовуватися саме у випадку нехтування вимогами щодо вдосконалення систем кіберзахисту:

  • письмове застереження;
  • обмеження, зупинення чи припинення здійснення окремих видів здійснюваних банком операцій, у тому числі операцій з пов’язаними з банком особами;
  • накладення штрафів;
  • тимчасове (до усунення порушення) відсторонення посадової особи банку від посади.

Вірогідно, письмове застереження стане першим видом санкцій, що буде застосовуватися НБУ після виявлення невідповідності положенням. Постанови та передбачатиме певний додатковий строк для впровадження нових систем кіберзахисту. У разі подальшого систематичного нехтування своїми обов’язками банки ризикуватимуть обмеженням окремих видів діяльності, які є найбільш вразливими до наслідків кібератак, або тимчасовим відстороненням посадових осіб, прямо відповідальних за впровадження  положень. Постанови у діяльності банку. До того ж функціонування таких банків особливо привертатиме увагу НБУ, адже неготовність банку захистити свої інформаційні системи від можливих кібератак становить реальну загрозу для персональних даних клієнтів окремого банку та всієї банківської системи країни.

Впровадження послуг IToutsourcing

Чи насправді банки готові у такі короткі строки самостійно розробити, профінансувати та запровадити всі необхідні заходити? Адже такі нововведення вимагають значних фінансових затрат і залучення кваліфікованих IT-професіоналів. Хоча пошук та впровадження програмного забезпечення не передбачає значних складнощів, проте знайти спеціалістів, які змогли б провести якісну оцінку недоліків систем та супутніх ризиків кібербезпеки, виявляється набагато складнішим завданням. У той час, коли ринок міжнародних компаній-інтеграторів (наприклад, Windows) володіє повним спектром необхідного програмного і технічного забезпечення, ринок національних спеціалістів у сфері систем кібербезпеки залишається дуже вузьким. Таким чином, не кожен банк, що має IT-департамент, зможе встояти проти наступної атаки вірусу, адже найсильнішою гарантією безпеки для банку є саме підготовча робота, а також постійне оновлення систем та аналіз недоліків, які вимагають комплексної оцінки більш вузькоспеціалізованих фахівців. Іншими негативними чинниками, що впливають на неспроможність банків самостійно покращувати власні системи кібербезпеки, є «застарілість» поглядів деяких спеціалістів ІТ-департаментів щодо впровадження сучасних методів захисту інформаційних систем, значні фінансові затрати на залучення вузькоспеціалізованих працівників, неналежне впровадження міжнародних стандартів ISO та недостатність зовнішньої незалежної оцінки систем безпеки банку. Саме тому все більшого поширення набирають послуги IToutsourcing для банків з метою якнайшвидшого приведення методів захисту їхніх інформаційних систем у відповідність до Постанови. Насамперед, такі послуги пропонують деякі IT-компанії, які проводять загальний технічний аудит та перевірку регламентного забезпечення функціонування систем захисту банку. Така перевірка має включати penetration test (тест на проникнення як метод оцінювання захищеності комп’ютерної системи), який допомагає виявити технічні недоліки інформаційних систем та визначити необхідний перелік потрібних систем безпеки. Однак чи є такий аудит достатнім для виявлення всіх потенційних ризиків?

Попередній комплексний аудит насправді є визначальним чинником розуміння недоліків інформаційних систем банку, однак лише першою стадією для оцінки всіх можливих ризиків. Адже поряд з інформаційно-технологічним аспектом також необхідна оцінка ризиків менеджменту та правового регулювання, які впливають на загальну політику банку щодо забезпечення інформаційної безпеки.

На жаль, перевірка лише регламентного забезпечення так само не зможе виявити ризиків неналежної роботи персоналу щодо забезпечення інформаційної безпеки та загалом ставлення адміністрації банку до попередження атак на інформаційні системи.

Отже, кібербезпека банків вимагає комплексного, чітко спланованого, поетапного проекту вдосконалення систем її захисту. Такий комплекс має включати три основні підходи щодо виявлення загроз для функціонування інформаційних систем банку:

  • технологічний – першочерговий аудит, впровадження оновлених методів захисту та подальша оптимізація всієї ІТ-інфраструктури банку з метою не лише позбутися недоліків, але й попередити їх у майбутньому;
  • робота з персоналом та адміністрацією банку – на цьому етапі необхідно не лише перевірити належне регламентне забезпечення роботи інформаційних систем, але й провести подальші роз’яснювальні роботи з персоналом; з іншого боку, це робота з керівництвом банку, що має забезпечити розуміння всіх можливих ризиків наступних кібератак та санкцій НБУ за невідповідність положенням Постанови;
  • правове забезпечення, яке дозволило б належним чином врегулювати відносини між банком та ІТ-компанією щодо конфіденційності інформації.

Розробка такого комплексного проекту дозволила б побудувати довгострокові відносини між банками та вузькоспеціалізованими IT-компаніями, що надають послуги у сфері кібербезпеки. Адже якщо впровадження заходів щодо приведення інформаційних систем банків у відповідність до положень.

Постанови можливе із залученням лише окремих ІТ-компаній, то подальший захист від можливих кібератак, на жаль, не буде повністю забезпечений, оскільки лише постійна робота щодо запобігання вірусним загрозам зможе убезпечити банки від можливих матеріальних збитків.

Банкам необхідно зрозуміти, що санкції НБУ – це найменша загроза їхній роботі та існуванню, у порівнянні з вірусною атакою, яка наступного разу може вразити персональні бази даних клієнтів і призвести до масштабніших наслідків для функціонування всієї банківської системи.

 

 

 

 

Подібні публікації

07 Лютого 2023

Публікації

Потрібні на економічному фронті: хто може бронювати працівників від мобілізації
07 Лютого 2023

Публікації

Відстрочка від мобілізації. Що змінюється в правилах бронювання співробітників
30 Січня 2023

Публікації

Понад 173 млн грн відшкодування вже присудили рф українські суди
Cookies повідомлення

Ми використовуємо дані cookie, щоб аналізувати поведінку відвідувачів
нашого сайту та покращувати його. Використовуючи наш сайт, ви даєте згоду на дані cookie відповідно до нашої Cookie Policy.