14 –16 февраля состоялся Уральский форум «Кибербезопасность в финансах» - крупнейшее в России мероприятие для обсуждения тенденций в сфере обеспечения информационной безопасности финансовых организаций.
На пленарной сессии Председатель ЦБ РФ Набиуллина Эльвира Сахипзадовна выделила несколько важнейших направлений по развитию ИБ в банковской сфере:
- разработка отечественного ПО;
- дефицит кадров в сфере ИБ;
- финансовая грамотность населения.
Множество обсуждений было посвящено борьбе с дропперами и созданию общей системы антифрода с единой базой злоумышленников.
В ходе пленарной сессии было предложено объединить усилия финансовых организаций, чтобы блокировать выявленных мошенников не только в рамках одной организации, но и лишить их возможности вывода украденных средств через любые финансовые институты.
Уже сейчас разрабатываются регулирующие нормативные документы и технические решения, например, системы антифрода на основе искусственного интеллекта или защита от подмены телефонных номеров.
Однако, новым вызовом является социальная инженерия с DeepFake, практика борьбы с которой пока только формируется.
«Мы стали ближе. Мы стали взаимодействовать на совершенно другом уровне. И эту тенденцию нужно развивать!», - один из ключевых тезисов пленарной сессии Уральского форума.
В ходе пленарной сессии было предложено объединить усилия финансовых организаций, чтобы блокировать выявленных мошенников не только в рамках одной организации, но и лишить их возможности вывода украденных средств через любые финансовые институты.
Уже сейчас разрабатываются регулирующие нормативные документы и технические решения, например, системы антифрода на основе искусственного интеллекта или защита от подмены телефонных номеров.
Однако, новым вызовом является социальная инженерия с DeepFake, практика борьбы с которой пока только формируется.
«Мы стали ближе. Мы стали взаимодействовать на совершенно другом уровне. И эту тенденцию нужно развивать!», - один из ключевых тезисов пленарной сессии Уральского форума.
На сессии «Аутсорсинг информационных технологий и использование облачных сервисов» участники, в том числе представители ЦБ РФ, Государственной Думы ФС РФ, Национального совета финансового рынка, Ассоциации банков России и облачных сервисов, сделали акцент на том, что для аутсорсинга не хватает правовой основы. Это связано с тем, что финансовые организации, привлекающие различных поставщиков услуг, работают не только с персональными данными, но и банковской тайной.
Сложность заключается в том, что необходимо учесть интересы всех сторон. Ответственность при таком взаимодействии должна разделяться между финансовой организацией и поставщиком услуг.
Представители облачных решений заявили, что их не пугает такая ответственность и они готовы работать с финансовым рынком, поэтому активно участвуют в разработке законопроектов.
Важным вектором развития остается оценка рисков при взаимодействии с поставщиками услуг. Необходимо явно задокументировать определение аутсорсинга и требования к содержанию договора между банками и компаниями, предоставляющими различные сервисы.
ЦБ РФ также предложил первично установить саморегулирование, то есть попробовать рассмотреть внедрение не законов, а стандартов, тем самым снизив регуляторную нагрузку.
Национальный совет финансового рынка считает, что нужен компромисс, например, рекомендации от регуляторов с популяризацией лучших практик.
По сложившейся традиции на Уральском форуме данным вопросам была посвящена отдельная сессия «Обеспечение безопасности значимых объектов критической информационной инфраструктуры».
За пару месяцев 2024 года наблюдаем резкий прирост вопросов по 187-ФЗ. Заметно, что регуляторы усиливают контроль субъектов критической информационной инфраструктуры (КИИ) не только в финансовой индустрии. Среди рассматриваемых вопросов особое внимание было уделено новым угрозам в отношении субъектов КИИ, среди которых были рассмотрены атаки на цепочки поставок. В качестве решений были названы:
- обеспечение технологической независимости;
- обеспечение безопасного жизненного цикла всех элементов КИИ, включая безопасную разработку.
Сложность заключается в том, что необходимо учесть интересы всех сторон. Ответственность при таком взаимодействии должна разделяться между финансовой организацией и поставщиком услуг.
Представители облачных решений заявили, что их не пугает такая ответственность и они готовы работать с финансовым рынком, поэтому активно участвуют в разработке законопроектов.
Важным вектором развития остается оценка рисков при взаимодействии с поставщиками услуг. Необходимо явно задокументировать определение аутсорсинга и требования к содержанию договора между банками и компаниями, предоставляющими различные сервисы.
ЦБ РФ также предложил первично установить саморегулирование, то есть попробовать рассмотреть внедрение не законов, а стандартов, тем самым снизив регуляторную нагрузку.
Национальный совет финансового рынка считает, что нужен компромисс, например, рекомендации от регуляторов с популяризацией лучших практик.
По сложившейся традиции на Уральском форуме данным вопросам была посвящена отдельная сессия «Обеспечение безопасности значимых объектов критической информационной инфраструктуры».
За пару месяцев 2024 года наблюдаем резкий прирост вопросов по 187-ФЗ. Заметно, что регуляторы усиливают контроль субъектов критической информационной инфраструктуры (КИИ) не только в финансовой индустрии. Среди рассматриваемых вопросов особое внимание было уделено новым угрозам в отношении субъектов КИИ, среди которых были рассмотрены атаки на цепочки поставок. В качестве решений были названы:
- обеспечение технологической независимости;
- обеспечение безопасного жизненного цикла всех элементов КИИ, включая безопасную разработку.
Отдельным вопросом рассмотрели влияние разработчиков и подрядчиков на безопасность субъектов КИИ. Практика показывает, что компании пренебрегают обработкой рисков, связанных с их влиянием.
Заместитель директора ФСТЭК Лютиков Виталий Сергеевич рассказал о проекте документа по сертификации процессов разработки для субъектов КИИ.
Помимо разработки собственного программного обеспечения субъектами КИИ, обсудили безопасность использования Open Source решений.
В текущих реалиях необходимо приложить много усилий, чтобы убедиться в их безопасности. Сейчас каждая организация делает это самостоятельно, независимо от других. Была высказана идея о том, что эффективнее было бы объединить усилия, организовать данный процесс и делиться результатами друг с другом.
Говоря об импортозамещении, Виталий Лютиков отметил, что переход на отечественные решения неизбежен, а все мысли о том, что зарубежные вендоры вернутся и можно будет снова использовать их решения, стоит отбросить.
На вопрос о том, стоит ли субъектам КИИ ожидать изменений в требованиях по защите своих объектов, представитель регулятора ответил, что требования Приказов ФСТЭК №235 и №239 в будущем будут меняться, но концептуально останутся теми же. Подобных изменений в ближайший год ожидать не стоит.
На фото специалисты Deiteriy обсуждают с Эльвирой Сахипзадовной методики проведения тестирования на проникновение и анализа уязвимостей.
Заместитель директора ФСТЭК Лютиков Виталий Сергеевич рассказал о проекте документа по сертификации процессов разработки для субъектов КИИ.
Помимо разработки собственного программного обеспечения субъектами КИИ, обсудили безопасность использования Open Source решений.
В текущих реалиях необходимо приложить много усилий, чтобы убедиться в их безопасности. Сейчас каждая организация делает это самостоятельно, независимо от других. Была высказана идея о том, что эффективнее было бы объединить усилия, организовать данный процесс и делиться результатами друг с другом.
Говоря об импортозамещении, Виталий Лютиков отметил, что переход на отечественные решения неизбежен, а все мысли о том, что зарубежные вендоры вернутся и можно будет снова использовать их решения, стоит отбросить.
На вопрос о том, стоит ли субъектам КИИ ожидать изменений в требованиях по защите своих объектов, представитель регулятора ответил, что требования Приказов ФСТЭК №235 и №239 в будущем будут меняться, но концептуально останутся теми же. Подобных изменений в ближайший год ожидать не стоит.
На фото специалисты Deiteriy обсуждают с Эльвирой Сахипзадовной методики проведения тестирования на проникновение и анализа уязвимостей.
