В Алматы прошел форум «Кибербезопасность финансового сектора РК». Событие отличалось по-деловому сухим, информационно насыщенным форматом.
Судя по всему, участники казахстанской финансовой системы столкнулись с технологическими вызовами, которым они не в состоянии противостоять поодиночке. Впрочем, подтвердить этот тезис какими-то фактическими данными нет никакой возможности.
До недавнего времени интересы каждого участника финансового рынка были для него превыше интересов системы в целом. Любые цифровые инциденты оставались внутренним делом финансовых организаций. Раскрытие информации о них считалось нежелательным и ведущим к подрыву репутации. Так что нет статистики, нет анализа возрастающей сложности угроз.
Это отличает Казахстан от финансовых рынков развитых стран, где каждый подобный случай подвергается публичному анализу. Такого уровня ответственности мы пока не достигли. Необходимость консолидации в нашем случае обусловлена не требованиями рынка, а соблюдением норм законов. А именно — государственной концепции кибербезопасности страны — «Киберщит Казахстана».
Работу форума открыл Шахкарим Дюсекенов, председатель правления АО «Банковское сервисное бюро Национального банка Казахстана». Он обозначил текущий приоритет финсектора — необходимость введения стандарта безопасности для каждого участника финансового рынка, обеспечивающего стабильность системы в целом.
Текущую ситуацию и перспективы развития обрисовал Роман Перминов, начальник управления информационных угроз и киберзащиты Нацбанка РК. Это управление было создано год назад.
По словам Романа Перминова, анализ общего состояния безопасности в текущий момент невозможен. Службы ИБ каждого участника рынка удерживают риски и информацию о них в зоне собственной ответственности и широкого профессионального обсуждения не получается.
Меры противодействия угрозам каждая служба безопасности выбирает исходя из знаний и умений привлеченных работников. Никто не ставит перед собой задачу оценивать ситуацию с точки зрения всего финсектора.
Отдельная большая проблема — взаимодействие с правоохранительными органами. Следствие и суд не готовы работать с цифровыми доказательствами, нет адаптации и «перевода» цифровой терминологии для применения их в уголовном законодательстве.
Что сделано для исправления ситуации? У Нацбанка появились полномочия по установлению требований к информационной безопасности банков. При этом используемые инструменты и схемы остаются внутренним делом каждого банка. Нацбанк становится отраслевым центром финансового рынка по части кибербезопасности. Определены порядок и сроки предоставления информации об инцидентах в Национальный координационный центр по информационной безопасности. Центр будет не просто координировать действия участников рынка в случае инцидентов, но и проводить анализ угроз.
В перерыве мероприятия корреспондент «Капитал.kz» обратился за комментариями к Руслану Абдикаликову, заместителю председателя комитета по информационной безопасности Министерства оборонной и аэрокосмической промышленности РК.
— Каковы потери от действий хакеров, например, в банковской сфере?
— Банки не разглашают такую информацию. Ни один банк не признается, даже взломанный, это ведь имиджевые потери.
— Но вы знаете картину в целом?
— Эту картину знает только Нацбанк, я не имею права делать запрос по инцидентам.
— Банкам легче решить проблему с вкладчиком, чем искать похитителя?
— Как правило, воруют не у банка, а у людей. Сейчас банки сильно защищены, хакер не из банка забирает деньги. Он взламывает персональные компьютеры людей с установленными клиентскими программами и забирает деньги с личных счетов. Эти деньги застрахованы и восстанавливаются. Речь надо вести о том, что люди должны больше об этом знать и себя обезопасить.
— Довольно неожиданно говорить о персональной ответственности вкладчиков на полях форума по кибербезопасности всего финсектора. Многие спикеры говорили о дефиците образовательных программ, преподавателей и специалистов. Как может быть безопасной финансовая система, если нет базовых институтов?
— Когда говорят о нехватке, имеют в виду не отсутствие полное. Если их не было вообще, мы не могли бы говорить о защите. Да, экспертов не хватает, это штучный товар на рынке, за них борются, перекупают.
— Кто защищен лучше всех? Возможен рейтинг защищенности?
— Лучше всех защищены банки, на втором месте корпоративный сектор, на третьем — промышленный сектор.
— Чем меньше в секторе денег, тем меньше защита?
— Нет, это зависит от степени проникновения IT в систему, от того, насколько рано IT туда проникло. Для банков это проблема старая, они научились защищаться. Кстати, в мире есть услуга киберстрахования. Если тебя хакер взламывает, страховая компания покрывает ущерб. У нас Нацбанк с АФК рассматривают выход такого продукта на рынок, но рынок маленький, и потребности в нем у банков пока нет. Чтобы этот продукт запустить, банк должен быть готов раскрыть перед страховой компанией стратегию своей защиты. С другой стороны, сила банковской структуры в ее закрытости, когда никто не знает, что там происходит.
— Почему Нацбанк не хочет ввести рейтинг кибербезопасности игроков финрынка?
— Такие требования нигде в мире не унифицированы. Есть определенные стандарты, минимальные требования к безопасности, задающие направление. Каждая компания приходит к своему решению: кого нанять, какое «железо» и софт купить, как отладить бизнес-процесс. Мало купить оборудование — надо ведь и эксплуатировать правильно. Потому что уже через час после покупки оборудование имеет уязвимости. Безопасность — это не результат, это процесс, поиск и устранение уязвимостей.
— Кто мировой лидер в области киберзищиты?
— Выигрывают те страны, где не скрывают проблемы, а работают вместе над поиском неисправностей и их устранением: США, Сингапур, Южная Корея, Израиль. Но и там невозможна полная безопасность.
