Борьба с современными киберугрозами требует объединения усилий государства и банковского сектора

 |  

Недавние атаки вирусов-шифровальщиков WannaCry и Petya в очередной раз напомнили об актуальности проблемы защиты информационных систем от возможных посягательств киберпреступников. При этом ЦБ РФ заявляет о высокой степени защиты от киберугроз банковской системы страны в целом. Как отметили в Центре мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России, в результате этих атак были зафиксированы единичные случаи «компрометации информационных ресурсов кредитных организаций» (говоря по-русски – заражения), последствия которых были оперативно устранены.

Между тем, жертвой атаки стал, в частности, банк «Хоум Кредит», один из активных игроков российского рынка потребительского кредитования. «Хоум Кредит» находится на 40-ом месте среди российских банков по размеру активов, на 26-ом – по размеру вкладов, на 30-ом – по объему выданных кредитов. Таким образом, даже в крупных кредитных организациях информационная безопасность не всегда обеспечивается на должном уровне.

Хотя ущерб в целом оказался сравнительно невелик, тем не менее, глава Центра стратегических разработок Алексей Кудрин выступил с заявлением о том, что финансовая система России достаточно открыта для киберугроз и беззащитна перед ними. По словам бывшего министра финансов, не спасает даже то, что по степени цифровизации сфера финансов опережает другие отрасли.

Мы солидарны с г-ном Кудриным в том, что внедрение передовых информационных технологий в кредитно-финансовой сфере происходит быстрее, чем в других сферах экономики. Мы также согласны с тезисом о высоком уровне защиты банков от кибератак. Это, кстати, подтверждают статистические данные, обнародованные Центробанком РФ: по итогам первого полугодия 2017 года со счетов физических лиц было похищено примерно в 4 раза меньше денег, чем за аналогичный период прошлого года; хищения со счетов юридических лиц снизились более чем втрое.

Вместе с тем мы полагаем, что цифровой характер экономики создает дополнительные риски ведения бизнеса, поскольку возможности киберпреступников постоянно расширяются, а методы их работы год от года совершенствуются. Таким образом, противодействие киберугрозам становится тем направлением обеспечения безопасности, которое необходимо развивать в первую очередь.

ЦБ РФ рассчитывает в течение трех лет свести к минимуму потери от хищения средств кибермошенниками. Чтобы исполнить обещанное, регулятору придется напрячься, поскольку, по оценкам экспертов в сфере кибербезопасности, число атак на банки в ближайшее время будет расти приблизительно на 30% ежегодно.

В вопросах информационной безопасности повышенное внимание банкам следует уделять работе с персоналом, поскольку на сегодняшний день именно человек остается самым уязвимым звеном в IT-инфраструктуре, в первую очередь – из-за недостаточно высокого уровня осведомленности о существующих угрозах. Эксперты говорят о том, что не менее четверти сотрудников финансовых организаций склонны открывать полученные по электронной почте потенциально опасные вложения, а также выполнять действия, которые угрожают информационной безопасности компании.

В рамках работы по противодействию киберугрозам банкам необходимо регулярно проводить мониторинг защищенности своих информационных систем и оперативно исправлять выявленные недочеты. Кроме того, кредитным организациям стоит организовать систематическую работу по повышению общего уровня киберграмотности персонала в вопросах информационной безопасности, информировать работников о новых методах злоумышленников и адекватной реакции на них, при необходимости устраивая тестовые атаки.

Ни один даже самый крупный банк не сможет решить все задачи обеспечения кибербезопасности в одиночку. Необходимо объединение усилий банковского сектора, IT-разработчиков и государства в лице ЦБ РФ как координатора всей работы. Первые шаги в этом направлении уже сделаны: Центробанк совместно с рядом профильных ведомств работает над созданием онлайн-платформы, обеспечивающей информационную и техническую поддержку для банковских систем киберзащиты. Платформа будет запущена в конце 2017 года.

В дальнейшем наработанные практики информационной безопасности могут быть использованы при внедрении цифровых стандартов в тех ключевых отраслях экономики, ответственность за которые несет государство – транспортной, торговой, ЖКХ и т.д.

Олег Якушев,

эксперт АО ИК «ЦЕРИХ Кэпитал Менеджмент»




Комментарии (0):

Чтобы написать комментарий, необходимо авторизоваться.


×

Политика конфиденциальности АО ИК «ЦЕРИХ Кэпитал Менеджмент»

Настоящая политика конфиденциальности АО ИК «ЦЕРИХ Кэпитал Менеджмент» (далее - Политика) разработана в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и устанавливает правила использования АО ИК «ЦЕРИХ Кэпитал Менеджмент» (далее – Компания) персональной информации, получаемой от пользователей сайта www.zerich.com (далее - сайт), интернет-сервисов и мобильных приложений Компании.

Получение доступа к использованию сайта, интернет-сервисов и мобильных приложений Компании означает безоговорочное согласие Пользователя с положениями настоящей Политики и указанными в ней условиями обработки Компанией персональной информации пользователя.

Под интернет – сервисами и мобильными приложениями для целей применения настоящей политики подразумеваются любое программное обеспечение, позволяющее осуществлять электронное взаимодействие между пользователем и Компанией в процессе заключения/исполнения/расторжения соглашений на финансовом рынке, а также предоставления Компанией информации о своих услугах.

Компания собирает, обрабатывает и использует в определенных настоящей Политикой целях:

- персональную информацию пользователя, которую пользователь самостоятельно предоставляет Компании при переходе на сайт, создании учетной записи/регистрации/авторизации на сайте, в мобильном приложении Компании, в интернет - сервисах Компании, в том числе: фамилия, имя, отчество, пол, возраст, дата рождения, место рождения, адрес электронной почты, номер мобильного телефона, ссылки на профили в социальных сетях, реквизиты банковской карты;

- а также иные пользовательские данные, автоматически передаваемые Компании в процессе использования сайта, мобильного приложения, интернет-сервисов Компании: IP-адрес; версия ОС; версия веб-браузера; сведения об устройстве (тип, производитель, модель); разрешение экрана и количество цветов экрана; версия Flash; версия Silverlight; наличие программного обеспечения для блокирования рекламы, наличие Cookies, наличие JavaScript; язык ОС и Браузера; время, проведенное на сайте; действия пользователя на сайте), версия операционной системы мобильного устройства, с которого осуществляется доступ к мобильным приложениям Компании, данные об активности пользователя в сети Интернет, о посещенных пользователем страницах, дате и времени URL-переходов, файлы cookies.

Персональная информация пользователя обрабатывается Компанией в целях:

- установления и поддержания связи и документооборота с пользователем,

- регистрации пользователя на сайте Компании, управление учетной записью пользователя,

- предоставления пользователю доступа к мобильному приложению и иным сервисам Компании,

- принятия Компанией решения о приеме пользователя на обслуживании е в Компанию,

- исполнения Компанией обязательств перед пользователем по соглашениям между пользователем и Компанией,

- улучшения качества обслуживания пользователя,

- исполнение требований законодательства Российской Федерации,

- исполнения обязательств Компании перед контрагентами и государственными органами,

- технического управления мобильным приложением и интернет-сервисами Компании, улучшения их работы,

- выявления, пресечения недобросовестных действий третьих лиц, а также устранения технических сбоев или проблем безопасности;

- защиты прав Компании, клиентов Компании способами, соответствующими законодательству Российской Федерации,

- предоставление пользователю информации об услугах и продуктах Компании и ее партнеров,

- проведения маркетинговых мероприятий,

- статистических и иных исследований,

- в иных целях, предусмотренных заключенными между Компанией и пользователем соглашениями.

Компания вправе предоставлять информацию пользователей аффилированным лицам Компании и контрагентам Компании в вышеуказанных целях. При этом аффилированные лица Компании, а также контрагенты Компании должны соблюдать требования сохранения конфиденциальности обрабатываемой информации пользователей.

В целях исполнения требований законодательства Российской Федерации Компания вправе предоставлять информацию пользователей уполномоченным государственным органам на основании соответствующих письменных запросов.

Компания гарантирует, что персональная информация пользователей не разглашается, а также не предоставляется Компанией иным лицам, за исключением случаев, прямо предусмотренных в настоящей Политике.

Предоставление персональной информации пользователей третьим лицам, по основаниям, не указанным в настоящей Политике, допускается только при наличии дополнительного согласия пользователя, которое может отозвано пользователем в любое время.

Сайт, мобильное приложение, интернет-сервисы Компании не являются общедоступными источниками персональных данных.

Компания принимает все необходимые и достаточные правовые, организационные и технические меры для защиты информации, предоставляемой пользователями от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных видов неправомерного использования и неправомерных действий третьих лиц.

Компания ограничивает доступ сотрудников Компании, ее аффилированных лиц, а также контрагентов к персональной информации пользователей, которая не является необходимой для исполнения требований законодательства Российской Федерации либо выполнения существующих обязательств перед пользователями либо достижения иных целей, указанных в настоящей Политике.

Трудовые договоры с сотрудниками Компании, а также с контрагентами Компании предусматривают меры ответственности и штрафные санкции за нарушение конфиденциальности персональной информации пользователей.

Компания рекомендует пользователям соблюдать конфиденциальность данных учетных записей, логинов, паролей для доступа к мобильным приложениям и сервисам Компании. Пользователь обязуется незамедлительно сообщать Компании о любом случае компрометации паролей, логинов для доступа к мобильным приложениям и сервисам Компании, используемых ключей электронной подписи, а также выявленного пользователем несанкционированного использования его учетной записи. Соблюдение пользователем настоящей рекомендации позволит обеспечить максимальную сохранность предоставленной Компании информации.

Компания оставляет за собой право в любое время вносить изменения в настоящую Политику.

Новая редакция Политики вступает в силу с момента ее размещения на сайте. Продолжение пользования сайтом, мобильным приложением, интернет-сервисами Компании после публикации новой редакции Политики на сайте Компании означает безусловное согласие пользователя с новой редакцией Политики.

На пользователе лежит обязанность знакомиться с текстом Политики при каждом посещении сайта, мобильного приложения или интернет-сервисов Компании.