Специалисты по кибербезопасности в финансовой сфере в ходе круглого стола на форуме «БАНКИТ-2025» обсудили, как удалось улучшить защиту в отрасли за последние два года, после того как вступили в силу эпохальный указ № 40 «О кибербезопасности» и приказ № 130 ОАЦ о мерах по реализации этого указа.
Модератор дискуссии Дмитрий Яворский из Национального центра обмена трафиком задал тон дебатам, напомнив, что, по оценке IBM, средняя стоимость одного киберинцидента в финансовой сфере составляет $6 млн. А это – сумма годовой прибыли среднестатистического банка нашей страны. При этом в 83 % случаев причиной киберинцидентов является ошибка человека. И самый главный уязвимый элемент – это человек за ПК.
То, что киберинциденты – не просто цифры в статистике, а «боль» из реальной жизни, подтвердил в своем выступлении начальник отдела информационной безопасности ТКБанка Андрей Миклашевич.
– У нас был киберинцидент. Это, конечно, не кейс «Аэрофлота», но близко к тому: «выгорело» почти всё. Уничтожили и зашифровали виртуализацию и средства бэкапирования. На запасной площадке дата-центра тоже всё оказалось зашифрованным «в ноль». Угроза была достаточно серьезной.
Выгоды от «моды» на ЦКБ
Руководитель подразделения ОАО «Белорусский межбанковский расчетный центр»Владимир Криушев рассказал, что у БМРЦ появился свой центр кибербезопасности, и его миссия – тяжелый, но необходимый путь – нести в массы кибергигиену. На этом пути в диалоге с партнерами удается находить сторонников.
Сергей Белан из Банковского процессингового центра также подтвердил создание Центра кибербезопасности в рамках своей структуры, которая обеспечивает безопасность 80 % платежей по банковским картам в нашей стране. Этот ЦКБ обеспечивает соответствие своей деятельности не только законодательству Беларуси, а и международным стандартам и готов оказывать услуги сторонним организациям.
По его словам, главное, что привнесли новации в регулирование кибербезопасности в стране, – это попытка убрать «пожарную команду» в банках, реагирующую на инциденты, перевести на более высокий уровень оказание услуг защиты.
Этот тезис поддержал и Антон Тростянко из Wildberries, согласившийся с тем, что самая главная польза последнего регулирования кибербезопасности в стране – в том, что специалисты отошли от реагирования на инциденты в режиме «тушения пожара», внедрив проактивный подход к киберинцидентам. Сейчас многие команды кибербезопасности ведут круглосуточный мониторинг, упреждая угрозы.
– Основной плюс, которого мы добились, – это проактивный подход. К сожалению, далеко не все ЦКБ в нашей стране способны на проактивную защиту. Если рассматривать уровень зрелости центров по мировой классификации, то только центры 5–6 уровня могут действовать проактивно.
Вывод, с которым согласились все участники дискуссии: благодаря указу № 40 система кибербезопасности в стране обрела четкую структуру: появился Национальный центр кибербезопасности, осуществляется координация с ним других центров, регламент и контроль. Участники процесса сейчас нащупывают грань между контролем и партнерством.
Если раньше встреча в банке команд по информбезопасности и ИТ напоминала «бракоразводный процесс», то теперь специалисты учатся быть одной командой: ИБ защищает данные, ИТ подает их, а ЦКБ координирует процесс. При этом в информационной безопасности до сих пор нет идеального объекта – «есть те, кого не успели проверить», делились своими ощущениями спикеры.
Анализ за 15 минут
Начальник управления кибербезопасности Банка БелВЭБ Дмитрий Никипелов отметил, что в банке к настоящему времени достаточно хорошо настроено внутреннее взаимодействие, ведется круглосуточный мониторинг и реагирование, время ответа внешнему ЦКБ составляет порядка 15 минут.
– В течение этого времени мы, как правило, устанавливаем – наблюдаем предпосылку к инциденту или инцидент или ложное срабатывание систем мониторинга. У нас круглосуточная команда мониторинга и реагирования на киберинциденты существует с 2022 года, при этом есть и внешняя услуга киберзащиты, что упрощает работу.
Я вижу, что в рамках национальной команды реагирования появились коммуникация и некое единое понимание правового поля, унификация центров кибербезопасности по всей стране, что позволяет иметь единую «систему координат» и осуществлять оперативное взаимодействие.
Защита банка в смартфоне
То, что банковский сектор подготовлен лучше всех к организации киберзащиты, подтвердил Алексей Федорович из Positive Technologies.
По словам эксперта, оказалось, что требования бизнеса к киберзащите намного шире, чем требования регулятора. Потому что современный банк – это банк у каждого в смартфоне. И для того, чтобы защитить пользователя – как юридических, так и физических лиц, которые находятся удаленно, не в городе, не в деревне, а в другой части света, – необходимо намного больше технических средств, чем прописано в 40-м указе и 130-м приказе ОАЦ. И банки с этим работают.
ЦКБ VS SOC
Извечный спор, что же лучше: собственный центр кибербезопасности или свой SOC (Security Operations Center), закончился предсказуемым компромиссом: «ЦКБ – это круто, но не все могут себе позволить». С SOC – то же самое. Поэтому лучшее – это гибридный вариант.
Есть один вариант, который специалисты наблюдают сейчас на рынке – промежуточный или переходный, когда используют услуги отраслевых либо коммерческих ЦКБ на то время, пока строят свой.
Добавим еще один вывод, который участники дискуссии предложили с юмором для разрешения проблемных ситуаций. Поскольку приказ ОАЦ № 130 предоставляет много допущений на усмотрение самой организации во взаимодействии с внешней средой, то есть два «простых» пути: включить мозги и самим «допилить» корпоративное ПО или найти миллион долларов, чтобы купить вендора, который раньше смог доработать какую-то из своих систем и предлагает ее на рынке в качестве универсальной «таблетки от всех болезней».