CC BY
0
УДК 004.056
АНАЛИЗ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЭКОНОМИЧЕСКИХ ИНФОРМАЦИОННЫХ СИСТЕМ
© 2024 М. А. Лапина1, А. С. Медведева2, В. Г. Лапин3, Н. С. Бойков4, Д. И. Ледян5
1 доцент, Северо-Кавказский федеральный университет, Ставрополь
e-mail: mlapina@ncfu.ru
2 студент, Северо-Кавказский федеральный университет, Ставрополь
e-mail:medvedeva anna2001 @mail. ru 3 доцент, Северо-Кавказский федеральный университет, Ставрополь
e-mail: mlapina@ncfu.ru 4студент, Северо-Кавказский федеральный университет, Ставрополь e-mail:medvedeva anna2001 @mail. ru 5 аспирант, Московская финансово-юридическая академия, Москва
В последние годы в мировой экономике происходит глобальный процесс цифровизации. Активное развитие информационных технологий оказывает сильное влияние на финансовую инфраструктуру, что дает преимущества как для клиентов, так и для продавцов финансовых услуг. Интеграция новых технологий позволяет улучшить качество обслуживания, повысить эффективность операций, снизить издержки и т.д. Однако наряду с преимуществами развитие финансовых технологий сопряжено и с рисками, в том числе затрагивающими информационную безопасность.
Ключевые слова: информационная безопасность, информационные риски, экономические системы, цифровизация экономики.
ANALYSIS OF INFORMATION SECURITY RISKS OF ECONOMIC SYSTEMS
© 2024 M. A Lapina1, A. S. Medvedeva2, V. G. Lapin3, N. S. Boykov4, D. I. Ledyan5
1 Scientific Supervisor, Associate Professor, Department of Information Security of Automated Systems, North Caucasus Federal University e-mail: mlapina@ncfu.ru 2 Student, North Caucasus Federal University e-mail:medvedeva anna2001 @mail. ru 3Scientific supervisor, Associate Professor, Department of Information Security of Automated Systems, North Caucasus Federal University 4 Student, North Caucasus Federal University e-mail:medvedeva anna2001 @mail. ru 5 Postgraduate Student, Moscow Academy of Finance and Law
In recent years, the global economy has been undergoing a global digitalization process. The active development of information technology has a strong impact on the financial infrastructure, which provides advantages for both customers and sellers of financial services. The integration of new technologies makes it possible to improve the quality of service, increase the efficiency of operations, reduce costs, etc. However, along with the advantages, the development of financial technologies also involves risks, including those affecting information security.
Keywords: information security, information risks, economic systems, digitalization of the economy.
В настоящее время процесс цифровизации затрагивает почти все сферы деятельности, включая экономику и финансы. Сейчас понятие «цифровая экономика» подразумевает повсеместное использование информационных технологий. Основные направления применения финансовых технологий представлены на рисунке 1.
Рис. 1. Основные направления применения финансовых технологий
Можно выделить несколько основных преимуществ внедрения цифровых технологий в сферу экономики: повышение эффективности и доступности предоставляемых услуг, снижение затрат на производство, повышение производительности труда и конкурентоспособности. Несмотря на преимущества и возможности новых технологий, информационная безопасность является одним из главных вопросов. В экономике информация играет важную роль, и цифровая версия экономики повышает ее уязвимость.
Одной из основных проблем обеспечения информационной безопасности, связанной с цифровизацией экономики? является низкий уровень культуры информационной безопасности. Сотрудники не всегда осознают риски, связанные с потерей информации. Зачастую именно недостаточные знания сотрудников влекут за собой эти потери. Поэтому организациям следует проводить семинары и тренинги для повышения знаний сотрудников в области информационной безопасности
Поскольку финансовый сектор непосредственно связан с денежными потоками, он привлекает внимание многих злоумышленников. Связано это с тем, что системы собирают и обрабатывают огромные объемы информации, включая персональные данные пользователей, что представляет собой угрозу для конфиденциальности информации и может стать целью кибератак. В связи с тем что уровень угроз в информационном пространстве постоянно возрастает и злоумышленники используют все более изощренные методы проведения атак, ситуация обостряется.
По данным Банка России, количество операций, проведенных без согласия клиентов, возросло на 11,48% по сравнению с предыдущим годом. В течение 2023 г. было проведено 1165,99 тыс. операций на общую сумму 15791,41 млрд рублей, причем основная часть операций была осуществлена через онлайн-банки. На первом месте по хищению стоят операции с банковскими картами, на втором - банковские счета,
Лапина М. АМедведева А. СЛапин В. ГБойков Н. СЛедян Д. И. Анализ рисков информационной безопасности экономических информационных систем
на третьем - система быстрых платежей, также под угрозу попадают электронные кошельки.
Согласно аналитическим данным Positive Technologies за 2023 г. среди основных последствий атак зафиксированы утечка конфиденциальных данных и нарушение работы сервисов и бизнес-процессов (рис.2). В основном в утечках конфиденциальных данных содержатся персональные данные клиентов и коммерческая тайна, а также данные учетных записей, платежных карт и медицинские данные.
Утечка конфиденциальных данных 64%
Нарушение работы сервисов и бизнес-процессов 40%
Использование ресурсов для проведения атак | 3% Юридическая ответственность И 3% Прямые финансовые потери | 3%
0% 50% 100%
Рис. 2. Последствия успешных атак на финансовые организации за 2023 г.
Для решения проблем безопасности традиционным подходом является оценка рисков кибербезопасности. Методики оценки рисков позволяют выявить, оценить и ранжировать их по степени опасности и вероятности возникновения. Такой подход позволяет определить приоритетные риски и выбрать соответствующие подходы для их эффективного устранения.
Согласно Федеральному закону № 184 «О техническом регулировании» под риском понимается вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда [8].
В соответствии с международным стандартом ISO/IEC 27005:2022 «Информационная безопасность, кибербезопасность и защита частной жизни. Руководство по управлению рисками информационной безопасности. Требования и руководства» риск - это влияние неопределенности на цели, при этом влияние может быть как отрицательным, так и положительным [5]. Похожее определение можно встретить в национальном стандарте РФ ГОСТ Р 51897-2021 (ISO Guide 73:2009) «Менеджмент риска. Термины и определения», согласно которому риск - это влияние неопределенности на достижение поставленных целей [4].
Порядок оценки рисков информационной безопасности организаций кредитно-финансовой сферы определяют рекомендации в области стандартизации Банка России РС БР ИББС-2-2.2-2009, в соответствии с которыми риск - это мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы [9].
Риск можно описать как совокупность трех частей (рис. 4):
1) актив - объект, который подвержен возможной угрозе;
2) уязвимость - характеристика актива, которая может быть использована для реализации угрозы;
3) угроза - потенциальное негативное событие, использующее уязвимости
актива.
Рис. 3. Составляющие риска Классификация информационных рисков приведена на рисунке 4.
Рис. 4. Классификация информационных рисков
В зависимости от источника возникновения риски могут быть классифицированы на внешние и внутренние. Внутренние риски исходят из деятельности самого предприятия и его сотрудников, в то время как внешние риски имеют источник за пределами организации.
По характеру угрозы риски могут быть организационными, техническими и природными. Организационные риски связаны с действиями сотрудников организации и недостатками в организационной структуре, технические -с оборудованием и программным обеспечением организации, природные - с явлениями природы.
Лапина М. АМедведева А. СЛапин В. ГБойков Н. СЛедян Д. И. Анализ рисков информационной безопасности экономических информационных систем
По основным аспектам информационной безопасности можно выделить риски нарушения конфиденциальности, доступности и целостности. Нарушение конфиденциальности в основном связано с низким уровнем алгоритмов аутентификации. Риск нарушения доступности может возникнуть из-за отказов и сбоев в ПО и при воздействии атак на информационную систему. Нарушение целостности также может быть связано с отказом или сбоями в ПО, а также с недостаточной эффективностью алгоритмов и контроля доступа.
Также риски можно классифицировать по характеру последствий. Так, риск может быть допустимым, критическим или катастрофическим. По характеру последствий риски можно разделить на допустимые, критические и катастрофические. Риск допустим, если убытки не превышают ожидаемую прибыль от проекта, критический - если превышает, и катастрофический, если превысит прибыль не только проекта, но и всей организации, либо представляет угрозу жизни и здоровью человека, а также окружающей среде.
Среди основных видов компьютерных атак можно выделить атаки с применением социальной инженерии, фишинговые атаки, использование вредоносного ПО, распределенные атаки типа «отказ в обслуживании» (ВВоБ). Кроме того, можно выделить компрометацию учетных данных, использование уязвимостей системы, ложную маршрутизацию, разведывательные атаки со сканированием сетевых портов и другие.
Согласно данным автоматизированной системы обработки инцидентов «ФинЦЕРТ» ресурсы разделены на следующие категории: фишинг, финансовые пирамиды, мошенничество, нелицензионная деятельность и вредоносное программное обеспечение. Процентное соотношение ресурсов представлено на рисунке 1.
■ Фишинг
■ Финансовые пирамиды
■ Мошенничество
■ Безлицензионна деятельность
Рис. 5. Ресурсы, используемые злоумышленниками за 2023 г.
По состоянию на 2023 г. основной причиной прекращения работы финансовых сервисов являются атаки с применением вредоносного программного обеспечения, основанного на шифровании данных с целью блокировки доступа (рис. 3).
12022 ■ 2023
I I
"г? г?
I(N ГМ
гЧ
■ I ■
I
ЗАГРУЗЧИК ШИФРОВАЛЬЩИК ШПИОНСКОЕ ПО БАНКОВСКИМ ВПО ДЛЯ
ТРОЯН УДАЛЕННОГО
УПРАВЛЕНИЯ
Рис. 6. Типы вредоносного ПО в успешных атаках на финансовые организации
за 2022-2023 гг.
В связи с растущей частотой и изощренностью кибератак, направленных на кредитные и финансовые учреждения, крайне важно разработать надежную методологию оценки рисков информационной безопасности.
Библиографический список
1. Башкаева, С. М. Оценка целесообразности выбора средств защиты информации на основе анализа рисков информационной безопасности / С. М. Башкаева, И. Д. Токмакова, М. А. Лапина // Студенческая наука для развития информационного общества: сборник материалов I Всероссийской научно-технической конференции. - Ставрополь: Издательство СКФУ, 2015. - С. 202-205.
2. Бондаренко, А. С. Анализ и оценка уязвимости информации в кредитных организациях / А. С. Бондаренко, П. К. Ярыгин, М. А. Турилов // Международный журнал гуманитарных и естественных наук. - 2019. - №6-2. - URL: https://cyberleninka.ru/article/n/analiz-i-otsenka-uyazvimosti-informatsii-v-kreditnyh-organizatsiyah (дата обращения: 06.06.2024).
3. Вислогузов, Д. А. Расчет информационных рисков / Д. А. Вислогузов, М. А. Лапина //Студенческая наука для развития информационного общества: сборник материалов I Всероссийской научно-технической конференции. - Ставрополь: Издательство СКФУ, 2015. - С. 90-91.
4. ГОСТ Р 51897-2021 Менеджмент риска. Термины и определения: дата введения 01.03.2022. - Москва: Российский институт стандартизации, 2021. - 20 с.
5. ГОСТ Р ИСО/МЭК 27005-2022 «Информационная безопасность, кибербезопасность и защита частной жизни. Руководство по управлению рисками информационной безопасности. Требования и руководства»: дата введения 25.10.2022. - Москва: Стандартинформ, 2022. - 70 с.
6. Кобзева, Е. А. Оценка риска безопасности компьютерных сетей на основе метрик защищенности / Е. А. Кобзева, С. А. Степанов, М. А. Лапина // Студенческая наука для развития информационного общества: сборник материалов VI Всероссийской научно-технической конференции. - Ставрополь: Издательство СКФУ, 2017. -С. 255-258.
Лапина М. А., Медведева А. С., Лапин В. Г., Бойков Н. С., Ледян Д. И. Анализ рисков информационной безопасности экономических информационных систем
7. Нестерова, Д. А. Риски информационной безопасности коммерческих банков в условиях новой экономической и технологической реальности / Д. А. Нестерова // Инновации и инвестиции. - 2020. - №5. - иЯЬ: https://cyberleninka.ru/article/n/riski-informatsionnoy-bezopasnosti-kommercheskih-bankov-у-ш1оу1уаИ-поуоу-екопот1сЬезкоу-ИеЬпо1о£1сИезкоу-геа1поз11 (дата обращения: 11.06.2024).
8. О техническом регулировании: Федеральный закон от 27.12.2002 N 184-ФЗ // Собрание законодательства Российской Федерации. - 2002. - № 52, ч.1. -Ст. 5140.
9. Рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности». - Москва: Центральный банк Российской Федерации, 2009. - 23 с.
10. Решетникова, М. С. Киберугрозы: фактор неопределенности цифровой экономики / М. С. Решетникова, И. А. Пугачева, В. В. Попов // Креативная экономика. - 2022. - Том 16. - №11. - С. 4113-4130.
11. Семеко, Г. В. Информационная безопасность в финансовом секторе: киберпреступность и стратегия противодействия / Г. В. Семеко // Социальные новации и социальные науки. - 2020. - №1 (1). - иЯЬ: https://cyber1eninka.ru/artic1e/n/informatsionnaya-bezopasnost-v-finansovom-sektore-kiberprestupnost-i-strategiya-protivodeystviya (дата обращения: 11.06.2024).
12. Скородумов, Б. И. Информационные риски: проблемы и тенденции / Б. И. Скородумов // Вестник Российского нового университета: электронный журнал. -иЯЬ: https://sciup.org/informacionnye-riskiprob1emy-i-tendencii-148160127# (дата обращения: 11.06.2024).
