CC BY
29Риски информационной безопасности в кредитных организациях
Шамкина Ольга Павловна,
магистрант,
Финансовый университет
при Правительстве Российской Федерации
В данной статье раскрывается актуальность проблем определения рисков информационной безопасности и их классификации как факторов нарушения и вторжения во внутреннюю систему банка, в том числе угроз конфиденциальности клиентов (физических и юридических лиц) кредитных организаций. Рассматриваются основные методы оценки рисков, необходимость их своевременной идентификации и предотвращения. Выявлена зависимость между эффективной деятельностью банка и принимаемыми в нем мерами в рамках информационной безопасности, способами их минимизации. Установлено, что эффективная работа по выявлению рисков/угроз информационной безопасности зависит не только от финансирования и инвестирования системы безопасности, но и от поддержки со стороны руководства банка.
Ключевые слова: информационная безопасность, эффективность, риски, банковская система, модели оценки рисков, способы управления, минимизация рисков.
Глобализация и интеграция сильнее способствуют развитию и модернизации банковской системы в целом, что отражается на функциональности и расширении возможных перспектив для информационной безопасности коммерческих банков.
В рамках стратегии инновационного развития и для поддержания конкуренции в банковском секторе кредитные организации регулярно разрабатывают новые продукты, процессы и технологии, а также совершенствуют уже существующие.
Информационная безопасность является одним из главных элементов совершенствования в банках, так как в кредитных организациях содержится много важной информации, в том числе касательно клиентов (физических и юридических лиц), которая может оказаться у мошенников (хакеров, киберпреступников), что грозит банку банкротством и потерей клиентов, а в масштабном плане - разрушением финансовой системы внутри всей страны.
Актуальность данной статьи обусловлена тем, что параллельно с процессами автоматизации и компьютеризации банковской системы растет проблема обеспечения защиты информации. Информация внутри банка перемещается огромными потоками, а основная часть данных подлежит обязательной конфиденциальности. Обеспечение безопасности хранения данных, регулярная смена и проверка паролей, а также контроль вероятности утечки информации (рис. 1) стали неотъемлемой работой каждой кредитной организации.
Установление наиболее эффективной системы строится на опыте, полученном в итоге хакерских атак на банки. Данные инциденты разнородны и бесчисленны, противостоять им просто не предоставляется возможным, что неизбежно влечет за собой финансовые потери и ухудшение имиджа банка.
-&
О
о ш и-4 Н
01 Н
лить дополнительный бюджет на создание эффективной системы ИБ, в том числе современных средств защиты (рис. 2).
Рисунок 1. Утечка данных: убытки крупного бизнеса ИБ Источник: http://www.tadviser.ru/index.php
По данным совместного исследования компании УМшаге и Та^эег за 2017 - начало 2018 г. было установлено, что в Российской Федерации и странах СНГ больше половины (около 52%) банков и страховых компаний повысили бюджет на информационную безопасность в связи с ростом киберу-гроз и постоянных атак вредоносных программ1.
Для того чтобы наиболее эффективно бороться с угрозами информационной безопасности, специалистам банков, в том числе руководителям, необходимо знать основные тенденции киберу-гроз, так как они видоизменяются с каждым годом. Как и ранее, набирает оборот фишинг - подготовка атаки с рассылкой писем, ложных звонков, вредоносных сайтов. Трансформация на базе цифровых технологий кредитных организаций совместно с другими ведущими компаниями создают так называемый маркетплейс (примером может послужить взаимодействие Банки.ру, Московской биржи, НРД и банков-партнеров («Совкомбанк», «Ак Барс», «Центр-инвест», банк «Зенит») либо создание Точки-Банка и Бтр^И единой платформы для краудфандинга). Большинство таких платформ не отвечают максимально всем аспектам безопасности. Возникают условия, когда банки могут использовать персональные данные нежелательным для клиентов способом. Кроме вышеперечисленных видов угроз ИБ, в текущем году можно вспомнить вредоносные кибератаки с помощью искусственного интеллекта. Специалисты планируют предотвращать такие угрозы с помощью адаптивных моделей машинного обучения, нейронных сетей. Могут пострадать и клиенты, потенциально работающие с криптовалютой, в том числе с биткойнами. Если курс валют продолжит повышаться, нужно быть готовым к тому, что хакеры будут использовать способы майнинга [6].
Стоит отметить, что за последний год доля угроз информационной безопасности значительно возросла. Около половины действующих кредитных организаций говорят, что сохранился прежний уровень преступности в рамках информационной безопасности. Главная критичность - значительная потеря в плане финансов после кибератак. Вследствие этого банки приняли решение выде-
Рисунок 2. Доля расходов (финансовых затрат) на защиту информации в рамках ИБ
Источник: http://lib.itsec.ru
На примере исследования можно увидеть типы атак, применяемых злоумышленниками в 2017 г. (рис. 3).
Рисунок 3. Виды атак на информационную безопасность Источник: https://www.ptsecurity.com/ru-ru/
Типы событий, связанные с информационной безопасностью, зафиксированных специалистами Positive Technologies в 2017 г. (рис. 4).
1 http://www.tadviser.ru/index.php
Рисунок 4. Типы событий, связанных с информационной безопасностью
Источник: https://www.ptsecurity.com/ru-ru/
Актуальным является направление рисков информационной безопасности, связанное с мошенническими действиями злоумышленников с целью несанкционированных действий, а именно кража денежных средств со счетов клиентов банка -
юридических и физических лиц. В связи с этим возникают определенные проблемы банков, которые кроются в решении перечисленных на рис. 5 проблем.
Рисунок 5. Заинтересованность коммерческих банков (практиков) в решении проблем ИБ, результаты опроса АРБ 200 респондентов
Источник: https://arb.ru/banks/analitycs/
Риски информационной безопасности подразделяются на определенные категории в зависимости от различных классификационных признаков. Они бывают следующих типов:
• физические источники;
• нецелесообразное пользование компьютерной сетью и Всемирной паутиной;
• утечка из закрытых источников;
• утечка техническими путями;
• несанкционированное вторжение;
• атака информационных активов;
• нарушение целостности модификации данных;
• чрезвычайные ситуации;
• правовые нарушения.
К основным рискам информационной безопасности можно отнести утечку конфиденциальной информации; недоступность важных данных как для клиентов банка, так и для сотрудников; использование неполной или искаженной информации; неправомерное использование информационно-вычислительных ресурсов; распространение информации в Интернете и других источниках, угрожающих деловой репутации кредитной организации (рис. 6).
Рисунок 6. Распределение утечек по каналам за 2017-2018 гг. Источник: https://www.computerra.ru
После обнаружения рисков информационной безопасности необходимо их правильно оценивать. Методы оценки условно можно подразделить на две группы - качественные и количественные. Преимущество количественного метода состоит в том, что он позволяет получить конкретные реальные значения, которые могут быть выражены в долях, процентах, деньгах и пр. Четкой методики нет, так как не всегда имеется возможность обладать достаточными статистическими данными в той или иной ситуации, связанной с рисками информационной безопасности. Тогда на помощь приходит качественный метод, где объекту оценки присваивается показатель по трехбалльной шкале (от низкого до высокого).
Управление рисками информационной безопасности обеспечивает выявление, установление, оценку и минимизацию рисков от реализации угроз. Данное управление позволяет:
1) получить актуальные данные уровня обеспечения информационной безопасности на данный момент;
2) выявить наиболее слабые места в обеспечении защиты информации банка;
3) установить обоснование финансовых затрат на обеспечение информационной безопасности;
4) минимизировать издержки, которые появляются в процессе создания системы информационной безопасности;
Кто должен управлять рисками информационной безопасности:
• руководители служб информационной безопасности и служб автоматизации
• аналитики по вопросам информационной безопасности
• специалисты по вопросам защиты информации
• аудиторы информационных систем (внешние и внутренние)
• сотрудники служб поддержки качества и внутреннего контроля.
Для того чтобы минимизировать возникновение рисков информационной безопасности, руководству необходимо создать эффективную систему, поставить перед собой четкие задачи и рассчитать. какую долю финансирования/бюджетирования будет занимать ее создание. Будет ли это выгодно, например, маленькому банку с наименьшей долей УК. Руководители, специалисты кредитной организации составляют алгоритм, на базе которого будет приниматься корректное решение.
Заключение
Таким образом, молниеносное развитие технологий привело к формированию современного информационного пространства. Пропорционально данному развитию значительно возрастают риски, появляются совершенно новые виды, классификации угроз информационной безопасности, которые опасны в том числе и для кредитных организаций.
Следует отметить, что за последние 3-4 года участники банковской системы Российской Феде-
-&
О
о ш
О4
Н
Ы
01 Н
рации активно ведут работы по повышению уровня эффективности информационной безопасности, в том числе реализации усовершенствованных проектов.
Для того чтобы увеличить необходимый уровень защиты информационной безопасности, необходимо разработать единый алгоритм управления рисками ИБ, что позволит направить все усилия на защиту от наиболее вредоносных вирусов, т.е. банки создают полноценную систему управления рисками.
Составление и структуризация системы управления рисками информационной безопасности включает в себя комплексный процесс, который направлен на минимизацию внешних и внутренних угроз кредитных организаций.
Эффективная работа по своевременному выявлению угроз информационной безопасности зависит не только от финансирования и инвестирования создания системы безопасности, но и от поддержки со стороны руководства банков (экономически обоснованная система управления рисками информационной безопасности позволяет минимизировать издержки).
Литература
1. Федеральный закон от 27.07.2006 № 149 «Об информации, информационных технологиях и о защите информации» // СПС «Гарант».
2. Федеральный закон от 27.07.2006 № 152 (ред. от 31.12.2017) «О персональных данных» // СПС «Гарант».
3. Письмо Банка России от 24.03.2014 № 49-Т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности» // СПС «Гарант».
4. ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер» // СПС «Гарант».
5. Информационные риски: количественная оценка / В. Зинкевич, Д. Штатов // Бухгалтерия и банки. 2007. № 2. С. 50-53.
6.
7.
8.
9.
10.
Информационная безопасность банков. ЫРЬ : http://www.infowatch.ru/solutions/finance Татаринова Л.Ю. Роль организации информационной безопасности в предотвращении рисков в банковской деятельности // Банковские риски, Финансы и Кредит. 2017. № 30. Гамза, В.А., Ткачук, И.В., Жилкин, И.М. Безопасность банковской деятельности : учебник. 3-е изд. М. : Юрайт, 2015. Официальный сайт Банкир.ру - http://bankir.ru/ Официальный сайт Банка России - http://cbr.ru
INFORMATION SECURITY RISKS AT CREDIT ORGANIZATIONS
Shamkina O.P.
Finance University under the Government of the Russian Federation
This article reveals the problem of determining of information security risks and classification of them as factors of violation and intrusion into the bank internal system, including threats to the privacy of credit institutions customers (private and legal persons). The main methods of risk assessment and the need for their timely identification and prevention are considered. The relationship between the bank effective functioning and information security measures and ways of their minimization is revealed. It is found that information security work for effective risks/threats identification depends not only from financing and investing of security system, but also from the bank's management support.
Key words: information security, efficiency, risks, bank's system, risk assessment methods, control methods, risk minimization.
References
1. Federal law of 27.07.2006 № 149 "On information, information technologies and information protection" // ATP "Garant".
2. Federal law of 27.07.2006 № 152 (ed. of 31.12.2017) "On personal data" // ATP "Garant".
3. Bank of Russia letter from 24.03.2014 № 49-T "On recommendations for application of means of protection against malicious code in the implementation of banking activity" // ATP Garant.
4. GOST R 57580.1-2017 "Safety of financial (banking) operations. Protection of information of financial institutions. A basic set of organizational and technical measures" // ATP Garant.
5. Information risks: quantitative assessment / V. Zinkevich, D. States // Accounting and banks. 2007. No. 2. P. 50-53.
6. Information security of banks. URL : http://www.infowatch.ru/solutions/finance
7. The Role of the organization of information security in the prevention of risks in banking // Banking risks (title section of the journal), Finance and Credit. (Journal name). 2017. No. 30.
8. Hamza V.A., Tkachuk V.I., Zhilkin I.M. Safety of Bank activity : the textbook. 3-e Izd. M. : Yurayt, 2015.
9. The official website of the Banker.ru - http://bankir.ru/
10. Official site of Bank of Russia - http://cbr.ru
