Оставьте заявку
Наш эксперт свяжется с вами в ближайшее время
Нажимая на кнопку "Отправить" вы соглашаетесь с Политикой конфиденциальности
Целесообразно ли продолжать применять корпоративные и международные стандарты ИБ
18 апреля состоялась конференция «Информационная безопасность банков» организованная Авангард и Ассоциацией банков Россия. В рамках конференции выступил Андрей Курило, Советник по информационной безопасности ФБК и FBK CyberSecurity на тему целесообразности и необходимости дальнейшего использования международных и корпоративных стандартов информационной безопасности:
Андрей Курило, Советник по вопросам ИБ ФБК и FBK CyberSecurity
«Необходимо создавать российские структуры, которые выполняли бы аналогичные PCI Council задачи и решить вопрос с дальнейшим использованием самого стандарта PCI DSS. При этом надо сохранить достигнутый результат. Общение с представителями рынка показывает, что ситуацию нужно брать под контроль, особенно в части управления внутренними рисками. В частности, есть необходимость в более широком использовании консалтинга, который позволит решать эти вопросы на стратегическом уровне»
Разберем основные моменты конференции:
— Абсолютное большинство сценариев кибератак уже были нам продемонстрированы и новых сценариев пока не видно. Киберучения, проведенные по этим сценариям, позволили существенно поднять уровень защищенности организаций. Проблемы возникают в тех организациях, где в целом несерьезно подходят к обеспечению безопасности.
— По заявлению ЦБ число атак мошенников сократилось в 5 раз по сравнению с тем же периодом в 2021 году. С большой вероятностью этот уровень сохранится в дальнейшем.
— Появилось много дипфейков, основанных на утекших данных.
— Появились атаки посредством программ-шифровальщиков, цель которых уничтожение данных, а не получение выкупа. Данные зашифровываются без возможности расшифровки.
— Регуляторы говорят об усложнении процедур приобретения импортоного ПО и аппаратно-программных комплексов (АПК) — оборудования: в некоторых программах были выявлены закладки. Однако, тотально проверить все ПО невозможно. Очевидно следует переходить к экспертной оценке и экспресс-анализу. При этом ответственность за использование этого программного обеспечения ложится на сами организации. Встает также вопрос безопасной разработки и тестирования российского ПО. Лаборатории, ожидаемо, с этим не справятся, т.к. тестирование одного продукта может занимать длительное время. Необходимо введение более оперативных процедур.
— Пока не ясно, каким образом привести организации к необходимости установки защищенного ПО. Регулятивные меры пока недостаточные и в основной массе не выполняются. Нужно усиление механизмов влияния и это можно ожидать в ближайшее время. Без усиления регуляции вокруг тестирования, создания и хранения российского ПО не будет решена проблема защищенности.
— Отзыв сертификатов ключей, выданных зарубежными удостоверяющими центрами, усложнило организацию зашифрованного взаимодействия. Однако поставка сертифкатов в короткие сроки была налажена внутри страны и проблема практически решена. Тем не менее, доверие к международным фирмам было потеряно. Ушедшие из России фирмы (или приостановившие деятельность), нарушившие свои обязательства, существенно усложнили дальнейшее взаимодействие с ними для российских компаний.
— Остро стоит вопрос обеспечения поддержки небольших организаций, которые не имеют возможности и ресурсов полноценно покрывать все существующие киберриски и регуляторные риски ИБ. Необходимо обеспечить для них консалтинговую поддержку для эффективной отладки защитных функций с оптимальными затратами, которые будут обеспечивать для них приемлемый уровень защищенности. Речь также идет об оперативной экспертизе уровня защищенности.
— Усилится нормативное регулирование антифрод деятельности. Фрод должен стать экономически нерентабельным. Мы ожидаем усиление мер в отношении дропперских счетов, через которые производится вывод похищенных средств.
— Все склоняются к тому, что выполнение стандарта PCI DSS необходимо, но нужны административные и организационные меры поддержки. Необходимо решать вопрос с переаккредитацией аудиторов и, возможно, этим займется НСПК. Разрывать отношения с PCI Council нецелесообразно.
— Есть риск ухода производителей PCI HSM. Есть возможность заменить эти модули на отечественные аналоги, но цикл разработки довольно большой. Тут важен вопрос пересмотра требований по безопасности этих устройств: их необходимо локализовать под наши актуальные условия. Разработать эти требования целесообразней всего внутри сообщества экспертов по ИБ, а регулятор может обеспечить поддержку, взяв под контроль этот процесс.
— Абсолютное большинство сценариев кибератак уже были нам продемонстрированы и новых сценариев пока не видно. Киберучения, проведенные по этим сценариям, позволили существенно поднять уровень защищенности организаций. Проблемы возникают в тех организациях, где в целом несерьезно подходят к обеспечению безопасности.
— По заявлению ЦБ число атак мошенников сократилось в 5 раз по сравнению с тем же периодом в 2021 году. С большой вероятностью этот уровень сохранится в дальнейшем.
— Появилось много дипфейков, основанных на утекших данных.
— Появились атаки посредством программ-шифровальщиков, цель которых уничтожение данных, а не получение выкупа. Данные зашифровываются без возможности расшифровки.
— Регуляторы говорят об усложнении процедур приобретения импортоного ПО и аппаратно-программных комплексов (АПК) — оборудования: в некоторых программах были выявлены закладки. Однако, тотально проверить все ПО невозможно. Очевидно следует переходить к экспертной оценке и экспресс-анализу. При этом ответственность за использование этого программного обеспечения ложится на сами организации. Встает также вопрос безопасной разработки и тестирования российского ПО. Лаборатории, ожидаемо, с этим не справятся, т.к. тестирование одного продукта может занимать длительное время. Необходимо введение более оперативных процедур.
— Пока не ясно, каким образом привести организации к необходимости установки защищенного ПО. Регулятивные меры пока недостаточные и в основной массе не выполняются. Нужно усиление механизмов влияния и это можно ожидать в ближайшее время. Без усиления регуляции вокруг тестирования, создания и хранения российского ПО не будет решена проблема защищенности.
— Отзыв сертификатов ключей, выданных зарубежными удостоверяющими центрами, усложнило организацию зашифрованного взаимодействия. Однако поставка сертифкатов в короткие сроки была налажена внутри страны и проблема практически решена. Тем не менее, доверие к международным фирмам было потеряно. Ушедшие из России фирмы (или приостановившие деятельность), нарушившие свои обязательства, существенно усложнили дальнейшее взаимодействие с ними для российских компаний.
— Остро стоит вопрос обеспечения поддержки небольших организаций, которые не имеют возможности и ресурсов полноценно покрывать все существующие киберриски и регуляторные риски ИБ. Необходимо обеспечить для них консалтинговую поддержку для эффективной отладки защитных функций с оптимальными затратами, которые будут обеспечивать для них приемлемый уровень защищенности. Речь также идет об оперативной экспертизе уровня защищенности.
— Усилится нормативное регулирование антифрод деятельности. Фрод должен стать экономически нерентабельным. Мы ожидаем усиление мер в отношении дропперских счетов, через которые производится вывод похищенных средств.
— Все склоняются к тому, что выполнение стандарта PCI DSS необходимо, но нужны административные и организационные меры поддержки. Необходимо решать вопрос с переаккредитацией аудиторов и, возможно, этим займется НСПК. Разрывать отношения с PCI Council нецелесообразно.
— Есть риск ухода производителей PCI HSM. Есть возможность заменить эти модули на отечественные аналоги, но цикл разработки довольно большой. Тут важен вопрос пересмотра требований по безопасности этих устройств: их необходимо локализовать под наши актуальные условия. Разработать эти требования целесообразней всего внутри сообщества экспертов по ИБ, а регулятор может обеспечить поддержку, взяв под контроль этот процесс.
Другие материалы