Весь цивилизованный мир определил киберриски, как основную опасность для бизнеса в следующем году. Готов ли финансовый сектор Казахстана встретиться лицом к лицу с этой угрозой?
В древней Спарте напутствие воинам перед битвой было простым: со щитом или на щите. Это означало: победить или погибнуть. Если провести аналогию к современным реалиям и битвой назвать существующее и будущее противостояние цифровой цивилизации и киберпреступников, то в случае казахстанского финансового сектора, который еще пока не ознаменовался громкими киберинцидентами, древний призыв, скорее всего, придется трансформировать: со щитом, на щите или без щита. Не трудно догадаться, что последнее добавление означает позорное бегство с поля боя…
Киберщит нас защитит!
27 ноября 2018 года пресс-служба Национального Банка Казахстана проинформировала о принятии постановления Правления Национального Банка от 29 октября 2018 года № 281 «Об утверждении Стратегии кибербезопасности финансового сектора Республики Казахстан на 2018-2022 годы. Как сообщил регулятор финансового рынка, Стратегия разработана в соответствии с положениями Концепции кибербезопасности («Киберщит Казахстан»), утвержденной постановлением Правительства Республики Казахстан от 30 июня 2017 года № 407 и описывает комплекс целей, задач и мероприятий, достижение, решение и реализация которых позволит обеспечить создание эффективно функционирующей системы обеспечения кибербезопасности финансового сектора Республики Казахстан.
Также регулятор выражает уверенность, что в результате реализации Стратегии будет сформирован механизм оперативного информирования и реагирования на киберугрозы в финансовом секторе страны, когда, в зависимости от степени угрозы, будут задействованы как субъекты финансового сектора, так и силы уполномоченных государственных органов, в том числе правоохранительных и специальных.
Душераздирающее зрелище
Именно эта оценка всем известного персонажа, вынесенная в подзаголовок, вспоминается специалистам по кибербезопасности при прочтении Стратегии, которая опубликована на сайте регулятора финансового рынка. Международная киберпреступность крепнет с каждым днем, а у нас по мнению регулятора, прямая цитата: «нормативное правовое обеспечение в вопросах кибербезопасности финансового сектора Республики Казахстан существенно отстает от потребностей текущего дня. Использование риск-ориентированного подхода в качестве основы при функционировании системы обеспечения кибербезопасности осуществляется фрагментарно». Или, если говорить простым языком и представить картину полностью, то законодательная база устарела, понимания и согласованной позиции между различными государственными институтами по вопросу как с этим бороться нет, народ безграмотный, мер воздействия у Нацбанка не хватает, лишних денег нет ни у кого, а Концепция «Киберщит Казахстана», на основе которой разработана Стратегия, требует во что бы то ни стало киберзащиту организовать.
По факту, ничего кроме создания центра мониторинга и реагирования делать не предполагается. «Обеспечить, организовать, разработать программы» - это не в счет. И, как полагают специалисты по киберзащите, добавление к 53 указанным нормативным актам ещё десятка ведомственных постановлений киберзащиту не укрепит.
Судя по документу, Нацбанк пока отстоял свои права регулятора в противостоянии с Министерством оборонной и аэрокосмической промышленности (МОАП), которое очень хочет забрать себе права и полномочия в вопросах кибербезопасности, через включение банков второго уровня в список критичных объектов. Для финансового рынка это хорошо.
Нацбанк берется сам выполнить все требования в части построения SOC (Security Operations Center) – центра мониторинга информационной безопасности. Для этого всем игрокам финансового рынка необходимо прежде создать свои центры, что потребует создания системы обнаружения и анализа, модели угроз, сценариев реагирования, службы реагирования, разработки или закупки программного обеспечения для самого центра и большого объема «железа». Знающие люди, знакомые с ситуацией в ИТ, скажут вам, что это будет связано с очень приличными капвложениями и 2-3 годами упорного труда высококвалифицированных специалистов. У банков денег на такую инфраструктуру нет, у страховщиков и подавно. А с учетом поставленной цели (одной из), которая звучит так: «выработка дополнительных мер воздействия за невыполнение», финансовому сектору ничего хорошего ждать не приходится… Это плохо.
Может вскладчину?
Перспектива финансовых и временных затрат на создание «финансового киберщита», скорее всего, не воодушевляет никого. Надо придумывать что-то централизованное или стандартное, чтобы сэкономить. Для начала нужно перекрыть основные пути доступа к информации для киберпреступников. Основных путей всего два.
Прежде всего, основные «лазейки» для киберпреступников реализуются через программное обеспечение. Поэтому необходимо проверить разработчиков софта на соответствие требованиям безопасности. С иностранными производителями софта этот вопрос решить тяжело, с местными тоже будут проблемы. Хотя лицензирует их продукты на рынке государство, почему не может выставить необходимые требования? Перечень всего ПО, используемого участниками финансового сектора и перечень его производителей, у Нацбанка есть, можно проверить хотя бы на соответствие безопасности.
Вторая проблема – это человеческий фактор, точнее говоря, безграмотность сотрудников компаний в отношении видов киберрисков и методов их предотвращения. Понятно, что каждая компания должна самостоятельно нести ответственность за деятельность своего персонала, но если проблема приобретает масштабы национальной, то ликвидация кибербезграмотности населения должна решаться государством на БЕЗВОЗМЕЗДНОЙ основе.
Нацбанк в Стратегии упоминает информационный ресурс «Fingramota.kz», который создан для устранения пробелов в области финансовой грамотности населения. Но, на этом ресурсе нет информации относительно киберрисков, с которыми могут столкнуться как потребители финансовых услуг, так и их производители. В Казахстане нет ни одного общедоступного государственного ресурса с обучающими материалами по информационной безопасности. Кто мешает создать? Кто мешает разработать тестовые программы? Проводить конкурсы для взрослых и олимпиады для школьников по вопросам информационной безопасности? А вот потом можно и спросить, почему ты не прошел обучение, которое тебе предоставило государство.
Одним словом, принцип, который должен быть заложен в основу борьбы с киберрисками и киберпреступностью – «предупредить проще, чем ликвидировать последствия». Страховщики, по роду своей деятельности, прекрасно понимают, что превентивные мероприятия обходятся всем гораздо дешевле, чем устранение последствий. Но все ли думают так же, как страховщики?
Не читайте на ночь и перед едой
Если весь мир сходит с ума перед лицом киберугроз, то в Казахстане эта тема еще по-настоящему никого «не зацепила». И, судя по предложенной Стратегии, можно полагать, что для казахстанских чиновников «суета» вокруг киберрисков слишком преувеличена. Вместо послесловия приведены некоторые выдержки из Стратегии, которые наводят только на грустные мысли...
«Стратегия направлена в первую очередь на построение в рамках системы обеспечения кибербезопасности информационного обмена между участниками. Основной целью Стратегии является создание условий для безопасного предоставления финансовых услуг, что необходимо для обеспечения стабильного функционирования и развития финансового сектора.»
«В целом, в виду отсутствия на государственном уровне утвержденных стандартов, требований и порядков по обеспечению кибербезопасности, реализация мер и контроля по защите производится исходя из опыта отдельных работников и возможностей, заложенных разработчиками информационных систем, программного и аппаратного обеспечения.»
«Современное состояние правового обеспечения противодействия киберпреступлениям также характеризуется недостаточной согласованностью используемых правовых механизмов, фрагментарностью деятельности субъектов законодательной инициативы по их развитию и совершенствованию, недостаточной эффективностью, противоречивостью правовых норм, несовершенством правовой статистики.»
«Эффективный мониторинг поможет финансовым организациям удерживать риски кибербезопасности на необходимом уровне, своевременно совершенствовать и устранять недостатки существующих механизмов контроля. Проведение проверок финансовых организаций, сравнительный анализ результатов таких проверок, совместные учения с государственными органами и другие механизмы контроля позволят лучше понимать существующие киберугрозы и уязвимости в масштабе всего финансового сектора.»
«Основными рисками успешной реализации Стратегии являются:
- недостаточность ресурсов – неправильное планирование необходимых для реализации Стратегии ресурсов, а также внешние факторы, влияющие на доступность необходимых ресурсов;
- слабое вовлечение первых руководителей организаций – отсутствие необходимой поддержки высшего руководства при реализации поставленных Стратегией задач;
- отсутствие консенсуса в вопросах регулирования кибербезопасности – отличие подходов к определению необходимых мер и средств обеспечения кибербезопасности на государственном и отраслевом уровне;
- отсутствие нормативной правовой базы в области кибербезопасности на национальном уровне - устаревшая нормативная правовая база, не адаптированная к существующим современным технологиям и преступлениям с их использованием.»
Марина Шиповалова, главный редактор портала Allinsurance.kz