Функционал ФинЦЕРТ остался в ДИБ

Директор Департамента информационной безопасности (ДИБ) Банка России Вадим Уваров в интервью «Б.О» рассказал о нормотворческой работе Департамента, о киберучениях, а также о целях выстраивания единой доверенной среды

— Вадим, на ваш взгляд, сохранится ли и далее практика отраслевого регулирования ИБ (в частности, в финансовой сфере) в России в противовес общефедеральной? Какова будущая роль правопреемников ФинЦЕРТ ЦБ?

— Отраслевое регулирование идет не в противовес федеральному, а вместе с ним. Такой подход позволяет учитывать специфику ИБ именно на финансовом рынке. Например, благодаря отраслевому регулированию операционная надежность банков оценивается в том числе через призму способности противостоять киберугрозам.

Это «тонкие вопросы», которые должны решаться именно Банком России. На общефедеральном уровне регулирование ИБ осуществляют ФСБ России и Федеральная служба по техническому и экспортному контролю (ФСТЭК). Мы же разрабатываем нормативные акты по вопросам защиты информации и сог­ласовываем их с этими ведомствами. Это делается для того, чтобы регулирование в сфере ИБ на финансовом рынке проходило в одном русле с общегосударственной политикой. 

Что касается правопреемников ФинЦЕРТ: весь функционал ФинЦЕРТ по-прежнему остался в ДИБ. Он распределен между четырьмя управлениями. Это позволит более эффективно решать вопросы, связанные с противодействием компьютерным атакам и ИБ финансового рынка.

— Продолжится ли политика импортозамещения ПО и средств ИБ? 

— Да, мы поддерживаем этот процесс. Переход на российские софт и «железо» важен с точки зрения ухода от рисков, которые есть при использовании зарубежных продуктов. В первую очередь это касается суверенитета российского финансового и платежного пространства. Мы должны гарантировать потребителям бесперебойность предоставления качественных и надежных сервисов вне зависимости от международной обстановки. Обеспечить это можно прежде всего с помощью внедрения российских HSM-модулей — на это направлено Положение Банка России № 719П.

Стимулированию импортозамещения уделяется также внимание в программе «Цифровая экономика», реализацией которой занимаются несколько ведомств — Минцифры, ФСТЭК, ФСБ, Банк России. 

— На Уральском форуме 2020 была поднята тема перехода банков на риск-ориентированную практику обеспечения ИБ и были предложены другие меры в сфере ИБ. Что уже из начатого там было достигнуто и на что сообществу стоит обратить внимание?

— Базовый подход к управлению риском ИБ мы обозначили в Положении № 716-П, принятом в прошлом году. Более детальные вещи прописаны в другом документе, проходящем стадию обсуждения, — проекте ГОСТ Р «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности (киберустойчивости)». Требования Положения обязательны к исполнению, с помощью ГОСТ мы как бы даем поднадзорным совет, как им лучше исполнять наши требования.

Переход на риск-ориентированную практику связан и с новыми методами контроля ИБ. Так, во второй половине 2020 года мы впервые вместе с банками провели киберучения (стресс-тестирование). Задача киберучений — выявить риски хищения денег с корреспондентских счетов, открытых в Банке России, возможность утечек конфиденциальных данных клиентов, операционных сбоев, прерывания финансовых услуг из-за несанкционированного воздействия на автоматизированные системы банков. Мы считаем, что эту практику есть смысл развивать и дальше, в том числе для некредитных финансовых организаций, финансовых объединений.

— Расскажите подробнее о целях и итогах состоявшихся киберучений ЦБ и крупнейших банков.

— Во время киберучений моделировались актуальные компьютерные атаки. Мы проверяли, с одной стороны, насколько успешно ИБ- и IT-подразделения банков могут противостоять этим атакам, с другой — готовность нашего департамента оперативно взаимодействовать с участниками киберучений и устранять возникшие проблемы.

С каждым банком мы отрабатывали несколько сценариев атак и реагирования на них. Это показало проблемы, характерные для того или иного участника рынка. Выяснилось, например, что некоторые банки основное внимание уделяют защите внутреннего периметра от внешних угроз, при этом защитные механизмы от угроз со стороны внутреннего нарушителя проработаны недостаточно полно. Кроме того, ИБ-специалисты иногда не очень хорошо понимают технологии обработки переводов денежных средств. Это может негативно повлиять на эффективность их работы во время атак на счета клиентов. Поэтому руководству банков следует уделять дополнительное внимание контролю защитных мер на всем жизненном цикле обработки электронных сообщений.

Мы планируем провести работу с каждым участником кибер­учений, чтобы снизить выявленные риски. Что именно будем делать? Усиливать контроль защитных мер на всех участках обработки электронных сообщений во время платежей, совершенствовать механизм, с помощью которого выявляются несанкционированные изменения в распоряжениях о переводе денег. Еще одна задача — совершенствовать механизм нейтрализации заражения инфраструктуры вредоносным кодом. Еще мы будем способствовать развитию корпоративного управления вопросами кибербезопасности.

Такие киберучения, когда банки с нашей помощью могут оценить собственную систему ИБ, определить самые «узкие» места, помогают им более эффективно организовать работу, чтобы противодействовать мошенникам, защитить от них свои деньги и деньги своих клиентов.

— Беспокоит ли ЦБ повсеместная практика ускорения time to market финансовых продуктов в ущерб их защищенности? 

— Мы считаем, что нужно уделять особое внимание безопасности приложений клиентов, в которых есть функции идентификации, аутентификации и подписи электронных сообщений. Причем вопросы безопасности должны стоять во главе угла еще на стадии разработки этих приложений.

Сейчас практика ускоренного вывода финансовых продуктов на рынок — обычное явление, и это понятно: цифровизация стремительно развивается, на рынке жесткая конкуренция. Поэтому мы разрабатываем новую версию документа «Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций». Там будут определены требования к процессу безопасной разработки приложений. Мы понимаем, что должен быть баланс между безопасностью и скоростью: финансовые продукты должны быть безопасными, но при этом выводиться на рынок оперативно. И работа над документом идет с учетом этих аспектов.

— На SOC-форуме 2020 один из представителей ЦБ заявил, что с точки зрения регулирования ИБ грядут перемены в связи с «началом эпохи Open API и маркетплейсов». Можно ли подробнее расшифровать смысл этих слов?

— Технология Open API, маркетплейсы и другие современные финансовые технологии — это, скажем так, неизбежное добро, которое при всей очевидной пользе и удобстве несет и риски. В первую очередь это риски именно ИБ. Мы как финансовый регулятор, с одной стороны, всячески способствуем развитию этих финансовых технологий, а с другой — разрабатываем нормы, соблюдение которых вынуждает банки учитывать возможные риски и нивелировать их.

Обеспечивать безопасность API только техническими средствами, которые заложены в ГОСТ 57580, невозможно. Поэтому мы будем развивать нормативное регулирование. 

В части Open API Банк России выпустил комплекс стандартов «Открытые банковские интерфейсы», а также Стандарт «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID. Требования». Сейчас эти документы рекомендательные. 

Также в этом году планируется выпуск еще одного Стандарта по безопасности — «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу».

Из прикладных вещей: мы создали и тестируем сертификационный стенд открытых API, на котором финтех-организации смогут проверить разработанные API на соответствие требованиям.

Что касается проекта «Маркетплейс», сейчас разработан проект Положения Банка России «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций». Он устанавливает требования к обеспечению защиты информации для новых поднадзорных Банку России организаций: операторов финансовой платформы, регистраторов финансовых транзакций и других. Сейчас проект проходит межведомственное согласование.

— В связи с распространением платформ на базе блокчейн возникает вопрос о повсеместном использовании отечественной криптографии в целях выстраивания единой доверенной среды и получения юридически значимых документов, в том числе с использованием смарт-контрактов. Какова роль ЦБ в этом процессе? 

— Выстраивание единой доверенной среды — это актуальный вопрос. И связано это не только с распространением платформ на базе технологии блокчейн, но и с задачей удаленного предоставления финансовых услуг. Обеспечение доверия в процессах идентификации и аутентификации, получение юридически значимых документов, вопросы использования облачной подписи, применение смарт-контрактов — лишь часть того, что должно войти в единую доверенную среду. Все эти процессы и технологии в той или иной мере связаны с криптографическими преобразованиями, где регулятором является ФСБ, а мы с ней плотно взаимодействуем по этим вопросам. 

Также мы планируем разработку методических рекомендаций, стандартов и других документов, которые будут затрагивать в том числе вопросы работы участников финансового рынка с единой доверенной средой.

Вадим Ференец

«Банковское обозрение», 12.03.2021