Выступление Германа Зубарева на Уральском форуме «Кибербезопасность в финансах»
Добрый день!
В своем выступлении я хотел бы кратко осветить Основные направления развития информационной безопасности на ближайшие три года.
Этот документ содержит стратегическое видение информационной безопасности как для финансовых организаций, так и для всей отрасли в целом. В нем мы отразили основные направления развития и цели, которым будем уделять повышенное внимание.
Работа над документом продолжалась весь прошлый год, который, надо отметить, оказал серьезное влияние на ландшафт актуальных киберугроз.
Это и кратный рост кибератак. Уход с рынка иностранных поставщиков оборудования и программного обеспечения. Острые вопросы импортозамещения и технологического суверенитета. Атаки кибермошенников на деньги граждан.
Отвечая в том числе и на эти современные вызовы, мы сформулировали наши Основные направления.
Конечно, они тесно взаимосвязаны с другими стратегическими документами: от Доктрины информационной безопасности до Основных направлений развития финансового рынка.
Итак, на ближайший трехлетний период мы определили три ключевые цели. Я их перечислю.
Первая — защита прав потребителей финансовых услуг и повышение доверия к цифровым технологиям.
Вторая — безопасные цифровые и платежные технологии, обеспечение технологического суверенитета.
И третья цель — контроль рисков информационной безопасности для непрерывного оказания финансовых услуг.
Достижение этих целей неразрывно связано с соблюдением баланса интересов граждан, бизнеса и государства.
Мы визуализировали структуру Основных направлений в виде макета здания, на котором представлены как сами цели и направления развития, так и формы их реализации.
Под каждое направление сформирован набор конкретных мероприятий.
Основной приоритет — это защита прав и законных интересов наших граждан. Проблема кибермошенничества остается по-прежнему актуальной. И поэтому именно эту тему мы выбрали для центральной панельной дискуссии форума.
Во вторник мы опубликовали статистику операций без согласия [клиента — Ред.] за 2022 год. Поэтому не буду подробно останавливаться на цифрах.
Отмечу только, что в прошлом году объем потерь по операциям без согласия увеличился по сравнению с 2021 годом на 4% и составил чуть больше 14 млрд рублей.
Основным инструментом злоумышленников остается использование социальной инженерии, с помощью которой в прошлом году было совершено более половины операций без согласия.
Для защиты наших граждан от кибермошенников мы планируем реализовать целый комплекс мероприятий.
Мы считаем, что необходимо совершенствовать механизмы сохранения и возврата похищенных денег. Поэтому нам нужно:
- повышать качество антифрод-процедур;
- наладить мониторинг операций по выявлению аномалий поведения клиентов;
- отключать ЭСП (электронные средства платежа) дропперам;
- ввести обязанность банка возвращать клиенту деньги, если банк не выполнил обязательные антифрод-процедуры.
Следующее направление работы — организация эффективного информационного обмена с МВД.
Осенью этого года МВД станет участником автоматизированной системы ФинЦЕРТ с данными об операциях без согласия. Так правоохранительные органы смогут в оперативном режиме получать информацию о мошеннических операциях. Это повысит скорость и качество расследования дел о кибермошенничестве.
И также важно для скорости реагирования правоохранителей обеспечить возможность для граждан подать заявление о краже через «Госуслуги» и онлайн-сервисы банка.
Топ-менеджеры банков, отвечающие за информационную безопасность, должны нести персональную ответственность за защиту информации клиентов. Нарушения и утечки будут наказываться вплоть до дисквалификации.
Есть проблема роста мошенничеств с онлайн-займами.
Для повышения безопасности и снижения рисков мошенничества при оформлении кредитов онлайн в законе будет закреплена возможность для граждан устанавливать самозапрет на получение кредитов.
Микрофинансовым организациям тоже нужно улучшить процедуры идентификации и антифрод при выдаче онлайн-займов.
Следующее — наладить между финансовыми организациями и операторами связи обмен информацией о клиентах и абонентах.
Защита клиентов должна стать неотъемлемой частью бизнес-процессов финансовых организаций. Поэтому мы будем дополнять оценку операционных рисков показателями качества антифрод-процедур.
И пара слов про развитие ФинЦЕРТ. Мы будем совершенствовать информационный обмен, анализировать и предоставлять банкам информацию по тактике и технике совершения компьютерных атак. И будем развивать техническую инфраструктуру ФинЦЕРТ, что позволит повысить скорость
и эффективность взаимодействия.
Кроме того, планируем провести оценку готовности ФинЦЕРТ выполнять функции аккредитованного центра ГосСОПКА и обеспечим реализацию финансовыми организациями, являющимися субъектами критической информационной инфраструктуры, мер по противодействию целевым компьютерным атакам в зависимости от установленного уровня опасности.
И последнее по этой теме — финансовая киберграмотность.
Мы продолжим реализацию программ по повышению финансовой киберграмотности и пропаганде кибергигиены, уделяя особое внимание социально уязвимым категориям населения. Для этого будут реализованы как информационно-просветительские, так и образовательные мероприятия с применением современных технологий и форматов взаимодействия.
При проведении обучающих мероприятий для школьников и студентов мы будем опираться на единую рамку компетенций в области киберграмотности, описывающую знания и навыки, которыми должен обладать человек для безопасного использования финансовых продуктов и услуг.
Банк России совместно с Правительством, субъектами Российской Федерации планирует продолжить разработку информационно-просветительских материалов для размещения в общественных местах и транспорте, а также освещение тематики киберграмотности в средствах массовой информации.
Мы будем постоянно обновлять эти материалы, чтобы вовремя предупреждать людей о новых мошеннических схемах.
Также мы ожидаем от банков, что они будут активно информировать своих клиентов о том, как распознать мошенников.
Перейдем ко второй цели — безопасности цифровых и платежных технологий и технологической независимости.
Хотел бы отметить, что активное развитие цифровых технологий значительно изменило потребности и ожидания получателей финансовых услуг.
В последнее время увеличился спрос на удаленные сервисы, а участники финансового рынка ускорили переход к новым бизнес-моделям.
Клиенты становятся более требовательными, и большое значение приобретает пользовательский опыт. Людей интересует возможность дистанционного получения широкого спектра услуг, и они отдают предпочтение простым, удобным и быстрым сервисам.
Однако ускоренное развитие технологий создает и существенные риски кибератак на клиентов и финансовые организации, а также мошенничества на финансовом рынке.
Наша задача — найти баланс между защищенностью информационных технологий и удобством их использования конечными пользователями. Необходимо взвешенно оценить риски информационной безопасности, а также бесшовно интегрировать методы и средства защиты информации в клиентский путь.
Это требует в том числе развития регулирования. Мы должны на нормативном уровне определить требования к информационной безопасности высокотехнологичных проектов, таких как цифровой профиль, Открытые API, единая биометрическая система.
Теперь о киберзащите национальной платежной инфраструктуры и цифрового рубля.
Мы планируем закрепить стандарты информационной безопасности по обеспечению непрерывности и доступности платежных сервисов, а также снижения потерь участников финансового рынка от мошенничества.
Эти стандарты способствуют развитию платежной системы Банка России, СБП, СПФС, цифрового рубля.
В цифровом рубле с точки зрения обеспечения информационной безопасности мы сфокусируем внимание:
- на определении требований к защите информации, предъявляемых к участникам платформы цифрового рубля;
- на создании правовой, организационной и технологической основ в части вопросов информационной безопасности;
- на развитии антифрод-механизмов с учетом специфики операций в цифровых рублях.
Банк России продолжит формировать условия для безопасного внедрения цифровых и платежных технологий, уделяя повышенное внимание:
- развитию новых способов идентификации и аутентификации, в том числе и удаленной идентификации для резидентов и нерезидентов;
- цифровым финансовым активам;
- повышению доступности электронной подписи для массового сегмента;
- развитию взаимодействия финансовых организаций с органами власти, включая доступ к государственным информационным системам.
Будем формировать требования к информационной безопасности этих проектов, а также проводить мониторинг фактического уровня их защищенности. Требования, методология и практические инструменты информационной безопасности будут разрабатываться во взаимодействии с органами власти и участниками рынка с учетом принципов «разумной централизации», а также «максимальной автоматизации процессов обмена информацией».
Теперь об экспериментальных правовых режимах и регулятивной «песочнице».
Банк России продолжит практику исследования инновационных финансовых продуктов, предложенных участниками рынка, на предмет информационной безопасности и киберустойчивости в регулятивной «песочнице», а также будет формировать подходы по обеспечению информационной безопасности при их пилотировании.
Апробация будет проводиться с учетом комплексного анализа риска информационной безопасности и формирования моделей угроз, возникающих при их использовании.
Аналогичный подход будет применяться и к новым бизнес-моделям и решениям в рамках экспериментальных правовых режимов.
По результатам рассмотрения финансовых продуктов в регулятивной «песочнице» и их пилотирования в экспериментальных правовых режимах Банк России будет готовить предложения по внесению необходимых изменений в законодательство.
И о технологической независимости. Банк России продолжит координировать участников рынка, чтобы находить лучшие решения, в том числе с учетом санкционных рисков.
Для этого в прошлом году мы создали отраслевой центр компетенций. Центр занимается определением приоритетов по замене иностранного программного и аппаратного обеспечения, тестированием и оценкой зрелости российских решений, выступает своего рода лоббистом для финансовой индустрии, формируя единый запрос от отрасли на разработку необходимых отечественных технологий.
Кроме того, мы считаем, что Банк России должен участвовать в разработке требований информационной безопасности к субъектам критической информационной инфраструктуры из финансового сектора.
И теперь к третьей цели Основных направлений — контролю операционной надежности.
Создавая условия для безопасного оказания финансовых услуг, в том числе с использованием инновационных цифровых и платежных технологий, Банк России учитывает общие надзорные тенденции как для финансового сектора, так и для сферы информационной безопасности.
Наша задача — обеспечение операционной надежности (то есть непрерывности предоставления услуг) и контроль рисков информационной безопасности.
Для этого мы планируем ряд проектов в области RegTech и SupTech. Первый из них — совершенствование системы внешнего аудита информационной безопасности.
Мы считаем необходимым внедрить дополнительные правовые механизмы повышения качества оценки соответствия защиты информации, а также формирования требований к достоверности результатов внешнего аудита.
При внедрении системы мониторинга и анализа операционных рисков важным направлением станет качественный переход к системному использованию методов мониторинга и продвинутой аналитики для анализа операционных рисков финансовых организаций с учетом данных:
- об инцидентах информационной безопасности;
- расчета риск-профиля финансовых организаций;
- результатов киберучений;
- данных, получаемых из форм отчетности.
Банк России продолжит развитие стресс-тестирования по информационной безопасности и операционной надежности в рамках киберучений.
Это позволит обеспечить мониторинг операционных рисков финансовых организаций в условиях перехода к технологическому суверенитету, а также установить контроль за уровнем качества предоставляемых клиентам и контрагентам ИТ-сервисов.
Также мы будем развивать сценарный подход в стресс-тестировании для оценки устойчивости финансовых организаций при инцидентах информационной безопасности.
Дополнительно проработаем методики оценки возможностей организаций выявлять такие инциденты, реагировать на них и восстанавливаться в случае их реализации.
Результаты киберучений будут использоваться в системе мониторинга и анализа операционных рисков.
Банк России продолжит практику формирования риск-профиля финансовых организаций для оценки фактических рисков информационной безопасности и операционной надежности.
Результаты такого риск-профилирования будут использоваться в том числе и для определения режима надзора.
И об аутсорсинге информационных технологий и облачных сервисов. Он, бесспорно, нужен, но требования к информационной безопасности, по нашему мнению, должны соблюдать обе стороны — и заказчик, и поставщик. Такой подход соответствует международной практике.
Мы планируем сформировать правовые условия для размещения, хранения и обработки сведений облачными провайдерами, а также определить их правовой статус, то есть распространить на них требования по защите банковской и других тайн.
В Основных направлениях также предусмотрены мероприятия по международному сотрудничеству. Мы планируем продолжать принимать участие и мониторить деятельность международных организаций.
Продолжим интеграционное сотрудничество и взаимодействие с центральными банками государств − членов ЕАЭС и БРИКС. Прежде всего по вопросам выработки единых стандартов и методик, а также обмену информацией о кибератаках.
В рамках двустороннего сотрудничества с заинтересованными иностранными регуляторами будем взаимодействовать по вопросам обмена информацией, а также изучать лучшие практики.
И об управлении данными в сфере информационной безопасности.
Наша ближайшая задача — более эффективное использование данных для расчета риск-профиля, глубокой аналитики компьютерных атак, повышения качества и оперативности предоставления данных по операциям без согласия.
И в завершение — о подготовке кадров.
Сфера информационной безопасности, как и сфера информационных технологий в целом, сталкивается с дефицитом кадров и недостаточно высоким уровнем их подготовки.
А без подготовленных, отвечающих современным требованиям специалистов реализовать запланированные нами мероприятия будет практически невозможно.
Мы будем внедрять утвержденный в конце прошлого года профессиональный стандарт «Специалист по информационной безопасности в кредитно-финансовой сфере».
В нем сформулированы требования к знаниям и умениям специалистов по информационной безопасности различных уровней.
Для планирования общей потребности отрасли в кадрах по информационной безопасности Банк России продолжит мониторинг рынка. Анализ результатов позволит сформировать прогнозную модель необходимого количества выпускников в области информационной безопасности, а также стать основой для образовательных программ и продуктов.
Будем делать упор на развитие практических навыков специалистов.
Мы также будем расширять на базе Университета Банка России образовательные курсы для участников рынка и сотрудников органов власти в рамках программы «КиберКурс». Только в 2022 году обучение по ней прошли более 4 тыс. специалистов.
И мы буквально только что наградили победителей молодежной программы форума. У ребят очень впечатляющие проекты, например победивший проект «Защита клиентов банка от кибермошенничества с помощью видеоидентификации». В общем с такими ребятами можно за наше будущее не так сильно беспокоиться. Но пока за информационную безопасность отвечаем мы с вами, надо вместе постараться реализовать те планы, которые намечены в Основных направлениях. Это фундамент долгосрочной эффективности системы защиты от фрода, атак и других киберугроз.
Благодарю вас за внимание!