Вице-президент Ассоциации банков России Алексей Войлуков в интервью BIS Journal поделился своей точкой зрения на самые актуальные вопросы информационной безопасности финансовой отрасли и обозначил ряд законодательных инициатив, принятие которых будет способствовать активизации эффективных действий по борьбе с киберпреступностью.
Алексей Арнольдович, 18 апреля запланировано проведение Конференции «Информационная безопасность банков», организаторами которой выступают Ассоциация банков России и Медиа Группа «Авангард». Это новое мероприятие по формату, но с хорошо известными участниками и вопросами для обсуждения. В чем Вы видите актуальность и необходимость проведения такой конференции?
Действительно, анонсирована крупнейшая конференция по информационной безопасности в финансовой сфере и ее актуальность не вызывает никаких сомнений в силу постоянного роста числа киберинцидентов, хакерских атак, случаев социальной инженерии. Кроме того, конференция – это отличная возможность рассказать о последних технологиях в области ИБ, причем, речь идет о решениях как уже хорошо известных и зарекомендовавших себя вендоров, так и о небольших организациях, стартапах.
Важно, что подобное мероприятие позволяет понять те запросы и тренды, потребности, которые на сегодняшний день есть у заказчиков финансовой сферы – банков, страховых, лизинговых, факторинговых компаний.
Основная тема нашего сегодняшнего интервью – это информационная безопасность банков. Какие вопросы ИБ можно назвать наиболее актуальными на сегодняшний день, по Вашему мнению?
Существует два самых актуальных вопроса. Первый – это противодействие кибермошенничеству и социальной инженерии, ущерб от которых растет из года в год гигантскими темпами, а меры, применяемые в настоящее время, к сожалению, не столь эффективны. Здесь возможно объединение усилий всех заинтересованных сторон для решения этого вопроса и, в первую очередь, необходимо изменить законодательство, потому что технические вопросы в большинстве случаев уже решены. Однако с социальной инженерией бороться исключительно техническими методами не вполне эффективно.
Второй вопрос – это импортозамещение, о чем уже давно велась речь. В связи с введением санкций замена и выстраивание собственной инфраструктуры как по технологическим разработкам, так и по программным решениям, написание своих собственных систем и независимость от внешних подрядчиков стали сверхактуальными.
Главным фактором ускоренного роста рынка кибербезопасности стало изменение бизнес-процессов организаций, вызванное эпидемией COVID-19. Как Вы думаете, продолжится ли этот тренд в 2022 году?
Эпидемиологическая ситуация радикально ускорила цифровизацию взаимодействия банков с потребителями, которое должно быть обеспечено процедурами безопасности.
Это создало новые рынки по предложению услуг кибербезопасности и этот тренд будет развиваться и в дальнейшем. Тем более клиенты уже почувствовали вкус удобства дистанционного взаимодействия по очень многих вопросам.
Однако важно развивать не только технологические решения, но и принимать более жесткие законодательные процедуры, потому что законодательство очень отстает от произошедших цифровых изменений.
В этой связи, какие законодательные инициативы Вы считаете важными на данном этапе и ожидаете их принятия в текущем году?
Во-первых, дать возможность финансовым организациям блокировать средства на законном основании при подозрении совершения мошеннических операций. Необходимо, чтобы банки имели полноценные механизмы приостанавливать движение украденных сумм по счетам до судебных разбирательств. На сегодняшний день, к сожалению, таковых не существует, и мошенники этим пользуются.
У нас ведется серьезная дискуссия на эту тему с Банком России и мы надеемся, что в ближайшее время этот вопрос будет решен на законодательном уровне.
Во-вторых, оптимизация взаимодействия между финансовыми учреждениями, ЦБ РФ, правоохранительными органами и судейской системой (судами) и главное – перевод этого взаимодействия на цифровую основу.
К сожалению, сейчас расследование хищений, независимо от того, что украли – сумку с деньгами или средства со счета – происходят по одной и той же процедуре, которая сильно затянута и формализована.
Перевод на цифровое взаимодействие по электронным каналам указанных ведомств ускорит процесс возбуждения предварительных дел в правоохранительных органах, передав туда имеющуюся у банка информацию по движению денежных средств по счетам. Необходимо иметь возможность оперативно подать заявления от имени клиента в суд и получить предварительное решение на защиту его средств, для того чтобы можно было заморозить их на пути движения.
Изменение процесса взаимодействия позволит радикально перестроить систему и ускорить поиск, разбирательство и возврат денег клиенту, а также позволит привлечь мошенников к ответственности, потому что в настоящее время с учетом длительности и сложности получения информации это затягивается на месяцы и даже годы и преступники остаются безнаказанными.
Какие тренды Вы могли бы выделить в сфере безопасности цифровых платежей?
Основное – это обогащение банковских антифродовых систем той дополнительной информацией, которую можно собирать и быстро актуализировать. Здесь крайне важно выстраивание взаимодействия между антифрод-системами различных финансовых учреждений через Центральный банк и обмен информацией. Крупные банки здесь могли бы помочь более мелким игрокам, предоставляя им необходимые данные для защиты клиентов.
Если говорить о проблемах идентификации и аутентификации в банковском взаимодействии, что здесь вызывает вопросы в настоящее время?
Большой вопрос со стороны государства – это создание единой биометрической системы (ЕБС), которую все банки (за исключением организаций с базовой лицензией) обязаны внедрить во всех точках своего присутствия.
Затраты на установление этой системы существуют, а вот отдачи от нее нет, она практически не функционирует, из-за того, что клиенты бояться утечки или подменных данных в ЕБС. К сожалению, и законодательство недостаточно проработано в этой части, существуют сложности с поиском и доказательствами того, кто проводил операцию – клиент или мошенник.
В то же время у каждого банка есть свои системы, которые позволяют идентифицировать и аутентифицировать клиентов. Но здесь уже вопросы к надежности подобных систем возникают у государства – насколько они гарантируют защиту от хакеров и мошеннических схем.
Как Вы думаете, будет ли расти востребованность цифровой идентификации? И соответственно ускорится ли отказ от аутентификации на основе паролей и вопросов/ответов?
Если говорить о цифровых ключах, то они давно применяются, хотя конечно, в большей степени ними пользуются юрлица. Выпуск и поддержание таких цифровых ключей из года в год – достаточно дорогое удовольствие, тем более для физлиц. При этом более удобных и надежных инструментов пока для клиентов не существует.
Как Вы оцениваете практику борьбы с социальной инженерией за последний год?
Из года в год расширяется инструментарий борьбы с киберпреступлениями, в том числе с социальной инженерией. Но, к сожалению, все нововведения и дополнения, (причем, не только по финансовой системе, но и в телекоммуникационной отрасли, например закон о связи с подменой номеров, который вступил в силу с1 декабря прошлого года), не достаточно эффективны, чтобы опережать существующий темп роста объема мошеннических действий с помощью социальной инженерии. Поэтому необходимо радикально изменить законодательство по двум направлениям, о чем я уже говорил выше. Первое – дать возможность кредитным организациям, если у них возникают сомнения в законности проведения операций по счетам, замораживать денежные средства и таким образом препятствовать их выводу.
Второе, и самое главное, – наладить цифровое взаимодействия между финансовыми учреждениями, ЦБ, правоохранительными органами и судейской системой, что позволит радикально продвинуть решение проблем.
Насколько эффективно взаимодействие государства, банков и операторов связи по предотвращению мошенничества?
Это сложный вопрос. С одной стороны, такое взаимодействие существует, потому что происходит постоянное общение между всеми его участниками. Возможно, только сотовые операторы стоят несколько в стороне, потому что у них отдельный надзорный контролирующий орган и свое законодательство.
Но если мы видим, что темпы роста киберпреступности постоянно увеличиваются, значит необходимо менять форму взаимодействия и концентрировать общие усилия, принимая общие решения.
Требования регуляторов по ИБ для финансовой отрасли постоянно ужесточаются. Для их исполнения требуются дополнительные ресурсы. Как Вы думаете, какие пути решения данной проблемы существуют для средних и небольших банков, ресурсная база которых возможно не позволяет адекватно реагировать на весь спектр угроз?
Действительно, из года в год регулятор ужесточает свои подходы к информационной безопасности финансовой сферы и понятно, что это вызвано обеспокоенностью ЦБ РФ теми дополнительными рисками, которые возникают для клиентов в связи с переводом большой доли операций в цифровое пространство.
Однако мы считаем, что требования регулятора непропорциональны и завышены, потому что риски, возникающие у небольшого банка не столь высоки, как у крупного, а требования едины. Небольшая кредитная организация вынуждена их формально соблюдать и тратить большие ресурсы на закупку соответствующего программного обеспечения, на содержание в штате ИБ-специалистов. Поэтому мы ведем диалог с ЦБ о том, чтобы выставляемые требования были пропорциональными и дифференцировались в зависимости от размера банка и технологий, которые он использует. Также необходимо, чтобы все игроки рынка объединялись, чтобы не нести расходы на одни и те же продукты и сервисы, а использовать их совместно.
Наша рабочая группа (в нее входят представители банков, регулятора и вендоров) выработала решение о создании общего облака, где будут находиться системы участников, что позволит радикально снизить административные, финансовые и прочие затраты банков на обеспечение ИБ. Отдельно созданная аутсорсинговая компания будет предоставлять весь необходимый сервис.
Тема криптовалют в последнее месяцы – одна из самых популярных на разных площадках и в СМИ. Прозвучало много заявлений и точек зрения представители министерств и ведомств. Какова Ваша позиция по вопрос регулирования криптовалют в России?
Безусловно, это дискуссионный вопрос. С учетом того, что Минфин и Правительство, с одной стороны, и ЦБ, с другой стороны, разошлись в своих взглядах на проблемы регулирования криптовалюты, он остается открытым. При этом, исходя из общей логики и экспертных предположений об огромном объеме вложений в криптоактивы россиян, было бы лучше не запрещать их, а ввести понятное жесткое регулирование, обложив ряд операций налогом. В последнем случае рынок становится более контролируемым и прозрачным, кроме того, государство получит дополнительные доходы в бюджет.
Что Вы думаете о целесообразности введения цифрового рубля?
Цифровые валюты пока что в полной мере не введены ни в одной стране мира. Поэтому очень сложно предположить, какое реальное влияние они могут оказать на финансовую систему и существующие экономические условия. К сожалению, подобных исследований, которые давали бы точный ответ, в мире тоже нет. Многие центральные банки экономически развитых стран ведут проекты по разработке своих цифровых валют, но при этом они то и дело сдвигают сроки их выпуска, и пытаются лучше изучить эту проблематику. Любопытно, что все в ожидании смотрят друг на друга, никто не хочет быть первым и наступить на грабли.
Я думаю, что по цифровому рублю пока что больше вопросов, нежели ответов. Например, как внедрять, зачем, для каких расчетов, для какого круга пользователей и т. д. Пока что очевидны преимущества использования цифрового рубля для государства, которое получит действенный способ отслеживания движения денежных средств. Какие преференции это может принести обычному пользователю, на данный момент сказать достаточно сложно.
.jpg)
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
.png)