BIS Journal №3(14)/2014

26 августа, 2014

Зона риска ужесточает ответственность

Расходы банков на информационные технологии, по некоторым оценкам, вырастут на 4,2% в 2014 году и составят $ 430 млрд. В свою очередь, аналитики International Data Corporation – IDC (США, Массачусетс, Фремингем), специализирующейся на исследованиях рынка IT-технологий, прогнозируют: к 2020 году размер этих расходов превысит $0,5 трлн.

 

УЖЕСТОЧЕНИЕ ГОСУДАРСТВЕННОГО КОНТРОЛЯ

Массовое внедрение технологий анализа больших данных (Big Data) для выявления и предотвращения мошенничества осложнено тем, что банки зачастую скрывают эпизоды, связанные с хищениями денежных средств и критически важных данных, неохотно идут на скоординированные коллективные акции по борьбе с киберпреступниками, используют разрозненные или просто устаревшие платформы в своих системах ИБ. В связи с этим данная сфера является объектом повышенного внимания контрольно-финансовых служб (КФС) и правоохранительных органов как отдельных стран, прежде всего США, так и международных организаций.

По оценке американского эксперта Эдварда Демарко, главы Финансового агентства федеральных жилищных программ (Federal Housing Finance Agency), в США отношения в этой сфере регулируются 46 законами и подзаконными актами, как на федеральном уровне, так и на уровне отдельных штатов. Государственный финансовый контроль в сегодняшнем банковском мире выстраивается по различным моделям. Однако в целом для развития этой системы характерны следующие общие подходы: на фоне масштабных хищений и утечек данных последних лет проверки, проводимые КФС, стали жестче. При этом все полученные данные тщательно и всесторонне анализируются, а неспособность банков минимизировать риски для своих клиентов расценивается как один из самых существенных недостатков.

От руководителей банков КФС требуют, прежде всего, способности уверенно ориентироваться в тех областях деятельности, где наиболее высока степень риска. Они также должны уметь создавать и поддерживать для своих финансовых учреждений благоприятные условия выживания и надежного функционирования в агрессивной окружающей среде. В связи с этим один из ведущих органов финансового контроля в США, Бюро финансовой защиты потребителей (The Consumer Financial Protection Bureau, CFPB), рекомендует банкам совершенствовать связи со своими клиентами. В первую очередь наладить качественное и своевременное рассмотрение их жалоб.

Другая контрольно-финансовая служба США, Управление контроля денежного обращения (The Office of the Comptroller of the Currency, OCC), рекомендует банкам вести постоянный мониторинг социальных сетей с той же целью повышения эффективности работы с жалобами клиентов. ОСС также рекомендует занимать активную позицию по отношению к регуляторам, добиваться от них разъяснений по актуальным вопросам применения тех или иных норм, не дожидаясь возникновения коллизий.

В ЗОНЕ ПОВЫШЕННОГО РИСКА

Согласно общему подходу различных КФС, вопрос о том, насколько информационные технологии банка и, особенно, его система информационной безопасности соответствуют современным требованиям, должен стать одним их ключевых вопросов при оценке его деятельности. В частности, Томас Карри, руководитель Управления контроля денежного обращения, обращает внимание банковского сообщества на растущую изощренность хакерских атак и резкий рост их числа. По его мнению, современные технологии, такие как мобильный банкинг, социальные сети и облачные вычисления, с точки зрения безопасности следует рассматривать как наиболее уязвимые в системе ИБ, потенциально представляющие собой новые каналы несанкционированного проникновения со стороны киберпреступников.

По оценке Томаса Карри, с точки зрения уязвимости американские банки находятся в зоне повышенного риска в связи с широким использованием современных технологий и телекоммуникаций. Кроме того, осуществляя свою операционную деятельность в рамках созданных ими систем, они вынуждены привлекать сторонние организации для обеспечения функционирования этих систем. В свою очередь эти организации привлекают третьих лиц из числа других организаций и служб, что влечет за собой потенциальное возникновение новых точек несанкционированного доступа ко всем подключенным сетям и создает различные уязвимости в системе.

Впервые кибербезопасность была расценена как ключевой компонент управления операционными рисками в отчете ОСС за первое полугодие 2013 года. При этом указывалось, что крупные банки могут располагать сотнями специалистов в области ИБ, в то время как средние и мелкие банки являются наиболее уязвимыми для кибератак. Исходя из этого, ОСС приняла решение выделять специальных инспекторов для таких банков с целью оценки эффективности их систем ИБ.

Ещё одна организация в системе контрольно-финансовых органов США, Федеральный совет по надзору за финансовыми учреждениями (The Federal Financial Institution Examination Council, FFIEC), предписывает банкам вести разъяснительную работу с клиентами относительно того, как защитить себя от атак киберпреступников. Согласно нормативному руководству FFIEC, банки должны иметь несколько уровней аутентификации клиента, а не один, как, например, пароль или IP-адрес компьютера клиента.

ОТВЕТСТВЕННОСТЬ НА ТОП-МЕНЕДЖЕРАХ

КФС едины в оценке ответственности высшего менеджмента банков за предотвращение киберпреступлений и ликвидацию их последствий. В частности, в руководстве FFIEC по проведению проверок состояния банковских IT-систем прямо указывается, что правление банка отвечает за разработку, внедрение и сопровождение программ ИТ, в том числе систем ИБ. Этим документом устанавливается ответственность правления банка за разработку планов обеспечения ИБ, соответствующих мероприятий и программ, а также за контроль эффективности этих программ. В свою очередь, безопасности следует отводить один из высших приоритетов в корпоративной культуре банков, и этот подход должен пронизывать всю финансовую организацию сверху донизу.

Главное контрольно-финансовое управление США (General Accounting Office, GAO) в Жёлтой книге – руководстве для инспекторов по выявлению мошенничества в банках и финансовых учреждениях, изданном в 2013 году, большое внимание уделяет вопросам этики. В частности, соблюдению сотрудниками Кодекса профессиональной этики ACFE. Также акцентируется внимание проверяющих на необходимости мониторинга активности сотрудников финансовых учреждений в социальных сетях. Особо выделяется такая сфера контроля как мошенничество с использованием интернета и киберпреступления в целом.

Ещё в 2009 году в докладе GAO по киберпреступности (GAO-07-075) были сформулированы 4 основные проблемы в борьбе с этим широкомасштабным явлением:

  • обеспечение информированности о фактах совершения киберпреступлений;
  • обеспечение достаточных аналитических и технических возможностей для сотрудников правоохранительных органов;
  • способность действовать в самых разных странах, в условиях распространения нескольких юрисдикций;
  • способность эффективно осуществлять обеспечение ИБ и повышение уровня подготовки сотрудников по этому профилю.

Из этих 4 проблем, по оценке GAO, наиболее актуальной является обеспечение достаточных аналитических и технических возможностей для сотрудников правоохранительных органов. Остальные три проблемы решаются, и даже если где-то прогресс не так заметен, недостатки в последующем могут быть устранены без особых трудностей.

Ричард Мур, автор книги «Киберпреступность: расследование высокотехнологичных компьютерных преступлений», в предисловии отмечает: «К сожалению, в то время как те, кто использует новые технологии в преступных целях, оттачивали свои приемы и методы деятельности и совершенствовали свои знания о том, как функционируют компьютеры, многие работники правоохранительных органов оказались неспособны выдержать столь высокий темп».

По его оценке, очень небольшое число подразделений следственных органов укомплектованы сотрудниками, способными и готовыми проводить расследования киберпреступлений и преступлений, совершаемых  с использованием самых передовых технологий. А те подразделения, сотрудники которых способны это делать, сталкиваются с типичной для всех правоохранительных органов проблемой – недостатком финансирования.

ЗАЩИТА РАБОЧИХ МЕСТ СОТРУДНИКОВ

В свою очередь, в инструктивных документах ФБР США, также активно участвующего в мероприятиях по предотвращению киберпреступлений, отмечается, что в последнее время центр внимания криминальных сообществ в этой сфере все более смещается в сторону атак против персональных компьютеров сотрудников финансовых учреждений. В этой связи ФБР рекомендует банкам периодически проводить сканирование этих устройств с целью обнаружения и обезвреживания вредоносных программ.

Банки обязаны ориентировать свои службы ИБ на противодействие попыткам киберпреступников использовать персональные устройства служащих для совершения мошенничества. Эти службы должны быть в состоянии четко сформулировать механизмы защиты, наличие которых необходимо обеспечить в банке, чтобы предотвратить проникновение вредоносных программ на компьютеры персонала, как настольные, так и портативные.

Они также обязаны создать защиту, способную предотвратить заражение других компьютеров в корпоративной сети. Руководству банка следует исходить из того, что банк надлежит защитить на нескольких уровнях безопасности с использованием нескольких технологий, периодически проводя при этом оценки угроз. Также необходимо разработать детальный план ликвидации последствий в тех случаях, когда мошенничества имеют место.

Следует отметить, что кроме выработки рекомендаций общего характера контрольно-финансовые службы США ведут с банками и повседневную работу, оказывая им поддержку в преодолении негативных последствий мошеннических действий со стороны преступного сообщества. В том числе кибератак и других эпизодов несанкционированного компьютерного проникновения. Так, в апреле этого года КФС уведомили банки о необходимости срочно обновить свои системы ИБ и пароли в связи с обнаружением уязвимости HeartBleed, позволявшей подключаться, в частности, к интернет-банку, получать приватный SSL-ключ из оперативной памяти и выполнять MITM-атаку или получать логин и пароль пользователя.

В том же месяце FFIEC выступил с инициативой, чтобы банки и другие финансовые организации несли полную ответственность за последствия DDoS-атак. Таким образом, банкам при рассмотрении исков пострадавших вкладчиков ссылаться на то, что они сами стали жертвами таких атак, теперь будет сложнее. FFIEC собирается просто-напросто обязать подконтрольные финансовые организации обзавестись соответствующей защитой. Кроме того, банки теперь должны будут иметь эффективный план реагирования на подобные атаки. В противном случае их ждут крупные штрафы.

ПОВЫШЕНИЕ ТРЕБОВАНИЙ К ПЕРСОНАЛУ

Что касается перспектив развития отношений между банками и КФС в обозримом будущем, то эксперты прогнозируют последствия ужесточения правил, регламентирующих деятельность банков в целом и мероприятия по обеспечению ИБ. В частности, ожидается повышение требований, предъявляемых к деловым и моральным качествам сотрудников финансовых учреждений.

В то время как банки будут продолжать полагаться на сторонних поставщиков ряда услуг для повышения эффективности, возрастет спрос на менеджеров среднего звена, которые могут вести переговоры и поддерживать отношения со сторонними организациями. Находясь под постоянным воздействием КФС, банки будут все более адаптироваться к эффективному решению проблем управления рисками методом аутсорсинга, особенно в том, что касается услуг, предназначенных для клиентов, и информационных технологий. В высшем менеджменте банков и финансовых организаций ожидается дальнейший рост потребности в руководителях, располагающих опытом в таких областях, как управление рисками, соблюдение законодательства, информационные технологии и информационная безопасность.

Клифф Стэнфорд, юрист компании Alston & Bird LLP, отмечает, что в последние годы уже имело место повышение спроса на сотрудников банков, разбирающихся в вопросах обеспечения соблюдения 2 основополагающих законов, действующих в финансовой сфере США: о банковской тайне и по противодействию отмыванию денежных средств. В области информационных технологий будет расти потребность в директорах по информационным технологиям (Chief Information Officer) и, особенно, в директорах по информационной безопасности (Сhief Information Security Officer). Возрастет потребность высшего менеджмента банков в специалистах с солидным опытом работы по взаимодействию с КФС и обеспечению выполнения законодательства, действующего в финансовой сфере, способных организовать эту работу на высоком уровне с минимумом затрат.

Норма Шарара из компании Luse Gorman Pomerenke & Schick, P.C., в свою очередь обращает внимание на то, что процесс управления рисками применительно к банкам все больше требует знания норм, установленных регуляторами, в том числе КФС. Кроме того, реформа регулирования и законодательные изменения будут по-прежнему играть важную роль, как в США, так и в Европе.

ВНУТРИКОРПОРАТИВНОЕ И ВНЕШНЕЕ ВЗАИМОДЕЙСТВИЕ

Таким образом, для банков будет крайне важно располагать специалистами, в том числе в руководящем звене, способными и поддерживать на должном уровне отношения с регулирующими органами и КФС, и организовывать эффективную коммуникацию с общественностью, способствуя продвижению позитивного образа банков в экономике. Внедрение новых правил и правоприменительных действий будет продолжаться. Следовательно, сотрудники банков, обеспечивающие соблюдение законов и правовых норм, продолжат играть ключевую роль по мере введения новых правил  и ответственности перед регуляторами.

По мнению Дональда Лэмсона из компании Shearman & Sterling LLP, управление рисками и внедрение новых технологий потребуют повышенного внимания со стороны руководства банков. Финансовые организации, до сих пор не располагавшие специалистами в этих областях в своем высшем звене, будут вынуждены включить их в состав управленческого персонала по мере роста своих организаций.

Питер Вайнсток из компании Hunton & Williams LLP, прогнозируя развитие существующих тенденций, особо выделяет то обстоятельство, что каждая успешная стратегия управления рисками должна будет включить в себя новые методы взаимодействия для членов совета директоров и управленческих команд. Им придётся налаживать успешные партнерские отношения с соответствующими регулирующими органами – непосредственно, через третьих лиц или с помощью иных методов. Важность тесных связей   с регуляторами возрастет, поскольку деятельность этих организаций будет расширяться, а также становиться все более сложной и… неопределенной.

В настоящее время, осознавая возросшие угрозы со стороны организованной киберпреступности, многие компании по всему миру активно вкладывают деньги в совершенствование своих систем информационной безопасности для противостояния им. И в первую очередь повышенное внимание вопросам информационной безопасности характерно именно для банковского сектора.

 

 

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

22.02.2024
Самолётом, поездом, машиной. Базу ПДн туристов расширят
22.02.2024
Утверждён новый стандарт протокола защищённого обмена для индустриальных систем
22.02.2024
Системы электронного правительства проверяют на прочность
22.02.2024
Число стилеров в российских банках стремительно растёт
22.02.2024
Эксперты Forbes: ИБ-сектор за год прибавил 8,4%
21.02.2024
«Не являлся значимым кредитором реального сектора экономики». ЦБ РФ лишил QIWI Банк лицензии
21.02.2024
Характер занятости обсуждается при собеседовании. Как становятся дропперами
21.02.2024
Российские компании недовольны «агрессивной кадровой политикой ряда азиатских вендоров»
21.02.2024
Весенние обновления в Signal — реальная ИБ или «косметика»
21.02.2024
NCA: Каждый пятый молодой британец — потенциальный хакер

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных