Бизнес и финансы

Национальный банковский журнал (посмотреть все статьи) Эксперты Банка России рассуждают о рисках в области информационной безопасности, которые в условиях кризиса резко возрослиПроблема информационной безопасности состоит не только в том, чтобы защитить персональные данные. Организациям нужно защищать любую информацию, циркулирующую во внутренних сетях. Вот показательные цифры: объем «рынка» киберпреступности в 2007 году оценивался в $100 млрд. А ущерб от промышленного шпионажа для тысячи крупнейших компаний мира составил $45 млрд - это прямые и косвенные потери. В США, к примеру, темпы роста расходов на информационную безопасность превышают расходы на IT в 3 раза. А в России - всего лишь на 15%. Это говорит о том, что информационное общество в стране еще недостаточно развито.

Хотя в некоторых отраслях ситуация иная, в том числе и в банковском секторе. Михаил СенаторовЗаместитель председателя Банка РоссииИсследования показывают, что очень многие руководители не относят обеспечение информационной безопасности к числу приоритетных задач. Не осознают ту опасность, с которой сталкиваются. Конечно, она не ощущается прямым восприятием человека. Это не кисло, не сладко, это никак. Среди ведущих компаний мира доля руководителей, которые не контролируют свои базы данных, не ставят подчиненным соответствующие задачи, составляет около 40%. А доля нарушений, совершенных сотрудниками или контрагентами, повысилась до 70%.Понятно, что в условиях нынешней экономической ситуации вопросы информационной безопасности становятся еще более важными: обостряется проблема инсайдеров. Из организаций уходят сотрудники, которые нередко перед увольнением осуществляют злонамеренные действия. Все мы знаем о том, что в последнее время участилось количество атак на банковские счета. Наиболее популярные мошенничества в банковской сфере за последнее время - изъятие данных кредитных карт с целью похищения средств, получение сведений о банковских счетах и проведение по ним несанкционированных операций.

Только техническими средствами проблему информационной безопасности решить невозможно. Защита корпоративных систем на 40% зависит от организационных мероприятий, на 30% - от морально-нравственного состояния общества и общекультурного уровня пользователя. И только на «последние» 30% - от тех технических решений, которые применяются. Особенно важно понимать, что без жесткой технологической дисциплины обеспечить информационную безопасность очень сложно. Если же говорить об ее развитии в банковской сфере, то систему целесообразно строить на основе разработанного Банком России Стандарта. Это проработанный документ, который на протяжении нескольких лет дополняется и развивается.

Все помнят что, когда 15 лет назад мы только начинали заниматься банковской безопасностью, то в первую очередь беспокоились об инкассаторах. И только через 5 лет начали говорить о проблемах IT. Если сейчас заглянуть в криминальные сводки, можно вновь обнаружить сообщения о нападениях на инкассаторов. Это не значит, что мы вернулись в начало, просто преступники всегда ищут более слабое место в обороне. И значит, с точки зрения IT-технологий ситуация улучшилась. Можно считать, что по этому «предмету» криминалитет выставляет нам твердую четверку.

Александр ЛахтиковНачальник ГУБЗИ Банка РоссииИнциденты по части безопасности всегда будут - логика жизни такова. Ясно и то, что оборона всегда запаздывает, а нападение действует на опережение и по определению более агрессивно. Конечно, хотелось бы почувствовать свою профессиональную ненужность, но нам это не грозит. И системы по IT-безопасности, которые мы выстраиваем, не могут быть безупречными - нельзя сказать, что когда-нибудь этих рисков не будет. Они будут, но при этом система должна быть выстроена так, чтобы в случае необходимости затрагивать минимальное время на восстановление. А вот это уже зависит от нас с вами. Вопросы по информационной безопасности сейчас весьма актуальны. И многие это понимают.

Нам, в частности, удалось добиться того, что высшее руководство ЦБ РФ на совете директоров обсуждает эти темы. Это не значит, им делать нечего, просто они заинтересованы в решении соответствующих проблем. И, между прочим, это показатель зрелости системы. И если кто-то из руководителей кредитных организаций не посвящен в тему, я бы настоятельно рекомендовал специалистам служб безопасности потратить время и силы на изменение ситуации. Это сторицей окупится. Злободневная проблема сейчас - риски несоответствия. Со следующего года в силу вступает закон «О персональных данных», и кредитным организациям уже пора подумать о том, как соответствовать новым требованиям. От этого никуда не денешься. Мы со своей стороны заинтересованы не только в совершенствовании контроля, но и в обратной реакции, мы хотим наладить диалог с банками и совместно приходить к решению проблем.

Понимаю, что к Стандарту Банка России можно относиться по-разному, можно его хвалить, можно ругать. Но вряд ли стоит спорить по поводу того, нужен он или нет. Надо исходить из того, что принципы и подходы уже сформулированы, что закон уже есть. Поэтому странными кажутся вопросы о том, будет ли Стандарт обязательным. Банки должны для себя решить, что он уже обязательный. И когда регулирующие органы сделают его таковым, вы будете подготовлены.