4 октября Национальный банк Украины обнародовал Положение № 95 «Об организации мер по обеспечению информационной безопасности в банковской системе Украины». Меры своевременные, и эксперты оценивают новые требования в целом положительно. Если бы не сроки и стоимость их внедрения… Помогут ли новые требования по кибербезопасности оздоровить банковскую систему Украины?
Рекомендаций много — опасность не снижается
Буквально за день до выхода исторического документа НБУ, касающегося безопасности банковской системы страны, Верховная Рада приняла закон «О кибербезопасности». Он, в частности, наделяет регулятора полномочиями формировать и обеспечивать функционирование реестра объектов критической информационной инфраструктуры в банковской системе. После серии вирусных атак, блокировавших работу банков и госучреждений на несколько дней и даже недель, в необходимости заботы о безопасности никто не сомневается. Специалисты подчёркивают, что свои новые требования НБУ готовил несколько лет, учитывая не только украинский, но и европейский опыт.
Разумеется, хакерские атаки, утечки данных, перебои в работе IT-инфраструктуры — головная боль не только наших финучреждений. С одной стороны, ведущие банки мира обращаются к киберстрахованию, с другой —внедряют и актуализируют стандарты по безопасности, разработанные ведущими умами в области IT. Рекомендаций в этом плане сегодня немало: и Международной ассоциации специалистов ISACA, и Европейского агентства по вопросам сетевой и информбезопасности ENISA, и немецкой Федеральной службы безопасности BSI, стандарты ISO и NIST, соответствующие директивы ООН… Все они делают акцент на внедрении инноваций для предотвращения использования информпространства злоумышленниками. А единый для всего Евросоюза закон о кибербезопасности 2016 года обязует всех предпринимателей уведомлять о замеченных кибератаках и теснее сотрудничать в защите IТ-инфраструктур.
Прописи для начинающих криптографов
Новое Положение НБУ полностью соответствует принципам права Евросоюза и обязательствам Украины в сфере евроинтеграции, а его имплементация позволит стандартизировать требования к защите информации в банках Украины с учётом актуальных киберугроз, говорят эксперты.
Итак, банкам предлагается двухэтапный план. Первый этап включает около 100 первоочерёдных действий по обеспечению информационной безопасности, второй — дополнительные меры. Банки должны обеспечить криптографическую защиту информационных систем от вредоносных кодов, усилить безопасность использования электронной почты и банковских сетей, ввести контроль доступа к информационным системам согласно передовым стандартам для оборудования и программного обеспечения. Из штатных сотрудников сформировать подразделения по информационной безопасности с полномочиями руководителей, достаточными для принятия управленческих решений. Кроме того, Положение определяет понятие критических в плане безопасности бизнес-процессов банка, основных рисков, утверждает стандарты оборудования и сетевых протоколов и шифрования данных, порядок ведения сетевой и кабельной документации. Прописаны также правила блокировки учётных записей пользователей.
Сколько стоит безопасность
Ясно, что спасение утопающих — дело рук самих утопающих, и затраты на выполнение требований лягут на баланс банков. Защита сетей у нас на низком уровне, что и помогло распространению печально известного вируса Petya.A и прочих. Эксперты затрудняются в оценке хотя бы примерных затрат на решение таких проблем. Тем более что банки разные, и где-то часть требований уже выполнена априори — вслед за материнскими европейскими банками, например, а где-то это влетит в такую копеечку, что проще отказаться от работы вообще. Нетрудно догадаться, что речь идёт о миллионах гривен, а то и долларов: новые требования по защите от вредоносных кодов и обеспечению многофакторной аутентификации при доступе пользователей к важным данным тянут за собой закупку дополнительного дорогостоящего оборудования, замену старой техники и программ. По предварительным оценкам, только закупка дополнительного оборудования обойдётся банку в среднем в 4–8 млн грн. Плюс подготовка сетей, замена ПО, создание и ведение документации, кадровые вопросы…
Кто не успеет, тот опоздает
Основную часть новых требований банки обязаны выполнить до 1 марта 2018 года. В этот день нормы Положения № 95 вступят в силу. Дополнительные требования, — например, введение учёта и документации для сменных носителей, дополнительная защита от DDoS атак, — нужно успеть ввести до 1 сентября 2019 года.
Уложатся ли банки в указанные сроки? Эксперты сомневаются. Всего за 5 месяцев выполнить первый этап местами просто нереально. Лишает ли это банк лицензии на работу автоматически? Положение не содержит карательных мер к нарушителям, но специалисты думают, что так или иначе работать им не дадут. Вполне возможно, что часть банков, оценив расклад, сами свернут деятельность, а кто-то, не справившись, уйдёт с рынка принудительно. Учитывая опыт использования НБУ подзаконных актов, проверок и прочих методов регулирования числа банков, эксперты предвидят печальные последствия для тех, кто не успеет внедрить новые стандарты.
Выходит, что вполне резонные и современные требования регулятора выглядят, как ситуация из анекдота: «крутись как хочешь, но похороны завтра». Но ведь хоронить систему мы пока не собираемся! Как же быть?
Все понимают, что сегодня банкам уже недостаточно иметь надёжное хранилище и вымуштрованную охрану. В век высоких технологий требования к обеспечению стабильности и надёжности меняются. Успешное функционирование любого крупного учреждения, в том числе и банка, невозможно без чёткой системы управления информационной безопасностью. Как её построить или улучшить, подскажут стандарты и законодательные акты. Скорее всего, это выведет инвестиции в информационную безопасность на новый уровень, как и требования к действующим банкам. И, похоже, другого способа остаться на рынке не будет.
Zavarnik