«Резиновая» киберустойчивость

Артем Сычев, заместитель начальника ГУБиЗИ Банка России

Одной из главных тем недавно прошедшего уральского форума «Информационная безопасность финансовой сферы» стала киберустойчивость. Тема, конечно, – не новая, но в контексте ИБ она обсуждается не так уж часто. Мы попросили прокомментировать ее аспекты заместителя начальника ГУБиЗИ Банка России Артема Сычева.

!БДИ:

Тему киберустойчивости можно назвать «резиновой», поскольку под ней подразумевает все что угодно. С вашей точки зрения, что она в себя включает?

Артем Сычев:

До недавнего времени даже ИБ-специалисты не понимали, что такое киберустойчивость. Про- блема — в том, что под киберустой- чивостью подразумевается гораздо больше, чем просто информационная безопасность или только ИТ. В обе- спечение киберустойчивости входят восстановление после сбоев, резер- вирование и некоторые другие тра- диционные задачи ИТ, не имеющие непосредственного отношения к ИБ. В киберустойчивость входит и уровень безопасности сервисов, предоставляе- мых провайдерами услуг. Если «упадет» поставщик услуг, то и обслуживаемая организация работать не сможет. И это тоже проблемы киберустойчивости.

!БДИ:

На прошлогоднем форуме вы сделали акцент на аутсорсинге для банковской сферы. Следует ли из этого, что вы рассматриваете киберустойчи- вость как развитие темы аутсорсинга?

А.С.:

Безусловно! Я исхожу из того, что аутсорсинг интересен, прежде всего, не крупным, а мелким и средним орга- низациями. Сейчас становится понятно, что управление аутсорсинговыми ресурсами кредитно-финансовой орга- низации должно строиться немного иначе. Это — не абсолютно новая тема, а, скорее, другая постановка вопроса. Раньше утверждали, что организация должна иметь план непрерывности, но он не был тесно связан с информа- ционной безопасностью. То же самое относится к обязательному резервному копированию. Это — не российское изобретение, а международная практика.
Представители центральных банков нескольких стран двадцатки смогли договориться между собой о том, как обеспечивать стабильность финансовой системы и расчетов. Однако в последнее время стало понятно, что стабильность зависит не только от скорости и эффек- тивности работы платежной системы, но и от того, что на эту систему может обрушиться огромное количество все- возможных кибератак. Тогда встал вопрос о комплексном подходе к устой- чивости, который включает в себя и ИТ, и аутсорсинг, и информационную без- опасность.
Предъявляя соответствующие тре- бования к значимой инфраструктуре платежной системы Банка России, мы волей-неволей должны распростра- нять их на том уровне, который в дан- ной системе имеется. В нашем случае это — кредитные организации. Но соз- давать отказоустойчивую систему, в кото- рой никто не работает, — все равно что пускать деньги на ветер. Это означает, что ты не обеспечил самое основное, движение денег. А для реального дви- жения денег нужно, чтобы работала не только платежная система Банка России, но и отправители и получа- тели денег. Если кто-то из них не рабо- тает, то теряют все. Причем получатель и отправитель работают с использова- нием определенных сервисов, а их-то как раз и предоставляют те самые провай- деры услуг связи и иных услуг. Получается, что в «пищевой цепочке» киберустой- чивости взаимосвязаны все участники конкретного процесса. Каждый влияет на других и зависит от каждого.

!БДИ:

Еще один важный момент. Мы живем в мире, в котором на глазах стираются привычные границы, в том числе границы ответственности между ИТ, ИБ и бизнесом. Киберустойчи- вость — тоже задача со стертыми гра- ницами?

А.С.:

Это — один из ключевых вопро- сов. У нас на первом месте стоят задачи завершения операционного дня в уста- новленные сроки и восстановления бизнеса. Временной период восстанов- ления после инцидента, составляющий два часа, складывается из многих зве- ньев. Надо не просто поднять систему на основе резервной копии и начать работать — в случае кибератаки это ничего компании не даст. Если канал был забит, он таковым и останется. Зна- чит, нужно за указанное время при- нять меры для освобождения канала. Это — очень сложная задача ИТ и ИБ. И комплексный подход требует, на мой взгляд, его осознания не только пла- тежной системой, но и кредитными организациями. К сожалению, многие до сих пор понимают киберустойчи- вость как комплекс компетенций, прак- тик и привлечения к ее обеспечению ряда департаментов, в том числе бизнеса, понимают как некий периметр вокруг систем, сервисов или бизнес-функций, например АРМ КБР.

!БДИ:

Мне кажется, что этот уровень понимания киберустойчивости уже неплох на фоне преобладающего пред- ставления о том, что ИБ — это лишь compliance, т.е. соответствие требова- ниям регуляторов.

А.С.:

Compliance — да, отдельная песня. То, что декларируют некоторые кредит- ные организации в своих отчетах, и то, что на самом деле в них происходит, — «две большие разницы». Однако те кре- дитные организации, которые имеют действительно большую структурную сеть, волей-неволей начинают зани- маться киберустойчивостью, поскольку для них электронный бизнес стано- вится, собственно, основным. Для них неработоспособность систем означает явную потерю денег, и они вынуждены, в меру своего понимания, заниматься соответствующими вопросами. Задача регулятора состоит в том, чтобы обеспе- чить отсутствие в этой работе шатаний из стороны в сторону, т.е. дать единую методологию. А каждая организация может применять в рамках данной методологии те решения, которые она считает оптимальными и которые соот- ветствуют возможностям ее бизнеса.

!БДИ:

Не так давно мы с коллегами отметили одно неприятное обстоятель- ство: компетенции ряда вендорских и интеграторских компаний обогнали уровень зрелости заказчиков. Как вы воспринимаете эту проблему? 

А.С.:

С точки зрения компаний, которые работают на нашем рынке, проблема состоит в другом. Большая часть таких компаний привыкла к масштабным заказам, подразумевающим поставки аппаратно-программных решений и их дальнейшее сопровождение. Их цель — продать один раз, а потом зани- маться поддержкой или оказанием услуг, рассчитывая при этом потом продать что-то еще. Такое положение дел всех устраивает ровно до той поры, когда приходится осознать, что на некоторые вещи у заказчика попросту не хватает ресурсов. Ему нужен сервис, а не закупка программных и аппаратных решений как самоцель.
Сейчас для множества мелких и сред- них по размерам компаний вопросы информационной безопасности стали суперактуальными. А позволить себе содержать персонал и тратить значи- тельные денежные суммы в соответ- ствии с «идеальными» представлениями замечательных компаний, которые хотят продавать им большое количе- ство решений за большие деньги, они не в состоянии. Им нужен сервис! А сервис никто предоставить не может. Почему? Потому что модель продаж не ориентирована на розницу, к которой, в том числе, относятся мелкие и средние банки, – она нацелена на работу с круп- ным бизнесом. Перестраивать такой бизнес сложно и затратно. Ты должен вложить сейчас энное количество миллионов, чтобы когда-нибудь, года через два-три, получить от них отдачу. Но это — проблема не рынка, а страны, которая не готова к инвестиционной политике и в которой доминирует жела- ние работать на продажи.
Еще одна проблема состоит в том, что некоторые рыночные «звезды», в том числе из сферы безопасности банков, «пылесосят» специалистов, очень высоко задирая плату за их услуги. Понятно, спе- циалисты идут именно туда, где за работу можно получить большие деньги. А вот обычный банк не готов столько платить обычным специалистам.

 !БДИ:

На форуме в секции кибер- устойчивости было представлено несколько практических кейсов. На ваш взгляд, каковы задачи киберустойчиво- сти с точки зрения этих практик? Они совпадают с вашими взглядами?

А.С.:

Я бы сказал, что они близки друг к другу, но между ними есть кое-какие понятийные различия. Это, видимо, объясняется разными уровнями зрело- сти. И я свою задачу вижу, собственно, в том, чтобы попытаться данный разрыв немножко сократить. Конечно, в отно- шении безопасности крупный банк всегда будет находиться впереди малень- кого, и с большим отрывом, поскольку такие организации используют разные технологии. Но это не означает, что раз- рыв не надо сокращать. Как действовать? На мой взгляд, с помощью стандартиза- ции. Кроме того, необходим контроль над реальным положением дел с бан- ковской безопасностью, а не просто документальные проверки наличия или отсутствия в банках нужного регламента. А по результатам контроля нужно при- нимать определенные меры.

!БДИ:

Насколько в этом вопросе нам близок и полезен международный опыт обеспечения киберустойчивости?

А.С.:

Безусловно, очень полезен. Мы внимательно наблюдаем за тем, что реально делается на Западе и Востоке. Например, с точки зрения требований, рекомендаций и стандартов США ушли очень далеко (хотя не настолько далеко, чтобы их невозможно было догнать). А вот в отношении реализации всех этих рекомендаций и практики киберустой- чивости можно еще поспорить, у кого лучше, у нас или в США. Исходя из статистики, связанной с киберустойчивостью, можно сделать вывод, что у нас воруют меньше, чем на Западе. Да, у нас нет такого боль- шого количества рекомендаций, как там, но по каждому направлению, которое сейчас является актуальным, у нас есть некий набор требований либо реко- мендаций (а если их нет, то они — уже на подходе). Однако на путь реального контроля мы только вступили, хотя надеемся, что результат не заставит себя ждать. А с точки зрения санкций за неис- полнение требований к безопасности мы, можно сказать, идем в ногу с Запа- дом, хотя это – очень непростая задача.

!БДИ:

Как все это может сказаться на рынке?

А.С.:

Что хотел бы увидеть я? В первую очередь, развитие аутсорсинга в сфере безопасности. Слава богу, об этом уже начали задумываться не самые малень- кие компании, предоставляющее аут- сорсинговые услуги, и я надеюсь, что рынок продолжит развиваться. Кроме того, внимание к безопасности банков может подтолкнуть их к тому, чтобы не только самим заниматься решением этой задачи, но и выдвигать требования к партнерам, к разработчикам. Я наде- юсь, что определенное стимулирова- ние рынка постепенно произойдет. Все вместе взятое это — мотивация рынка к развитию компетенций, а не бумаж- ной безопасности.

Тэги: 
Оцените материал:
Total votes: 19

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя riskmn

Многое в интервью изложено логтчно и верно. Про позитив не буду - все очевидно.

Есть несколлько моментов по которым мое мнение отличается от мнения автора. Не могу не "подсветить" эти моменты...:

1. Мне не нравится общая пассивность тех, кто потребляет продукт (ИБ). Опять все отдается "продавцам", как двигателю развития отрасли. Это не верно. Менять стоит общую стратегию понимания предметной области (большая тема - стоит говорить отдельно). Вендоры уперлись в стену в развитии рынка - все, дальше будет застой. Системные причины лежать в основе этого. Надо только взглянуть на ситуацию под другим углом)))

2. Вариант трансформации смтуации на рынке  ("Перестраивать такой бизнес сложно и затратно") опять не касается потребителя! Малый и средний, да и большой бизнес не должен ничего вкладыать - это проблема вендоров (если они хотят выйти на большие рынки). Бизнес потом это все оплатит сторицей! Но, проблема в том, что у вендоров нет нехватки денег - у них нехватка мозгов!!! Они рады бы вложиться (на сегодня они и 10% потенциального рынка не охватывают), но "двигатели" не знают вообще сути той предметной отпрасли (ИБ в нашем случае) )и вынуждены довольствоваться крошками огромного пирога......

3. Банки и безопасность - отдельная тема Б, Что пожходит/нужно для ИБ никогда банка не подойдет другим. Банки - первый эшелон "дойного стада" из которого выкачивают деньги. ИБ в банке строится по простейшему признаку - строгого выполнения предписанного. Отклонился - отвечай, не отклонился - чист как ангел. Шикарная система и не надо никакой фантазии (ее никто не оплати)....Это было - это есть - это будет до момента, когда откроются носые "тучные поля" для "прокормки ведоров - хищников от ИБ". Они постоянно мечтают "разнообразить свой разион", но не могут (грамотежки не хватает). Тоже тема долгоиграющая.....

4. И еще о вреде всеобщей страндартизации. Она хороша в подавляющем количестве отраслей - кроме немногих (ИБ в этом списке). Предлогаю читателям (кому это интересно) самим задуматься над темой - что стоит стандартизировать, а что нет? Это тоже системная тема не для данного комментария, но вопрос очень важный.  

Приношу извинения если был резок.

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.