Несмотря на то, что финансовая система страны считается одной из самых продвинутых отраслей экономики в плане цифровых технологий, она и здесь нуждается в поддержке государства. Так, на прошлой неделе глава Национального Банка Данияр Акишев заявил, что регулятор «в тесном взаимодействии с заинтересованными государственными органами» разрабатывает систему кибербезопасности, которая сможет обеспечить защиту всех субъектов финансового рынка.
«Защита средств банка и клиентов обеспечивается в их собственных интересах. Тем не менее нужно учитывать, что банки не всегда могут противостоять серьезным атакам… В настоящее время госорганами ведется работа по внесению изменений и дополнений в законодательство по вопросам создания и функционирования единой государственной системы киберзащиты, включающей в себя систему отраслевых оперативных центров информационной безопасности и службу реагирования на инциденты информационной безопасности», – заявил председатель правления Национального Банка на совещании по вопросам цифровизации, в котором принял участие глава государства.
Данияр Акишев отметил, что в мажилисе парламента РК находится законопроект, который регламентирует механизмы мониторинга инцидентов в банках второго уровня: «В дальнейшем, в течение трех-пяти лет в целях реализации задач, предусмотренных в законопроекте, будет идти построение единой системы кибербезопасности страны, которая поможет ее участникам эффективно противостоять крупным кибератакам».
Есть ли угроза
Согласно опубликованной на разных ресурсах официальной статистике Государственной технической службы КНБ РК, с 2011 по 2017 год банки и национальные компании страны отразили свыше 79 тыс. кибератак. При этом даже в КНБ не владеют информацией о сумме нанесенного хакерами ущерба.
Эксперты говорят, финансовые организации лишь в крайнем случае публично озвучивают успехи хакеров, так как это всегда провалы банков.
«Давайте посмотрим на суть кибератак. Для людей, которые занимаются атаками на банки, это в первую очередь способ заработать деньги. Люди это достаточно прагматичные, им не нужны ни лишний риск, ни лишние сложности. Поэтому они обычно выбирают более безопасные и простые способы добычи денег. Им не нужна прямая конфронтация с банками, так как это и технически сложнее, и последствия хуже. Злоумышленники стараются выбирать менее защищенное звено – клиентов», – отметил Константин Пак, директор по развитию новых технологий и инноваций Ассоциации финансистов Казахстана.
По его словам, мошенники выбирают в жертвы наименее информированных и технически неподготовленных клиентов БВУ.
«В большинстве случаев для этого не требуется совершать какой-то технический взлом. Методы работают на уровне психологии. Определенные приемы позволяют узнать информацию для доступа в банковские системы, просто правильно выстроив вопросы и, возможно, подделав (не взломав) письмо от банка или страницу сайта. Это классический фишинг.
Бороться с ним можно, либо применяя новые методы аутентификации, не логин/пароль, а, например, биометрию, когда клиент, даже обманутый, при всем желании не сможет передать «код доступа» злоумышленнику. Потому что код доступа – это его лицо, отпечатки пальцев, голос. И второй способ борьбы – это повышение грамотности населения в области информационной безопасности. Двигаться надо, безусловно, обоими путями, и эти меры сейчас заложены в ряд дорожных карт по информатизации, развитию электронной торговли в Казахстане и других», – подчеркнул директор по развитию новых технологий и инноваций Ассоциации финансистов Казахстана.
Два года Первое кредитное бюро продвигает идею биометрической идентификации клиента БВУ, но пока дальше ее одобрения дело не идет.
«Благодаря четвертой волне цифровой революции у нас размываются периметры и границы. Предыдущий этап характеризовался быстрым проникновением интернета в жизнь потребителей. Текущий отличает быстрое и взаимоусиливающее проникновение гораздо более широкого спектра цифровых сервисов, продуктов и систем. По этой причине мы приходим к обществу одного пространства. Если раньше после кибератак на российские банки мы ждали какое-то время (обычно шесть месяцев), то теперь ничего подобного! Иногда хакеры к нам заходят с новыми мошенническими технологиями раньше, чем в Россию. Но там уже в 2018 году крупнейшие банки страны начнут массовый сбор биометрических данных клиентов», – поделился Андрей Воякин, заместитель генерального директора ТОО «Первое кредитное бюро».
Андрей Воякин в сфере безопасности цифровых технологий работает с 1996 года. Один из самых опытных экспертов в нашей стране считает, что наибольший вред банкам приносят ни кибератаки хакеров, а инсайдеры, которые могут продать любую конфиденциальную информацию.
«Протестные люди, сотрудники, недовольные своим положением или руководством, способны принести больше вреда, чем самый изощренных хакер», – сказал заместитель генерального директора ПКБ.
Хорошо, что нет денег
По его мнению, от наплыва хакеров и охотников за личными данными казахстанцев нас спасают неурядицы на финансовых и сырьевых рынках.
«У нас снизился объем денежных поступлений в страну. Вспомните 2005–2006 годы. Председатели правления первых десяти банков каждый год ездили на road show за рубеж и привозили в Казахстан $2–3 млрд. Эти деньги не только в экономику вкладывались – на них смогли поживиться и хакеры, и инсайдеры. Сейчас свободных средств в стране намного меньше. Из-за этого мы не так интересны международным мошенникам. Кроме того, из-за того что деньги начали считать на всех уровнях, в прошлое отходит институт родственных и дружеских связей. Теперь хорошие руководители берут на работу, как правило, не двух, а одного человека, и он профессионал», – отметил Андрей Воякин.
По его мнению, государству стоит воспользоваться относительным затишьем и приступить к созданию единой системы защиты от кибератак, которая будет поддерживать «виртуальные щиты» финансовых учреждений страны.
С этим мнением не согласен представитель АФК Константин Пак.
«В мире пока нет прецедентов, когда какая-то одна система была бы способна защитить все информационный ресурсы, даже узкоспециализированные. Кибербезопасность – это всегда комплекс мер, поэтому вряд ли можно говорить о построении какой-то централизованной системы безопасности. Скорее нужен единый подход, соблюдение ряда стандартов на всех уровнях, начиная от государства, далее через коммерческий сектор непосредственно для пользователей. Так что «купить волшебную систему за N долларов и решить вопрос» не получится», – заключил Константин Пак.
Альтернативный путь
В соседней России Центробанк, закрывая один БВУ за другим, не рефлексирует и не прикладывает усилий для создания единого киберщита, здесь пошли другим путем. ЦБ намерен ужесточить требования к кибербезопасности, и с 2018 года форма отчетности Банку России обяжет БВУ раскрывать экономические показатели, связанные с кибератаками. Таким образом, финорганизации будут передавать регулятору суммы, на которые хакеры покушались в отчетный период, объем хищений со счетов клиентов и информацию о средствах, возвращенных гражданам.
Безусловно, это жесткое требование потребует от финансистов серьезных капиталовложений, которые для маленьких банков могут отказаться критичными.
Но и финансисты Казахстана не сидят сложа руки. Так, Первое кредитное бюро создало и успешно внедряет систему межбанковской базы данных по операционным рискам.
«Каждый банк фиксирует у себя любые операционные инциденты – от утечки информации до ограбления банкомата. После этого финансовая организация всегда проводит какие-то корректировки в своей работе, меняет бизнес-процессы. У небольших банков меньше опыта, меньше инцидентов, но риски их из-за недостатка информации велики. Поэтому мы создали систему, которая позволяет в режиме онлайн обмениваться этой информацией. При обмене не разглашаются персональные данные банка, его клиентов или сотрудников. Первая задача этой базы – своевременное получение информации (что очень важно при кибератаках). Во-вторых, база данных может стать аналитическим инструментом для среднего и маленького банка. Они смогут получать всю картину по операционным инцидентам в стране и видеть, как решались проблемы в других БВУ», – рассказала о новом проекте директор по развитию бизнеса ТОО «Первое кредитное бюро» Асем Нургалиева.
Пока межбанковская база данных по операционным рискам работает в тестовом режиме лишь в одной финансовой организации. Еще в трех структурах идет техническая подготовка к ее внедрению.
«Надо подготовить специалистов, показать саму программу, ее особенности. Думаю, в 2018 году проект начнет работать в полную силу», – заключила Асем Нургалиева.
Рассказывая президенту о создании эффективной системы финансовой кибербезопасности, Данияр Акишев не вдавался в подробности и не пояснил, идет ли речь, как в случае с Россией, об ужесточении контроля или о создании при помощи регулятора и силовых структур «единого киберщита». Думаю, не стоит гадать, тем более что у финансистов в мажилисе есть лобби и поддержка, и мало кто из владельцев банков готов встретить представителей КНБ с распростертыми объятиями и тем более подпустить их к святая святых – дата-центрам или внутренним системам. И выбирая из двух зол – материальные затраты или доступ к данным, финансисты Казахстана быстрее и охотнее распрощаются с деньгами.