Профессиональная банковская площадка, на которой бы поднимались вопросы ИБ, могла стать весьма полезным инструментом для всего сектора. Управляющий директор ИТ группы АО «Банк ЦентрКредит» Нурлан Сарсебеков поделился взглядом на безопасность в банках.
— Нурлан, расскажите насколько актуальны вопросы цифровой безопасности в банках? Какие риски сегодня стоят перед финансовыми организациями?
На фоне высокой конкуренции банки наращивают свой технологический потенциал. Фактически на ежедневной основе создаются новые продукты и сервисы, как это модно сейчас говорить, в цифровом формате. Т.е. в базисе современных финансовых сервисов большая доля технологичности, представленной в виде набора ИТ решений. А любое хорошее ИТ решение должно разрабатываться с учетом требований информационной безопасности. Все больше углубляясь в трансформацию традиционного банкинга, занимаясь цифровизацией процессов и услуг мы, банки, не должны забывать, что в фундаменте банковского бизнеса изначально заложен принцип надежности и стабильности. Следовательно, создавать современные финансовые сервисы без учета вопросов информационной безопасности — это подрывать основы банковского дела.
Если говорить о рисках технологических, то кибер угрозы растут, так как это обратная, хочется сказать «темная», сторона развития ИТ, развивающаяся параллельно. Но я считаю это естественным и, по большому счету, нормальным явлением. С одной стороны угрозы и технологии, направленные на нанесение ущерба, конечно негативный аспект, но с другой, в ответ на эти угрозы идет колоссальное развитие соответствующих технологий. Тут важно отметить, что к вопросу о рисках информационной безопасности, мы должны подходить системно и комплексно. Недостаточно просто в ответ на техно угрозу, установить техническую систему. Необходимо прорабатывать вопросы организации операционных процессов ИБ, и конечно, постоянно повышать компетенции специалистов ИБ. Только при соблюдении правильного баланса между технологиями, процессами и уровнем компетенции специалистов можно организовать эффективную систему защиты от рисков ИБ.
— Сталкивались ли банки с такой историей?
Конечно в истории современного банкинга много кейсов связанных с событиями в области нарушения информационной безопасности. В том, числе есть печальный опыт и в Казахстане. Но я могу отметить, что банковский сектор в области развития Информационной безопасности достаточно зрелый. У многих банков, есть отдельные службы ИБ, выстроены или выстраиваются процессы поддержки и обеспечения высокого уровня информационной безопасности. Есть программы развития внутренней компетенции. Банки проходят на периодической основе аудиты на соответствие международным стандартам и внутренним стандартам крупных компаний, таких как PCI DSS, ISO. Так же есть нормативные документы регулятора в виде отдельных требований и рекомендаций к участникам банковского рынка по вопросам обеспечения должного уровня ИБ. Клиентов банков в РК могу уверить в том, что в большинстве структур финансового сектора РК, работа, в направлении обеспечения информационной безопасности, проводится регулярно и под надзором, соответствующих компетентных органов.
— Какой экономический ущерб несут банки в результате кибератак?
Ущерб может быть разным. Помимо аспекта, связанного с прямыми финансовыми потерями, очень большое количество инцидентов в ИБ подрывают имидж компании, и этот вопрос более актуален для банков. Доля прямых финансовых потерь, на самом деле минимальная. Но, как я упоминал, самое главное требование которое предъявляет клиент к банкам, это его надежность. Если надежность поставлена под сомнение, это может привести к оттоку клиентов. Именно с этой позиции, любой даже самый безобидный инцидент ИБ, может нанести больший ущерб банку подорвав его имидж. Кто будет хранить деньги в сейфе, который взломали? Обидно только, что иногда даже попытка взломать сейф, может вызывать сомнения клиентов в его надежности. Очень важно своевременно и адекватно реагировать, и отрабатывать такие вопросы. И без правильно организованных процессов тут никак.
— На какие системы чаще всего осуществляются атаки?
На сегодняшний день противозаконным действиям больше других подвергаются устройства дистанционного банковского обслуживания. И здесь срабатывает обычная психология. Что такое банковский банкомат или терминал самообслуживания? Это ящик с деньгами. Соответственно у людей, периодически возникает желание подорвать систему безопасности, но как правило это редко заканчивается большим финансовым ущербом для банка. Такие взломщики в основном наносят ущерб оборудованию. Тут конечно идет речь о физической атаке.
Другое дело это цифровое поле, и тут количество всевозможных инцидентов, от компьютерных вирусных программ, атак, приводящих к отказу от обслуживания, до взлома системы и получения бизнес критической информации, значительно превышает физические. Другое дело, что большая доля всевозможных технических инцидентов обрабатывается и решается современными техническими системами в рамках организованных операционных процессов. Уровень зрелости этих процессов зависит от конкретной компании или банка.
— На ваш взгляд, почему банки не раскрывают данные об атаках и нужно ли это делать?
К вопросам уведомления широкой публики об инцидентах ИБ необходимо подходить очень аккуратно. Я скорее, против такой практики, и не потому, что сомневаюсь в уровне ИБ в Банках и компетенции соответствующих специалистов. Подобные сообщения могут вызывать неправильную реакцию со стороны клиентов и партнеров, ввиду возможного отсутствия достаточной компетенции в технических вопросах. Безобидный инцидент, может обернуться в потерю доверия к компании, просто из-за неверного толкования произошедшего события.
Банки ежедневно сталкиваются с какими-то техническими проблемами и сбоями — 100% надежной системы не существует. Поэтому, информирование о таких случаях, при недостаточном понимании глубины этих процессов со стороны клиентов, может сыграть злую шутку с банками. По этой причине я не сторонник, таких «благих инициатив» не хотел бы чтобы создавались условия для возможной дискредитации, не только какой-то конкретной финансовой структуры, но и системы в целом.
С другой стороны, создание отдельной профессиональной площадки, на уровне банковского сообщества, на которой бы поднимались вопросы ИБ, вырабатывались общие меры по противодействию, вырабатывались стандарты и т.п. безусловно, было бы полезным. Я больше за формат, когда узко специализированные вопросы, обсуждались на профессиональных площадках.
— Расскажите, какие направления в IT-сегменте будут развивать банки в текущем году? К чему готовиться клиентам?
Технологическая часть очень сильно развивается, это очевидно. Происходит совершенствование банковских мобильных приложений, систем персонального банкинга. Все это будет естественно развиваться, будут дополнительно вводится какие-то новые элементы для облегчения процессов взаимодействия между банком и клиентом.
Интересное направление — это мобильные решения для малого и среднего бизнеса, которые будут нацелены на то, чтобы клиенты без посещения банка выполняли как можно больше финансовых операций.
— К слову, на прошлой неделе Национальный банк РК сообщил о запуске системы по удаленной идентификации личности для финансового сектора в тестовом режиме. Расскажите подробнее об этой инициативе?
Цифровая аутентификация позволит любому гражданину РК получить доступ к услугам без физического посещения банка. Сейчас мы этого сделать не можем поскольку по правилам нужны определенные документы с физической подписью.
Безусловно, мы очень заинтересованы в том, чтобы решения по удаленной идентификации появились как можно скорее. Также мы ожидаем, создание новой технологической платформы поспособствует изменениям в законодательстве, пересмотру требований регулятора. На наш взгляд, эта важная работа, которая создаст условия для следующего этапа развития финуслуг в Казахстане.