Вопросы обеспечения информационной безопасности для современного банка являются жизненно важными. В эти дни в Республике Башкортостан, в Абзелиловском районе, проходит II межбанковская конференция «Информационная безопасность банков». Конференция проходит при официальной поддержке Банка России, в том числе при участии Национального банка Республики Башкортостан. В частности в работе конференции принимает участие председатель Национального банка РБ Рустэм Марданов.
На этом мероприятии собрались руководители банков и кредитных организаций, специалисты в области информационной безопасности, риск-менеджеры, специалисты службы внутреннего контроля, внутренних и внешних аудиторов информационных технологий и информационной безопасности, руководители процессинговых центров.
Они обсуждают, в частности, такие темы, как внедрение в кредитных организациях Стандартов Банка России по информационной безопасности, а также реализацию в кредитных организациях требований ФЗ РФ «О персональных данных».
Со стороны регулирующих органов к банку предъявляется множество требований, и предлагается комплекс рекомендаций по обеспечению информационной безопасности.
Известно, что, во-первых, банк, с точки зрения информационной безопасности, – компания «повышенного» риска. Банк – сосредоточение «живых» денег. Банк хранит персональные данные граждан и конфиденциальную информацию своих клиентов – юридических лиц.
«Вопросы защиты информации банковской деятельности важны, поскольку банки оперируют денежными средствами. Одна из задач, которая в прошлом году была актуальна для банковского сообщества, – это защита персональных данных в соответствии с законом 152, который должен был вступить в силу с 1 января 2010 года. В прошлом году банковское сообщество самоорганизовалось, поскольку было не в состоянии выполнить те требования регуляторов, которые были прописаны в рамках исполнения этого закона. Мы получили возможность отсрочки исполнения закона на один год, и поэтому сейчас решается вопрос, как банковское сообщество будет выполнять и насколько готово к исполнению закона, какие формы возможны для организации банковского сообщества, для того чтобы можно было взаимодействовать с регуляторами. А регуляторами являются ФСБ, Федеральная служба по техническому экспертному контролю и Роскоммониторинг», – отметил на пресс-конференции заместитель председателя Банка России Михаил Сенаторов.
В частности на банковском мероприятии активно обсуждается создание саморегулируемой организации, которая взяла бы ответственность перед регуляторами за соблюдение норм закона.
Автоматизированная банковская система как неотъемлемая составляющая корпоративной информационной системы банка поддерживает процессы проведения выплат, предоставления кредитов, перевода средств и др., и очевидно, что незаконное манипулирование такой информацией может привести к серьезным убыткам. При этом информационная система современного банка является основой функционирования почти всех основных бизнес-процессов.
«Проблема информационной безопасности стара, как мир. Эта проблема приобретает особую актуальность. Надо разрабатывать новые способы, методы и подходы к решению задач и добиваться результата. Результат заключается в том, что безопасность способствует бизнесу, помогает ему совершенствоваться, развиваться, делает его менее рискованным и менее дорогим. Есть еще
одна особенность банковской деятельности: банки работают в открытой форме, открытом законодательстве. Они взаимодействуют и с зарубежными банками, клиентами. Кто-то все время кого-то покупает, перепродает, поэтому возникает проблема обеспечения безопасности в этой ситуации. Наши банки должны серьезно в большей степени соответствовать требованиям по безопасности, которые сформулированы мировым банковским сообществом», – сказал заместитель начальника ГУБЗИ Банка России Андрей Курило.
Первый заместитель премьер-министра Правительства Республики Башкортостан, министр финансов РБ Айрат Гаскаров на конференции выступает с докладом по обеспечению информационной безопасности при реализации проекта «Социальная карта Башкортостана». Известно, что такие масштабные проекты, как «Электронное правительство» или «Социальная карта Башкортостана», предполагают большую работу с персональными данными. Позволяет ли современная система обеспечить безопасность данных? «И да, и нет», – ответил Андрей Петрович. По его словам, технологии и методы решения этой задачи существуют. Они хорошо проработаны. «Вопрос заключается в следующем. Любую технологию, которою мы используем, необходимо правильно эксплуатировать: внедрить правильно, создать, запустить в эксплуатацию. От эксплуатации технологии зависит очень многое. Если мы будем выполнять требования стандарта Банка России, риски будут невысокие. Но это означает, что каждый день, каждую минуту работа службы безопасности не должна прерываться», – пояснил Андрей Курило.
Первый заместитель начальника Центра ФСБ России Александр Баранов добавляет, что последние два года идет активное обсуждение закона о персональных
данных и его реализации. И одно это уже повысило информационную безопасность. Даже несмотря на то, что система проверок перенесена на следующий год, объем утечки информации снизился, что прослеживается на черном рынке, объем предложений баз с персональными данными снизился.
Банкиры насчитали около 100 случаев за год инцидентов, связанных с хищением денежных средств и так далее. «Представьте себе: 100 случаев. А сколько было миллионов транзакций совершено по банковским картам за это вр
емя? Очень большое количество. Если посчитать вероятность таких случаев – она очень небольшая», – сказал заместитель начальника ГУБЗИ Банка России.
Современный банк предоставляет большое число сервисов, связанных с удаленным доступом к информационной системе банка. Это и персональный интернет-банкинг, и система интернет-доступа к финансовым рынкам, и система электронного документооборота, и многое другое. С этих позиций банк – «точка пересечения» публичных сетей (Интернет) и коммерческих финансовых сетей (Western Union, VisaNet и др.).
«Действительно, интернет-банкинг – одна из самых продвинутых технологий, позволяющая с минимальными затратами организовывать обслуживание гигантского количества лиц, это признано во всем мире. Одновременно это и самая уязвимая часть системы. Как нигде видно противоречие: самая безопасная система – та, которая не работает, самая опасная система – та, которая позволяет пользователю делать все, что хочешь. Поиск золотой середины между этими противоречиями составляет искусство создания и реализации системы информационной безопасности. Да, надо сказать, что сегодня интернет-банкинг небезопасен», – признает Александр Павлович.
По словам эксперта, имеется вероятность утраты средств, и банки это прекрасно осознают. Для этого создаются соответствующие страховые фонды, но прибыль банка от этого настолько велика, что перекрывает эти фонды. В то же время и клиенты банков не всегда соблюдают элементарные правила безопасности. «Проблем много, нужно совершенствовать карточки, механизмы. Есть идеи, которые позволяют сделать электронный банкинг достаточно безопасным. Но вместе с тем нужна еще большая работа с гражданами, пользователями карточек, потому что зачастую даже самые простые правила обеспечения информационной безопасности лично самим клиентом не соблюдаются. Сам многократно видел карточки, на которых написан пароль. Это обычное, к сожалению, безобразие. Точн
о так же, когда пароли пишут на компьютере, на котором работают, и так далее. Это типичные вопиющие нарушения и в самом массовом порядке встречающиеся. Это та безалаберность, которая в значительной степени способствует тому, что электронный банкинг нельзя признать полностью безопасным», – говорит Александр Баранов.
В то же время, как сказал заместитель председателя Банка России Михаил Сенаторов, интернет-банкинг появился и никогда не исчезнет, более того, он будет развиваться очень стремительно. Не только карточки, но и другие банковские приложения начнут использовать Интернет, в частности это касается выдачи кредитов, предоставления ссуд и так далее. «Эти процессы достаточно стандартизованы, но обслуживание клиента дистанционно и с помощью электронных средств экономит банку очень большие средства. Если человек обслуживается операционистом лично, то стоимость такого обслуживания в 100 раз выше обслуживания через Интернет. Поэтому за счет сокращения издержек банки добиваются лучших финансовых результатов. Здесь тенденция перехода на Интернет, на сокращение личного общения сотрудников банка с клиентами, предоставление больших услуг через сеть», – констатирует Михаил Юрьевич.
Сотрудник ЦБ РФ отметил, что по данному направлению наработки есть, и вопросы обеспечения безопасности систем дистанционного банковского обслуживания будут обсуждаться на конференции отдельным блоком.
Мероприятие завершится 19 февраля.