IT-технологии и информационная безопасность – две стороны одной медали

II Межбанковская конференция «Информационная безопасность банков» проходит в эти дни в Абзелиловском районе Башкортостана.

Круг участников – солидный: представители Центрального банка России, Федеральной службы безопасности, Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, Ассоциации российских банков, кредитных организаций, специалисты в области информационной безопасности и другие. Государственное управление финансовой системой республики представляют первый вице-премьер, министр финансов Айрат Гаскаров и председатель Национального банка РБ Рустэм Марданов.

Этот форум проходит в Башкортостане во второй раз. Он отличается от всех других подобных конференций.

- К сожалению, множество конференций, проводимых у нас в стране, - общего характера, они не имеют отраслевой направленности. Банковскому сообществу не хватало площадки для общения непосредственно специалистов. Теперь она есть. Здесь встречаются специалисты-практики, работающие в области информационной безопасности, - говорит заместитель начальника Главного управления безопасности и защиты информации Центрального банка России Андрей Курило.

Этот спектр вопросов становится тем более актуальным, чем дальше продвигаются IT-технологии. Общество меняется – в соответствии с новыми требованиями развиваются и технологии. Защита информации в связи с этим – проблема крайне важная.

Вторник участники конференции полностью посвятили внедрению в кредитных организациях Стандартов Банка России по информационной безопасности. И, хотя Банк России не намерен вводить нормы в приказном порядке, стандартам соответствуют всё больше банков. Это как раз тот случай, когда количество в конечном итоге переходит в качество, считает начальник Главного управления безопасности и защиты информации Центрального банка России Александр Лахтиков.

- Стандарт призывает нас к цивилизованному общению, - отмечает Лахтиков. – Это как на дороге: кто-то пропустит даму вперед, кто-то нет. В информационной безопасности тоже нужно быть вежливыми. После того, как количество внедривших стандарты банков станет критическим, остальным будет просто некуда деваться. Но приказом Банк России вводить стандарт не будет.

В среду на конференции обсуждалась реализация в кредитных организациях требований Федерального закона «О персональных данных» (ФЗ №152). Этот закон должен был вступить в силу уже 1 января 2010 года, но банки оказались неспособны выполнить прописанные в нем требования – им была предоставлена отсрочка сроком на один год.

- Сейчас решаются вопросы о том, как банки будут выполнять требования закона, насколько они к ним готовы, какие формы организации банковского сообщества возможны для взаимодействия с регуляторами – Федеральной службой безопасности, Федеральной службой по техническому и экспортному контролю и Федеральной службой по финансовому мониторингу, - говорит заместитель председателя Банка России Михаил Сенаторов. – Одна из возможных форм – саморегулируемая организация, которая взяла бы на себя ответственность перед регуляторами за соблюдение банками норм закона.

Обеспечение безопасности систем дистанционного банковского обслуживания – главная тема четверга. Для современной России она весьма актуальна. Внедрение масштабных федеральных и региональных проектов - таких, как «Электронное правительство» или «Социальная карта Башкортостана», - предполагает работу с огромным объемом персональных данных. Как защитить конфиденциальные сведения? Как противодействовать мошенничеству при работе с банкоматами и банковскими картами? Вопросы упираются не столько в сами технологии, сколько в процесс их использования.

- Технологии существуют, методы решения задач – тоже, и они достаточно хорошо проработаны, - говорит Андрей Курило. – Но любую технологию необходимо правильно эксплуатировать. В противном случае могут возникнуть большие проблемы. Да, риски есть. Но если мы будем четко выполнять требования, существующие в банковском сообществе, например, Стандарты Банка России, разработанные на базе лучших международных практик и с учетом отечественного опыта, то риски будут минимальными.

В области защиты персональных данных российская информационная система продвинулась далеко вперед.

- За последние два года, в течение которых идет обсуждение закона «О персональных данных», информационная безопасность значительно повысилась, - считает первый заместитель начальника Центра ФСБ России Александр Баранов. – И это несмотря на то, что проверки перенесены на следующий год. Объем утечки информации явно снизился. Как следствие – сократился объем предложений новых баз данных на черном рынке.

В области интернет-банкинга сегодня тоже существуют риски, но это – следствие того, что IT-технологии развиваются быстрее систем информационной безопасности.

- Интернет-банкинг – одна из самых продвинутых технологий, позволяющих с минимальными затратами организовать обслуживание гигантского количества клиентов, - говорит Александр Баранов. – Но самая безопасная система – это та система, которая не работает. И, напротив, самая опасная – та, которая позволяет пользователю делать всё, что угодно. Поиск золотой середины и составляет искусство создания системы информационной безопасности.

В целом за прошлый год в России произошло 90-100 инцидентов, связанных с хищением денежных средств. При этом количество транзакций, совершенных по банковским картам, исчисляется многими миллионами. Следовательно, вероятность таких случаев незначительно мала. На случай хищения банки создают страховые фонды. В таких инцидентах банк, как правило, встает на сторону клиента, ведь он кровно заинтересован в расширении карточного обслуживания. Все расходы с лихвой окупаются – финансовый эффект от интернет-банкинга очень велик. Обслуживание клиента операционистом обходится кредитному учреждению в сто раз дороже, чем обслуживание через интернет.

У этой проблемы есть и обратная сторона. Предотвратить хищения невозможно, если держатели банковских карт сами не обезопасят себя от мошенников.

- Существуют самые простые правила обеспечения безопасности, которые самими же клиентами не соблюдаются, - отмечает Александр Баранов. – Я сам многократно видел карточки, на которых написан пароль. Это, к сожалению, распространенное безобразие.

Система банковского самообслуживания будет развиваться. Соответственно, будут совершенствоваться и методы обеспечения безопасности.

- Интернет-банкинг появился и никогда не исчезнет. Он будет развиваться, причем очень стремительно, - прогнозирует Михаил Сенаторов. – Через интернет можно будет использовать не только карточки, но и любые другие банковские приложения, поскольку все процессы достаточно стандартизованные. Дистанционно можно будет производить выдачу кредитов, оформление ссуд. За счет сокращения внутренних издержек банки добиваются лучших финансовых результатов.

В пятницу – последний день конференции – участники проведут сравнительный анализ российских и международных стандартов по информационной безопасности. Будет сделан обзор мирового опыта, обсуждены пути интеграции российского и международного опыта.