Информационная служба Хабра посетила «Кибербезопасность в финансах. Уральский форум 2024», проходившего в Екатеринбурге с 11 февраля по 16 февраля 2024 года. В 2023 году я был на форуме «Магнитка», он раньше был мероприятием по кибербезу в финансах, но с 2023 года стал посвящён промышленной безопасности. В 2024 году я всё‑таки попал на форум по информационной безопасности в финансах. К сожалению, мне не удалось посетить мастер‑классы — самую интересную часть форума. Она проходила в закрытом формате без СМИ и интернет‑изданий. Но мне удалось попасть на две дискуссии, обойти стенды (их было всего шесть) и взять интервью об NGFW. Последний будет отдельным материалом. Приятного чтения!
Основная часть форума, которая проходила с 14 февраля по 16 февраля (с 11 февраля по 14 февраля была молодёжная часть), началась с панельной дискуссии «Противодействие кибермошенничеству: ключевые вызовы и решения».
Официально открыла форум и дискуссию председатель Банка России Эльвира Набиуллина. Она рассказала, что форум посвящён вопросам информационной безопасности, переходу на российский софт, защите людей от кибермошенников и развитию технологий.
Далее участники дискуссии начали обсуждать основные задачи в сфере кибербезопасности для финансового сектора, например, борьбу с кредитным мошенничеством, повышение качества антифрод‑процедур в банках, качество репортинга об операциях без согласия клиентов, борьбу с дропами и создание негативного образа дропера.
В рамках дискуссии, заместитель председателя правления «Сбербанка» Станислав Кузнецов подчеркнул важность поиска новых направлений и решений для развития технологий и защиты людей от кибермошенников.
Далее участники дискуссии рассказали, что есть для борьбы с кибермошенничеством: надёжная защита инфраструктуры кредитных организаций, обеспечение хранения денежных средств клиентов, улучшение нормативной базы и стандартов, создание единой системы телефонного антифрода, защита от подмены номеров. При этом, несмотря на озвученные меры, проблемы остаются: растёт ущерб от телефонного мошенничества, появляются новые каналы и инструменты мошенничества, Кроме того, отсутствует единая платформа обмена рисковыми событиями и статистики, есть проблема с сим‑картами и симбоксами, и нужно повышение финансовой грамотности населения.
Для решения этих проблем дискутирующие предложили различные меры, включая улучшение инструментов определения фрода, построение инструментов обмена данных между юридическими лицами, усиление киберразведки и более умную интеграцию процесса управления уязвимостями и производственного процесса кода.
Потом участники встречи обсудили различные способы улучшения взаимодействия между банками и центром ФинЦЕРТ и внедрение стандарта открытого API для эффективного обмена данными онлайн. Также представители банков и государственных ведомств обсудили потребность в улучшении качества отчётов ФинЦЕРТ и предложили создать единую платформу для борьбы с мошенничеством в финансовой сфере.
В отдельную тему было внесено обсуждения проблем микрофинансовых организаций, выдающих займы преступникам. В связи с этим было предложено внести изменения в законодательство. Также поднималась проблема кредитного мошенничества и меры по борьбе с этим мошенничеством. По словам участников дискуссии, количество жалоб на махинации с кредитами растёт.
На сессии были выдвинуты идеи введения периода охлаждения для кредитов и блокировку карт для борьбы с мошенничеством. Отмечается, что период охлаждения работает хорошо и помогает предотвратить потери клиентов.
Кроме того, на дискуссии была поднята проблема дропперов и борьбы с ней. Например, предлагалось использовать опыт Республики Беларусь, где ввели уголовную ответственность за передачу банковских карт. Некоторые дискутирующие предложили в РФ ввести уголовную ответственность для дроперов с конфискацией имущества.
Следующей темой, обсуждаемой на панельной дискуссии, было нашумевшее предложение повысить ответственность руководителей финансовых организаций за утечки информации за утечки данных. Также в ходе обсуждения возникала мысль об использовании искусственного интеллекта для определения утечек данных и борьбы с мошенничеством.
Ну и в конце дискуссии была поднята тема дефицита кадров в области информационной безопасности. Это обсуждают почти на каждой IT‑ и ИБ‑конференции. Было выдвинуто предложение совместно с Министерством образования готовить кадры с нужными компетенциями.
После панельной дискуссии я хотел бы рассказать о круглом столе «Страхование киберрисков».
На круглом столе обсуждался вопрос страхования рисков и ответственности в рамках кибербезопасности. Несмотря на то, что в настоящее время страхование не получило широкого распространения, оно может служить финансовым инструментом для защиты участников от убытков и стимулировать их к принятию мер безопасности.
Один из обсуждаемых вопросов на столе был связан с повышением ответственности компаний перед потребителями за утечку их персональных данных. Участники обсуждения говорили о необходимости разработки механизма и методики, позволяющих реализовать эту инициативу.
Также обсуждалась готовность страхового сообщества принять участие в реализации такой инициативы, включая разработку правил и участие в составлении предложений для законодательства. Однако прозвучала мысль, что необходимо разработать и запустить закон с определёнными лимитами и стадиями.
В ходе обсуждения участники рассматривали вопрос о необходимости развития страхования ответственности за утечку персональной информации и его влиянии на рынок. Сделан вывод, что страхование полезно для защиты от возможных репутационных потерь и косвенных убытков, однако не сможет защитить от непосредственных потерь.
На встрече также обсуждается, какие виды страхования ответственности могут быть приемлемы для потребителей и понятны им. Отмечено, что хотя страхование ответственности может помочь в защите от репутационных потерь, оно не может защитить от прямых финансовых убытков.
В рамках круглого стола предлагалось ввести страхование ответственности за утечку персональных данных с целью стимулирования направления. Кроме того, участники круглого стола заметили, что на страховом рынке доминируют крупные компании, обладающие продвинутыми системами кибербезопасности. Для получения опыта и статистической информации необходимо развивать страхование средних и малых предприятий, которые в большей степени подвержены риску утечки данных.
Среди примеров страхования ответственности за утечку информации упоминается страхование ответственности за потерю персональных данных и страхование в рамках ВСС (Всероссийский союз страховщиков). Обсуждается вопрос о создании типового или базового продукта страхования ответственности за потерю данных.
По словам экспертов на круглом столе, важная роль отводится страховщикам, выступающим в качестве экспертов для компаний и помогающим в решении инцидентов и минимизации последствий.
Кроме страхования рисков связанных с потерей персональных данных, на круглом столе обсуждалось страхование различных проблем, полученных от киберинцедентов, например приостановка работы, сбой оборудования или утеря данных. Также рассматривался вопрос страхования ответственности перед конечными пользователями (рядовые клиенты компаний, пациенты медицинских учреждений или потребители услуг).
Последний круглый стол я обозрел, потому что мне показалось хорошей идеей, когда пострадавшие от утечек люди могут хотя бы по страховке получить компенсацию. Или пострадавшие компании получат возможность минимизировать риски от взломов и уменьшить ущерб. Не знаю, к чему приведут такие инициативы, но идеи интересные.
Однако офлайн я находился на другом мероприятии. Это было обсуждение взаимодействия между IT и ИБ специалистами. Дискуссия так и называлась «Информационные технологии vs Информационная безопасность».
В рамках обсуждения участники обсуждали проблемы взаимодействия между различными IT‑службами и кибербезопасниками. Не раз говорилось, что при составлении того или иного проекта программисты, системные администраторы и другие люди, так или иначе связанные с информационными технологиями, пренебрегают кибербезопасностью или просто забывают о ней.
Дискутирующие делились опытом, как этого избежать. Например, представитель «Газпромбанка» рассказал про то, что у них большой опросник, выдаваемый до реализации проекта. И если после его заполнения проект оказывается рентабелен и востребован, приступают к его реализации.
Также в ходе дискуссии не раз поднималась идея, что простые решения не кибербезопасные. Иной раз системный администратор или разработчик предлагает или создаёт удобное решение, но у этого решения есть ряд уязвимостей, влияющих на инфраструктуру и компанию.
Обсуждались разные мысли на тему взаимодействия, например, синергии IT‑ и ИБ‑ специалистов или когда безопасник выступает консультантом при создании нужного решения. Были и более радикальные идеи, когда специалистам сначала надо обосновать ИБ‑службе, для чего нужно добавление нужной системы.
Однако все сошлись во мнении нужности безопасной разработки и большего взаимодействия между специалистами
После дискуссий и круглых столов я бы хотел рассказать немного о стендах; вообще всего их было шесть. Но по большому счёту говорить‑то не о чем, из прямо запоминающегося на стенде ГК «Солар» был представлен проектный програмно‑аппаратный NGFW под нагрузкой, но о нём я поговорил отдельно. И это не реклама, просто форум немного о другом, и на это самое другое СМИ и интернет‑журналистов не пустили.
Уральский форум запомнился ураганным темпом для меня, потому что получилось много общения с экспертами, была различная статистика по взломам и фишингу. И хоть по итогу у меня оказалось не так много материала — обзор, несколько новостей и интервью — посмотреть, как дела обстоят в финансовой сфере, было интересно. Особенно мне запомнилось обсуждение импортозамещения оборудования, когда один из спикеров сказал, что какая‑то структура (банк или ведомство, не помню) закупали годами зарубежное оборудование, а теперь озаботились импортозамещением. Я бы это обсуждение тоже обозрел, но, к сожалению, меня позвали на интервью, а найти запись выступления в сети мне не удалось. Поэтому я включил эту часть только в заключение. Надеюсь, форум немного я раскрыл.