Finversia-TV
Риски информационной безопасности финансового рынка. Прогноз-2017 A− A= A+
Кирилл ЖАБИН,
Консультант департамента консалтинга и аудита ЗАО НИП «ИНФОРМЗАЩИТА»
Прогноз… Как много в этом слове…
Слово «прогноз» для любого специалиста в области информационной безопасности, ассоциируется только со словом «риск», который в свою очередь связан с выявлением уязвимостей или, проще говоря, слабых мест. Если рассматривать слово «прогноз» с точки зрения работника компании-интегратора, то анализировать хочется масштабно, причем в среднесрочной перспективе, то есть — посмотреть на рынок и понять, какая область будет наиболее уязвимой в ближайшее время.
Общий экономический фон, мировой финансовый кризис и санкции со стороны государств, имеющих значительное влияние на международные финансовые рынки, побудили финансистов искать новые направления развития, пробовать новые инструменты и механизмы, а население — присматриваться к более прибыльным способам накопления и инвестирования денежных средств. И если ситуация с информационной безопасностью банков достаточно ясна, то в отношении профессиональных участников рынка ценных бумаг (в основном, брокеров, дилеров и доверительных управляющих) всё не так уж и прозрачно, и есть все основания думать, что в ближайшее время именно эта отрасль станет тем самым «слабым звеном».
В целом можно выделить два основных вектора, по которым развивались компании в 2016 году.
Первый вектор — развитие внутренних бизнес-процессов. Это в первую очередь увеличение интереса к темам алгоритмической и высокочастотной торговли. Также очень популярны были большие данные и Blockchain. Этим темам была посвящена основная часть мероприятий ушедшего года. Достаточно взглянуть на программу самого крупного мероприятия по данному направлению InvestTech 2016, организованного Московской Биржей, которая давно позиционирует себя как IТ-компания и является «пионером» по многим IТ-решениям. В частности, речь идет о проекте системы удалённого голосования владельцев ценных бумаг на базе технологии Blockchain, исследовании возможности применения BigData (в этом им помогли специалисты из IDC).
Естественно, при использовании новых инструментов возникают и новые риски. Это риски несовершенства используемой технологии в конкретной системе, уязвимостей в реализующем данную технологию программном обеспечении и недостаточной осведомлённости персонала в вопросах информационной безопасности. А также риски мошенничества и АРТ-атак.
Как правило, данные риски минимизируются следующими организационно-техническими мерами: соблюдением требований по обеспечению информационной безопасности автоматизированных систем на всех стадиях жизненного цикла, созданием тестовых контуров, анализом разработанного программного обеспечения на наличие скрытых возможностей, внедрением и эксплуатацией систем антивирусной защиты, антифрода, разграничением доступа, разработкой и выполнением программ обеспечения непрерывности бизнеса и резервирования ресурсов, повышением квалификации обслуживающего персонала, проведением тестов на проникновение и аудита безопасности.
Второй вектор — поиск новых способов привлечения денежных средств от населения, расширение клиентской базы. Сюда относятся как развитие индивидуальных инвестиционных счетов, так и работа над сервисом удалённого открытия брокерского счета через портал госуслуг (фактически получения во ВЦИОМ ЭЦП, признанной профессиональными участниками рынка). Стоит отметить и бурный рост финтех-стартапов. Самые интересные собраны в таблице ниже:
| Название проекта/компании | Сайт | Описание |
| ООО «Источник» | https://istochnik.im/ | Мобильная платформа предоставления мгновенного доступа к торговым площадкам. Не брокер |
| ООО «АртКвант» | http://artquant.com/ | Разработка на основе новейших технологий инструментов для инвесторов и аналитиков. |
| ООО ИК «Септем Капитал» | http://yngo.ru/ | Сервис для покупки и продажи надёжных облигаций через смартфон |
| ООО «М3» | http://right.conomy.ru/ | Личный робот — инвестиционный управляющий |
| TRDATA Limited | https://trdata.com/lang.ru | Платформа для мониторинга рынков в режиме реального времени |
Для второго вектора характерны риски атак на каналы передачи данных и применения методов социальной инженерии с целью получения идентификационных данных. Такие риски в основном минимизируются шифрованием каналов передачи данных, двусторонней и многофакторной аутентификацией, применением средств защиты от спама и вредоносного кода, установкой WAF и т.п., применением рекомендаций, стандартов и инструментов сообщества OWASP, повышением уровня грамотности клиентов в области информационной безопасности.
Ещё одним фактором, оказывающим влияние на тенденции развития финансовой сферы, безусловно является деятельность мегарегулятора. В этом году Банк России предпринял много усилий, чтобы сделать фондовый рынок более прозрачным, контролируемым и понятным простым обывателям. В частности, были утверждены «Методические рекомендации по обеспечению непрерывности деятельности некредитных финансовых организаций» №28-МР от 18 августа 2016 года, вступило в силу Положение Банка России «О единых требованиях к правилам осуществления деятельности по управлению ценными бумагами, к порядку раскрытия управляющим информации, а также требованиях, направленных на исключение конфликта интересов управляющего» №482-П. от 3 августа 2015 года. Если же взглянуть на результаты деятельности ТК122, то можно увидеть следующее:
- с 2015 года в режиме обсуждения находятся проекты первой редакции стандарта Банка России СТО БР ИБНФО М-1.0 «Обеспечение информационной безопасности некредитных финансовых организаций, соответствующих критериям отнесения к малым предприятиям и микропредприятиям. Общие положения» и первая редакция стандарта Банка России СТО БР ИБНФО Б-1.0 «Обеспечение информационной безопасности некредитных финансовых организаций. Общие положения»;
- почти все новые документы разрабатываются уже не только для банковской системы России, а для всех финансовых организаций; например, на данный момент обсуждается предварительная версия первой редакции проекта национального стандарта «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер защиты информации», который скорее всего станет обязательным для всех финансовых организаций.
Регуляторные риски минимизируются простым выполнением требований российского законодательства (например, ФЗ-152) и нормативно-правовых актов Банка России. В целом необходимо построение полноценно работающей системы обеспечения информационной безопасности организации, то есть системы документированных взаимоувязанных процессов защиты информации и их контроля. Помочь в этом может использование международных стандартов ISO/IEC серии 27000, документов институтов SANS и NIST, а также систем класса GRC.
В конце упомянем ещё одну группу лиц, для которых финансовый кризис стал стимулирующим фактором — это киберпреступники. 2016 год всем запомнится, в первую очередь, взломом международной межбанковской системы передачи информации и совершения платежей S.W.I.F.T. Но были и другие инциденты с участием российских банков. Ходили слухи об атаках на всё ту же Московскую Биржу. Более полную информацию о различных инцидентах можно поискать в СМИ. Нельзя не вспомнить об инциденте 2015 года с АКБ «Энергобанк», в результате которого банк потерял порядка 234 миллионов рублей.
Итак, мы видим, что профессиональные участники рынка ценных бумаг рискуют стать «слабым звеном», потерять свою доходность и привлекательность. Избежать этого поможет грамотно выстроенная и функционирующая система обеспечения информационной безопасности, которая при профессиональной реализации создаст дополнительные конкурентные преимущества для бизнеса, инвертируя риски в шансы.
