Артем Калашников, независимый эксперт с более чем двадцатилетним опытом работы в финансовом секторе, рассказал порталу Cyber Media о роли финансовой отрасли для других направлений с точки зрения кибербезопасности, а также о специфике работы ФинЦЕРТа и механик государственного регулирования.
О спикере:
Окончил Московскую государственную академию приборостроения и информатики. С 2001-2020 занимал различные должности в ЦБ РФ по направлению информационной безопасности. С 2017 по 2020 руководил ФинЦЕРТ Банка России. Занимал должность директора по развитию финсектора в компании-вендоре в сфере средств и услуг обеспечения ИБ.
Награжден почетной грамотой Председателя Банка России, наградами академий и форумов в сфере ИБ, телеканала «Пробизнес». Участник профессиональных сообществ, ментор академии «АйТи».
Cyber Media: Если говорить о сравнении по отраслям, то как вопрос кибербезопасности обстоит в финансовом секторе?
Артем Калашников: Важно понимать, что кибербезопасность, как часть бизнес-процессов, начиналась именно в финансовой отрасли. Так исторически сложилось, поскольку финансовый сектор – это прямой доступ к деньгам. А деньги – главная цель киберпреступников.
Необходимость защитить финансовые активы от киберугроз привела к тому, что были сформированы законодательные требования к участникам отрасли. Это и Федеральные законы, и нормативы Центрального Банка, к созданию которых я был причастен. На основе этих законов Банк России получил набор инструментов, которые позволяют, если не обеспечивать кибербезопасность поднадзорных организаций в полной мере, то, по крайней мере, информировать их о том, что происходит в киберпространстве.
В данный момент Центробанк находится в переходном состоянии: от информирования к обеспечению ИБ. И я сожалею, что не успел реализовать этот переход во время своей работы в этой организации. Но так или иначе, финсектор, с точки зрения информационной безопасности, выглядит гораздо лучше. Можно сказать, что это локомотив кибербезопасности, который прокладывает дорогу для других отраслей.
Специфика, которая кардинально отличает финансовый сектор от всех остальных – это наличие отдельного федерального закона (ФЗ) о деятельности ЦБ, ряда ФЗ регламентирующих обеспечение кибербезопасности и противодействия кибермошенничеству в отрасли. ФЗ – это верхнеуровневый нормативный акт, определяющий обеспечение ИБ для конкретной отрасли. Все остальные, за исключением атомного сектора, живут сразу по всем существующим законам и регламентам от нескольких регуляторов. Проводя аналогию, это как тренироваться по индивидуально составленному тренером плану, когда остальные, независимо от роста, веса и возможностей, занимаются физкультурой то по программе Арнольда Шварценеггера, то под руководством гроссмейстера Сергея Карякина.
По своему ФЗ функционирует и атомная отрасль, но в ней очень много закрытых организаций, которые не взаимодействуют с «внешним киберпространством», поэтому их опыт для других отраслей не будет столь эффективным. Например, маркетплейс не сможет работать, если будет обеспечивать такой же уровень кибербезопасности, как атомная электростанция.
Такая ситуация сложилась из-за того, что финансовая отрасль гораздо более зрелая с точки зрения кибербезопасности. В ней была прямая зависимость: взлом равняется краже денег. В остальных отраслях эффект от взлома был менее очевидным, поэтому и практики ИБ внедрялись медленнее.
Поэтому финансовая отрасль – это локомотив внедрения ИБ-практик. На мой взгляд, если аккумулировать опыт финсектора и спроецировать его на остальные отрасли (ритейл, медицина, промышленность и т.д), с учетом специфики каждого из секторов и болей его участников, то уровень безопасности и понимания между регуляторами и поднадзорными кратно вырастет. Для каждого из секторов нужно строить отраслевые центры кибербезопасности.
Cyber Media: Если сравнивать ФинЦЕРТ с аналогичными институтами других государств, можно ли выделить какую-то специфику?
Артем Калашников: Главное отличие, на мой взгляд, заключается в разнице менталитетов, которая лежит в основе разности подходов к выстраиванию модели рисков и защиты.
Уже несколько лет в негласных кругах безопасность финансового сектора России признается лучшей. Негласно, – потому что в статистике и официальных отчетах никто на межгосударственном уровне этого не признает. Но это не значит, что у зарубежных представителей финсектора нечему поучиться.
Если говорить о том, что импонирует мне, как ИБ-специалисту, который уже больше двадцати лет в кибербезопасности, то можно выделить несколько стран. Например, хочется выделить Австралию. Специалисты этой страны создали очень проработанную нормативную базу, отраслевые стандарты, на основе которых строятся процессы ИБ. И об инцидентах у их поднадзорных практически ничего не слышно, что говорит о высоком уровне кибербезопасности.
Также, можно выделить политику кибербезопасности Германии. Их документы стали публичными, многие специалисты из других стран используют эти документы при разработке своих нормативов.
Если говорить об обеспечении защиты финансового сектора со стороны регулятора, то мне импонирует модель, которая используется в Португалии, Германии и Китае. Регулятор, фактически, предоставляет поднадзорным финансовые облака и берет на себя всю ответственность за обеспечение их безопасности. Получается модель Sec-as-a-service, только предоставляет этот сервис регулятор. Собственно, это предложение для нашего государства я продвигал вместе с Ассоциацией банков России. Главные достоинства такой модели – высокий уровень взаимопонимания между поднадзорными и регулятором, оперативность реакции на нужды отрасли с точки зрения ИБ, наличие четкого разграничения ответственности.
Этот путь развития кажется мне наиболее оптимальным. Даже при наличии иностранного опыта неизбежны сложности при интеграции подхода. Где-то придется адаптировать практики под наши реалии, в каких-то аспектах может помешать разница менталитетов. Но движение от вертикальной модели работы регулятора к сервисной определенно должно идти.
Затем, когда эта практика будет отработана в финансовом секторе, можно проецировать ее на другие отрасли.
Cyber Media: В данный момент сложилась ситуация, когда для компаний финансового сектора актуальны требования сразу нескольких регуляторов (например, ФСБ, ФСТЭК, ФинЦЕРТ), – какие сложности возникают в связи с этим, и есть ли необходимость оптимизировать эти требования?
Артем Калашников: В первую очередь, необходимо понимать что есть действительность, есть желаемое, и есть возможное. Действительность такова, что для любой отрасли актуальны требования сразу нескольких регуляторов, а нормативная база состоит из множества документов. Это обусловлено тем, что каждый регулятор наделен своими полномочиями и соответствующей зоной ответственности – объединить все это в один большой «мегарегулятор» невозможно, во всяком случае сейчас.
Хочется заострить внимание на том, что все эти нормативы, по своей сути и смыслу, складываются в иерархию, в соответствие с их инициатором. Государство пишет федеральные законы, которые регламентируют информационную безопасность на уровне государства и федеральных органов исполнительной власти (ФОИВ). ФОИВы пишут свои нормативы, которые направлены на защиту конкретных отраслей и сфер. И здесь возникает определенный разрыв, о котором я говорил ранее: если у финсектора есть свой отраслевой регулятор, то остальные регуляторы пишут нормативы для всех: и для банка, и для маркетплейса, и для частной клиники. Разумеется, такой норматив не может быть написан с учетом специфики каждой из отраслей, и содержать в себе исчерпывающие сведения на каждый частный случай.
Во время моей работы в ФинЦЕРТ, мы решали эту проблему следующим образом: в рамках норматива брали все требования, которые выдвигают остальные регуляторы, и добавляли к ним те, которые наиболее актуальны для нашей отрасли и наших поднадзорных. Такой подход позволял избегать разночтений между, например, нашим нормативом и требованиями ФСТЭК.
Важно понимать, что сейчас государство как никогда близко к бизнесу, регуляторы стараются слушать тех, кто исполняет их нормативы, учитывать их мнение при разработке приказов.
Во-первых, мы все будем жить в эпоху, когда для любой отрасли существует сразу несколько регуляторов. Потому что, согласно Федеральному закону, у каждого регулятора свои полномочия, – это раз. Неважно, финансовая это отрасль или другая. Если сравнивать с опытом прошлых лет, то положительная динамика определенно есть, и многие форумы, где присутствуют представители регуляторов и бизнеса, тому подтверждение.
Глобальная задача на этом направлении – движение в сторону точки схождения государства и бизнеса, где все участники процесса пребывают в консенсусе. Бизнес понимает, что требования регулятора базируются на реальной необходимости. Государство, как главный регулятор, осознает запросы конкретной отрасли, и готово находить наиболее оптимальной решение. Проще говоря, соблюдается баланс интересов. Разумеется, не везде этот баланс реально найти, но его нахождение должно быть повседневной практикой, а не достижением.
Cyber Media: В прошлом году требования регуляторов ужесточились. Можно говорить о том, что и в 2023 году эта тенденция продолжится, как с точки зрения регламента, так и с точки зрения наказаний за разного рода инциденты. Как вы оцениваете эту практику?
Артем Калашников: Ужесточений, безусловно, стоит ожидать, поскольку внешняя среда становится все агрессивнее, а риски кибербезопасности год от года только растут. В некоторых случаях они даже опережают скорость внедрения ИБ-практик в бизнес.
Поэтому регуляторы правы в том, чтобы усилить требования по обеспечению кибербезопасности. С помощью нормативов они транслируют мысль, что бизнесу стоит заниматься кибербезопасностью, потому что ущерб будет достаточно весомым – если не напрямую из-за хакерской атаки, то опосредованно, – в качестве штрафных санкций за ее допущение.
Но существуют риски, которые хорошо видны в кейсе обсуждения оборотных штрафов за утечку данных. Долгое время предлагалось штрафовать не за сам факт утечки, а за отсутствие инструментов защиты. Но тогда получается, что если утечка произошла у «защищенной» компании – ее штрафовать нельзя? На мой взгляд, такой подход был бы выстрелом в колено. Хорошо что от этой концепции отказались и теперь обсуждается объем утечки, за который нужно штрафовать. Минцифры предлагает 100 тыс. учетных записей, но, на мой взгляд, можно снизить и до 10 тысяч, поскольку существует огромное количество небольших площадок, которые собирают клиентские данные – их оборотные штрафы, исходя из актуальных обсуждений, не затронут.
Из этих утечек складываются базы данных, на основе которых, с помощью фишинга и социальной инженерии, происходит огромное количество киберпреступлений. От звонков из «колл-центра вашего банка» и «экономического отдела полиции» до более сложных атак.
Но если вернуться к вопросу, важно чтобы ужесточение законодательства и штрафы мотивировали бизнес заниматься реальной кибербезопасностью, и, в том числе, бороться с утечками данных. Штрафы ради штрафов не выгодны ни бизнесу, ни регулятору.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться