РБК: ЦБ введет стандарты кибербезопасности для торговли на бирже. Сергей демидов московская биржа


ИБ в банках: с оглядкой на регуляторов

 

Модератором конференции выступил Эльман Мехтиев, исполнительный вице-президент Ассоциации российских банков (АРБ). Ему удалось быстро погрузить собравшихся в атмосферу дискуссии, напомнив, что мир ИБ, с одной стороны, всегда славился тем, что, будучи вершиной Hi-Tech, притягивал к себе, как магнит, таких гениев, как Евгений Касперский или Джон Ма́кафи. А с другой стороны, в век тотального проникновения интернета, сотовой связи во все слои населения, возможность легкого незаконного обогащения стала лакомым куском для мошенников всех мастей.

К сожалению, банки, выводя свои бизнес-процессы в Интернет вплоть до полного отказа от собственной физической инфраструктуры, обгоняя при этом регуляторов, сталкиваются с инфраструктурными проблемами. Что греха таить, в час «X» (вирусы «Петя», «Ваня» и т.д.) кредитные учреждения вынуждены обращаться за экстренной помощью к коллегам по цеху: нет в каждом банке Касперского! Почему? Сила «темной стороны» заключается, в том, что все «легальные» (описанные политикой безопасности компании) бизнес-процессы можно, например, подделать. Легко и просто! Как? И какова должна быть в этой ситуации роль регуляторов? Об этом и было предложено подискутировать экспертам.

SIEM и DLP: не вместо, а вместе

В первой секции конференции под названием «Регулирование и новые/старые проблемы и вызовы» выступили Андрей Бухтияров, главный архитектор и разработчик ЧатБанк от Совкомбанка, Евгений Ким, старший менеджер отдела по управлению информационными технологиями и IT-рисками компании Ernst & Young (EY), Алексей Голенищев, директор дирекции мониторинга электронного бизнеса Альфа-Банка, Сергей Демидов, директор департамента операционных рисков, ИБ и непрерывности бизнеса «Московской Биржи», Евгений Матюшёнок, заместитель коммерческого директора SearchInform, а также Александр Мец, руководитель направления бизнес решений корпорации Samsung.

В первом докладе конференции «Управление информационной безопасностью. Практические аспекты на примере Совкомбанка» Андрей Бухтияров высказал свое мнение, что цель хакеров – деньги, а не PR. Отсюда распространенная иллюзия банкиров: «Разумный баланс удобства и безопасности». Такого баланса не существует. Банк либо защищен, либо уязвим. Для хакера такой баланс означает «незащищенный банк». В русле этой концепции спикер рассказал об истории создания «Интернет-Банка с самым большим в России количеством элементов безопасности», а также технических компонентах решения, которые позволяют ему утверждать это столь амбициозно.

Евгений Ким напомнил о «Новых требованиях EEA (European Economic Area) в области обработки и защиты персональных данных (General Data Protection Regulation – GDPR)». Развитие информационных технологий и переход бизнеса в цифровое пространство потребовали пересмотра регуляторных требований Европейского Союза к обработке и защите персональных данных. Как результат в 2016 году был выпущен General Data Protection Regulation (GDPR), который заменит требования Директивы 95/46/ЕС. Новое законодательство вступит в силу с 25 мая 2018 года.

GDPR увеличивает максимальный штраф за несоответствие до 20 миллионов евро или 4% глобального годового оборота компании за предыдущий период (выбор в пользу большей суммы). Требования GDPR будут применимы к операторам и процессорам ПДн, находящимся внутри ЕЕА (European Economic Area: страны ЕС плюс Норвегия, Исландия и Лихтенштейн), вне зависимости от места непосредственной обработки ПДн. Для операторов ПДн, находящихся вне EEA, требования будут применимы в случае, если оператор предлагает товары или услуги для граждан ЕС или если обработка ПДн выполняется с целью мониторинга действий владельцев персональных данных, находящихся внутри ЕС.

В своем содержательном докладе «Угрозы повседневной «цифровой жизни» и как с ними бороться» Алексей Голенищев заострил внимание на том, что не только вредоносное ПО может стать причиной проблем у клиентов банков. Метод основан на использовании слабостей людей и является крайне эффективным. Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. Злоумышленник может позвонить клиенту банка под видом сотрудника технической службы и узнать логин вместе паролем, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит. Самое сильное оружие в этом случае — приятный голос и актерские способности злоумышленника. В подтверждение этих слов спикер привел массу примеров из практики Альфа-Банка.

Сергей Демидов с презентацией «Московская Биржа» — «Требования к информационной безопасности для финтехов» вызвал целую дискуссию в зале. Для начала он напомнил цитату Эльвиры Набиуллиной, председателя Банка России: «Пока финтехнологии не так масштабны — мы должны дать им возможность развиваться. Нам пока сложно понять, какие риски эти технологии несут, и понять это мы можем лишь вместе с рынком, поэтому ЦБ будет изучать опыт передовых регуляторов мира, например Сингапура». Однако в ряде своих тезисов эксперт усомнился в целесообразности существующих подходов к регулированию некоторых видов деятельности финтехов, а банкиров призвал не бояться работать со стартапами, благо у нас в стране есть примеры положительного опыта выстраивания отношений с ними.

Евгений Матюшёнок, заместитель коммерческого директора компании SearchInform, партнера конференции, в презентации «Симбиоз DLP и SIEM. Комплексный подход к обеспечению информационной безопасности», представил позицию компании: «SIEM и DLP: не вместо, а вместе». Совместное использование DLP и SIEM позволяет вывести расследования инцидентов на новый уровень за счет уникальных технологий контентного анализа, предоставления неопровержимых доказательств нарушений, наличия архива перехваченной информации, а также функционирование практически в режиме реального времени. DLP

-система «КИБ СёрчИнформ» состоит из модулей, каждый из которых контролирует свой канал передачи информации. Система показывает, какой путь проходят данные, и делает прозрачными все коммуникации. «СёрчИнформ SIEM» собирает и автоматически анализирует события различных корпоративных систем с целью выявления угроз и нарушений политик информационной безопасности. По одному событию не всегда можно судить об инциденте. Например, неудачная авторизация может быть просто случайностью, но три и более попыток могут говорить о подборе. Чтобы распознавать действительно критичные инциденты, «СёрчИнформ SIEM» работает по правилам, которые содержат целый перечень условий и учитывают самые разные сценарии действий.

Создавая ПО, в компании тщательно учитывался опыт финансовой отрасли и создавалась система, которая максимально преднастроена и работает фактически «из коробки». При этом свободно настраивать систему и работать с ней может любой ИБ-специалист, без специальных знаний по программированию или написанию корреляционных правил.

Александр Мец в завершающей сессию докладов презентации «Применение биометрических технологий в информационной безопасности платежных сервисов Samsung» подробно рассказал о технологии Fast IDentity Online (FIDO), инновационном методе для аутентификации пользователя на основе уникальных неизменяемых биологических признаков. FIDO обеспечивает безопасность для всех мобильных банковских услуг, включая управление учетными записями, запросы, переводы, кредиты и депозиты. А SDS FIDO позволяет заменить или совершенствовать традиционные способы аутентификации, такие как ID и пароли, с помощью биометрической идентификации. Но FIDO — это не только технология, это и международный альянс, который объединяет более 150 компаний и занимается разработкой стандартов строгой аутентификации для доступа к онлайн-ресурсам и т.д.

Только не спит «контроль»

Финалом сессии стала панельная дискуссия: «Расходы на банковскую безопасность и доходность банковского бизнеса. Где искать золотую середину?» Эльман Мехтиев, задавая ее тон, напомнил об избитой фразе: «Либо безопасность есть, либо ее нет», после чего привел и другое распространенное мнение: «Если безопасность мешает бизнесу, то нужна ли она вообще?». В рамках этих полярных мнений Алексей Голенищев, Сергей Демидов, а также Сергей Золотухин, менеджер по развитию компании Group-IB, Александр Виноградов, руководитель службы ИБ Руссобанка, и Алексей Поспелов, начальник управления методологии и стандартизации ИБ Банка России, искали «золотую середину».

То, что найти ее крайне трудно, а в ряде случае, попросту невозможно, стало понятно довольно быстро. И, как это не парадоксально, оба приведенных модератором тезиса, имеют право на жизнь. По мнению Алексея Голенищева выход нужно искать не в крайностях, а в их балансе: IT-систем со 100%-ной безопасностью нет в природе, но зарабатывать деньги при этом как-то нужно. Бизнесу и его клиентам требуется работать с решениями просто и понятно, а как сильно будут закручены гайки зависит от позиции риск-менеджмента, конкретного набора предлагаемых банком услуг и, естественно, требований регуляторов. В итоге конкретный ИБ-бюджет при этом будет определяться ответом на вопрос: «Сколько мы потратим на безопасность и сколько потеряем в случае того или иного инцидента?».

Но у подобного подхода есть и обратная сторона. На начальном этапе работы злоумышленники, мошенники, инсайдеры и т.д. только присматриваются, не сильно «щипают» банкиров в поиске их уязвимостей и оценке потенциальной добычи, усыпляя и службу ИБ, и топ-менеджмент. А потом в один прекрасный день, внедрять реальную ИБ уже поздно: нет ни денег, нет ни клиентов, не ни лицензии. Поэтому в зрелом банке, по мнению, Алексея Голенищева, защищая ИБ-бюджет, следует делать упор на то, сколько банк потеряет, если откажется от внедрения того или иного решения. Департаменты «контроля и аудита», естественно, при этом не спят!

По мнению Александра Виноградова, у кредитных организаций меньшего масштаба, нежели Альфа-Банк, существуют свои специфические проблемы и особенности. Во главу угла при выделении бюджетов на ИБ часто в первую очередь ставится то, а прописаны ли соответствующие требования безопасности в тех или иных руководящих документах? Хотя конструктивный диалог с топ-менеджментом можно и нужно выстраивать. Сергей Демидов продолжил эту тему и предположил, что любые инвестиции по рассматриваемому направлению необходимо соотносить с теми рисками, которые актуальны для конкретного банка. Поэтому проблема наличия и качества доказательной базы при защите бюджетов ни в коем случае не должна уходить на второй план. Необходимо, прежде всего, инвестировать в свое время, что бы потом простым языком обосновать свои запросы на основе стратегии, которая в свою очередь основана на тех трендах, на основании действия которых движется весь остальной мир. Но, в любом случае, KPI «безопасников» должны совпадать с целями компании в целом.

Сергей Золотухин отметил, что видит проблематику дискуссии в целом сходным образом с коллегами по панельной дискуссии. Однако, будучи представителем высокотехнологичной компании, провайдера целого ряда ИБ-сервисов, Group-IB вынуждена «смотреть глубже» и старается больше говорить об «угрозоориентированном» подходе. Понимая, какие угрозы актуальны сегодня, можно сделать довольно точный прогноз о том, какие системы информационной безопасности будут актуальны завтра. А имея возможность заглянуть чуть-чуть вперед, появляется вариативность осознанного выбора наиболее подходящих средств защиты.

Отвечая на вопрос модератора о балансе «стимулирующего и ненаказывающего регулирования», по словам Алексея Поспелова, ЦБ не ставит своей целью никого наказать, но призывает всех участников рынка адекватно оценивать криминогенную обстановку в стране. Призывает ЦБ и не просто оценивать ущерб в той или иной сумме, но и учитывать то, сколько из нее криминал пускает на собственное техническое перевооружение и т.д., отрываясь в технологической гонке от некоторых участников финансового рынка. А еще существует финансирование терроризма и т.д. Поэтому Банк России, видя реальную ситуацию, и выставляет именно те требования, которые есть сейчас, при этом ни коим образом не вмешивается в бюджетную политику своих подопечных.

Цифровые сущности на подходе

Вторая секция «Информационная безопасность — практические аспекты» была наполнена докладами Григория Сальникова, компания РТЛабс, Алексея Плешкова, независимого эксперта, Владимира Сабылина, руководителя проектов по работе с корпоративным сегментом Ростелекома, Артема Синицына, руководителя программ информационной безопасности в Центральной и Восточной Европе корпорации Microsoft и Сергея Золотухина. После кофе-брейка собравшимся были представлены презентации Сергея Антоняна, руководителя направления исследований финансовых технологий НАФИ, Олега Бакшинского, руководителя направления Security Intelligence, IBM Россия и СНГ, Ивана Пискунова, руководитель отдела информационной безопасности в группе компаний «Русские Башни»

Григорий Сальников в докладе «Национальная биометрическая платформа и удаленная индентификация» продолжил тему, начатую представителем компании Samsung, и рассказал о текущем состоянии дел в создании государственной биометрической платформы, развитии существующей платформы ЕСИА и пилотном проекте по биометрической идентификации для банков. Спикер напомнил: «Использование ЕСИА и Биометрии позволит гражданину получить кредит, открыть вклад, осуществить перевод в любом банке без его посещения». Да, не всё гладко в этом проекте. В сессии вопросов к докладу об этом было подробно рассказано.

Владимир Сабылин в докладе «DDoS: старое, но проверенное оружие – риски недооценки» остановился на услуге аутсорсинга защиты от DDoS-атак, предоставляемого Ростелекомом, базирующегося на крупнейшей в Европе инсталляции операторского комплекса защиты ARBOR PEAKFLOW. Сергей Антонян в презентации «Готовы ли Ваши клиенты противостоять информационным угрозам?» предпринял попытку заглянуть за традиционный периметр информационной безопасности. Что происходит там? Как клиенты относятся к ИБ, готовы ли они противостоять угрозам? Как одно из наблюдений спикер отметил, что «Не понимая возможных угроз, люди выкладывают все больше персональной информации о себе в сети. Здесь работает серьезный психологический фактор — в сети люди создают альтернативную «идеальную картину Мира», которая для них может иметь очень большое значение, иногда вызывая зависимость». Более подробные данные можно будет узнать из большого исследовательского спецпроекта, который НАФИ планирует презентовать на мировой арене этой осенью.

Алексей Плешков также получил возможность в рамках конференции привести свое независимое мнение: «Вызовы 2017 года: как защитить организацию от актуальных угроз информационной безопасности». На первое место в своей пятерке вызовов ИБ им была поставлена «защита терминальных устройств». На втором месте — «профилактика распространения вредоносного программного обеспечения». Далее: «повышение защищенности рабочих мест SWIFT», а также «выполнение обязательных требований регулятора». Замыкает список «противодействие целевым атакам (APT)».

Тему APT далее подробно развил Сергей Золотухин в выступлении «APT (Advanced Persistent Threat): жизнь богаче схем — как защититься от уникальной атаки». На примере эволюции этих специфических атак, начиная с 2013 года и действий группировки Anunak вплоть до наших дней и группы Cobalt, автор доклада показал, что многие компании просто покупают решения по безопасности и чувствуют себя защищенными, перекладывая ответственность на вендора. Однако когда нет процедуры реагирования на инцидент, хакерам требуется до 10 минут для получения полного контроля над корпоративной сетью. Далее Иван Пискунов в докладе «Антифрод системы: правовые и технические аспекты, перспективы и кейсы» рассказал о «старой» и «новой» школах борьбы с карточным фродом, а также подробно остановился на действующем законодательстве, касающемся данной проблематики.

Безусловно, украшением этой части конференции стали выступления Артема Синицына, руководителя программ информационной безопасности в Центральной и Восточной Европе корпорации Microsoft «Построение эффективной защиты от атак АPT на ключевых фронтах» и Олега Бакшинского, руководителя направления Security Intelligence, IBM Россия и СНГ «UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в действиях авторизованного пользователя».

По мнению представителя Microsoft, современная стратегия ИБ должна строиться на трех основных элементах: защита, обнаружение и реагирование. Под полноценной «Защитой» теперь подразумеваем покрытие всех хостов и устройств от сенсоров интернета вещей до высокопроизводительных кластеров в датацентрах. Для полномасштабного обнаружения должны использоваться узкоспециализированные индикаторы поведенческого анализа и алгоритмы машинного обучения. А для эффективного реагирования необходимо закрыть все разрывы между обнаружением атаки и ответным действием.

«У большинства компаний есть проблема нехватки данных. У нас нет такой проблемы. Наша проблема: наоборот — колоссальные объемы данных получаемые из огромного числа различных источников. Проблема заключается в укрощении Big Data (Azure Data Lake + Azure ML) и эффективном использовании в части противодействия APT», — посетовал спикер.

Доклад эксперта из IBM же был посвящен развенчанию мифов о волшебстве новомодной технологии UEBA (поведенческая аналитика в части ИБ). По мнению Олега Бакшинского, активная раскрутка на рынке решений с этим функционалом, не более чем очередной PR-пузырь. Что касается самой IBM, то на ее сайте можно свободно скачать соответствующие утилиты. Но эксперты предупреждают, UEBA вряд ли «взлетит» в какой либо компании, если не будет любой из трех компонент: четкой и структурированной системы идентификации пользователей (User Identity System (clean and structured)), источников данных (Data sources / Inventory of critical logs) и аналитиков, знающих, как устроен это бизнес (Security Analysts / People with organizational knowledge). При этом не стоит забывать, что в аббревиатуре UEBA вторая буква «E» (Entity) означает не только человека, но и любую цифровую сущность. А с этим все довольно сложно и печально.

«Золотой ключик» или тонкий расчетc

Деловая программа конференции завершилась панельной дискуссией «Инсайдерские угрозы: есть ли универсальный «золотой ключик»? Вирусы WannaCry, «Петя», «Миша» и прочие ужастики приходят и уходят, а собственный персонал всегда находится в офисе, чего можно ожидать от некоторых сотрудников в самый неподходящий момент, можно проиллюстрировать простой фразой: «Самое слабое звено информационной безопасности — это люди». Так как же можно снизить влияние этого риска информационной безопасности? Ответ именно на этот вопрос модератор Эльман Мехтиев задавал своим гостям: Артему Синицыну, Олегу Бакшинскому и Ивану Пискунову.

Представитель Microsoft, прежде всего, напомнил, что инсайдеры внутри компании отнюдь не одиноки и не заперты внутри банка за периметром безопасности. Виной тому и мобильная революция, и наличие контрагентов, которые есть у любой компании. Поэтому проблему обеспечения безопасности чувствительной для бизнеса информации надо переносить с уровня периметра к точке «рождения» этих данных и ее автору, который лучше всех знает, к какому уровню защиты лучше всего ее отнести. DLP-система призвана защищать каналы распространения, а не классифицировать вместо человека данные по степени их критичности, доля ложных срабатываний этих систем по всему миру тому подтверждение. Хотя искусственный интеллект, возможно, в будущем и как-то поможет исправить ситуацию, но не сегодня. Поэтому DLP-система или еще что-то, это не «золотой ключик» или «серебряная пуля», а банкирам нужно уделять большее внимание «цифровой гигиене».

Олег Бакшинский, в целом соглашаясь с коллегой, советует: «Строить что-то нужно от бизнеса». Если банк для себя определяет, что потери в том или ином направлении бизнеса невелики, и он может себе их позволить, то зачем ему, например, антифрод-система. Если банк знает, какие существуют данные, утечка которых может стоить ему потери репутации и т.д., а также знает, где именно эти данные находятся, то можно утверждать, что в 90% случаев банк сможет сам себя защитить. В этом и может заключаться «тонкий расчет». Но, при этом, по утверждению, Сергея Золотухина, нужно четко представлять себе портрет потенциального инсайдера и на основе этой информации очертить круг задач.

Иван Пискунов, завершая дискуссию, вновь напомнил о рискориентированном подходе в информационной безопасности, когда риск можно либо принять, либо научиться им управлять. Нужно понимать, какие существуют информационные активы, какие с ними связаны риски и какие в связи с этим мероприятия можно предпринять. Статистика говорит, что в 70% случаев утечки данных происходят вследствие воздействия человеческого фактора. Поэтому основные усилия необходимо проявлять именно работе с людьми.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

bosfera.ru

Журнал «BIS Journal − Информационная безопасность банков»

7 июня, 2017«BIS Journal» № 2(25)/2017

Директор департамента операционных рисков, ИБ и непрерывности бизнеса (Московская биржа)

Как обеспечивается безопасность инфраструктуры Московской биржи

Московская биржа предоставляет полный цикл торговых и пост-трейдинговых операций на фондовом, валютном, срочном и товарном рынках, начиная с заключения сделок и заканчивая расчётами и депозитарными операциями. Все взаимодействия с клиентами - высокоскоростные электронные транзакции, массовая обработка которых возможна только при использовании современных высоких технологий и средств коммуникаций. Узлы торговых систем Московской биржи способны обрабатывать до 90,000 транзакций в секунду каждый, с задержкой менее 400 микросекунд, что ставит нас в ряд с крупнейшими биржами мира, а технологии расчета риска в реальном времени - не имеют аналогов.

Вместе с тем это очень высокая ответственность. В данном случае киберустойчивость - это сервис, который мы должны предоставлять всем без исключения участникам торгов и Банку России, осуществляющему, в том числе, с помощью биржевых инструментов денежно-кредитную политику.

В масштабах международной ассоциации бирж, куда Московская биржа входит на правах участника, фиксируется устойчивый интерес злоумышленников к торговым площадкам. Соответственно, для этих бирж и для нас киберустойчивость не просто важна, но носит схожие задачи с одинаковым профилем угроз.  «ПЛАН В» И ДАЛЕЕ…   Нам удалось воплотить мечту всех инфорбезопасников – мы создали отчасти закрытую систему. Все торговые системы биржи функционируют в рамках замкнутого контура. Для подключения участников торгов мы используем нашу частную сеть, которая практически не имеет стыков с внешними сетями. Для организации доступа используется семь операторов связи, что также позволяет не зависеть от перебоев в работе одного или нескольких из них. Есть услуги колокации, когда оператора связи просто нет, а участник торгов имеет прямую связь с системами биржи.

На пути возможного проникновения расположены порядка 80 серверов доступа, их функция в том числе в создании буферной зоны между ядром торговых систем и участниками торгов.

Сложность кроется и в двухуровневой структуре рынка. Есть профессиональные участники торгов, регулируемые Банком России, а есть их клиенты, и у всех могут быть разные инфраструктуры, часто менее защищенные нежели, чем у лицензируемого участника.   Вместе с Банком России мы разрабатываем единый стандарт информационной безопасности, который могли бы применять профессиональные участники торгов и их клиенты. По мере завершения разработки нам предстоит еще и большая работа по его внедрению. Также нам должен помочь информационный обмен, который сейчас организован Банком России в рамках работы FinCert. Надеюсь, что удастся подключить к этому обмену и профессиональных участников торгов.  БОЛЬШИЕ ДАННЫЕ   В нашем торгово-клиринговом комплексе несколько десятков тысяч сетевых устройств и порядка нескольких тысяч серверов. Соответственно, помимо непосредственно торговых событий, число которых достигает до 60 млн транзакций в день, они производят достаточно большое количество и других событий.

В основе комплекса информационной безопасности биржи находятся аналитические системы, которые анализируют и выявляют аномалии в большом объеме данных. Мы обучаем системы знать разрешённый трафик, его стандартное поведение и диагностировать отклонения. Каждая обнаруженная аномалия подлежит исследованию.

В перспективе, с развитием технологий, нам хотелось бы сделать систему анализа событий и обнаружения аномалий проактивной: выявлять с её помощью не только атаки на инфраструктуру, но и нештатные ситуации. У нас нулевая толерантность к нештатным ситуациям, которые происходят по нашим ошибкам. Но, к сожалению, в рамках сверхсложной торговой системы не удается их полностью избежать.

Что касается «плана B», то он подразумевает использование других сегментов в случае наступления инцидента. Для этого мы одномоментно поддерживаем несколько различных контуров, которые при необходимости можем оперативно перевести в «боевой режим». Сейчас их не менее десяти.  При этом важно, чтобы альтернативные контуры имели другие версии систем, которые, мы считаем, не будут скомпрометированы в тот же момент, что и основная система. Поэтому многие действующие тестовые контуры биржи созданы с расчётом на возможную боевую нагрузку.

У нас есть «план С». Но не стоит полностью раскрывать информацию, о том какие у нас есть ещё планы. Важна задача взаимоотношений с вендорами. Мы используем мультивендорный подход и выстраиваем основные торговые системы на оборудовании разных поставщиков.  КУДА МЫ ДВИЖЕМСЯ?   Пять лет назад мы обсуждали возможность перехода на web-платформы и отказа от частной сети. Однако концепция частной сети по-прежнему остается актуальной. При этом, разрабатывая web-сервисы, мы планируем предоставлять их через наши частные сети. То есть в нормальной ситуации они смотрят наружу через Интернет. А в случае негативного развития событий эти сервисы мы можем спрятать внутрь наших частных сетей и продолжать оказывать участникам торгов полный спектр наших услуг.

Мы продолжаем инвестировать в усиление наших средств защиты. До трети бюджета IT уходит на вопросы, связанные с информационной безопасностью. Основным направлением для нас остается работа с участниками торгов и их клиентами, чтобы их меры безопасности соответствовали принятым на рынке стандартам с целью защиты общей инфраструктуры финансового рынка. С ростом числа инвесторов и российского рынка в целом актуальность этой задачи будет только увеличиваться.

journal.ib-bank.ru

Московская биржа ждет роста количества кибератак на системы брокеров - Экономика и бизнес

© Сергей Фадеичев/ТАСС

МАГНИТОГОРСК, 14 февраля. /ТАСС/. Московская биржа ждет роста количества кибератак на торговые системы брокеров в связи с увеличением числа розничных инвесторов (физических лиц) на российском финансовом рынке, сообщил журналистам директор департамента операционных рисков информационной безопасности Московской биржи Сергей Демидов на Уральском форуме информационной безопасности.

"Мы видим следующий большой тренд, следующую большую угрозу - нападение на участников торгов. Мы находимся в неком балансе: с одной стороны мы хотим привлечь больше частных инвесторов на рынок, но с другой стороны понимаем, что как только на рынок приходит массовый игрок - он становится целью злоумышленников", - сказал он.

Он напомнил, что есть инфраструктура доступа к торгам, которую брокер предоставляет своим клиентам (физическим или юридическим лицам). "Клиенты торгуют через предоставляемый брокером терминал. Таких систем несколько и будет становится больше, так как растет и число розничных инвесторов", - отметил Демидов.

В связи с этим биржа и ЦБ готовят стандарты по безопасности для этих торговых систем брокеров по аналогии с банками, добавил Демидов. "Большинство существующих систем имеют хорошую защиту, но вопрос в том, чтобы это стало именно стандартом - чтобы все остальные его соблюдали", - объяснил Демидов. По его словам, пока прецедентов кибератак на торговые системы брокеров не было.

Стандарты уже разработаны и будут приняты в ближайшее время, добавил заместитель начальника Главного управления безопасности и защиты информации Банка России Артем Сычев.

Новости smi2.ru

Новости smi2.ru

Загрузка...

tass.ru

РБК: ЦБ введет стандарты кибербезопасности для торговли на бирже

В ожидании роста числа частных инвесторов в фондовый рынок Московская биржа и ЦБ планируют ввести стандарты кибербезопасности для торговых систем, которыми пользуются для доступа к рынку клиенты брокеров. Нововведение может вступить в силу уже в середине года.

Московская биржа предложила ввести стандарты кибербезопасности для торговых систем. Проблема, по словам директора департамента операционных рисков, информационной безопасности и непрерывности бизнеса Московской биржи Сергея Демидова, может крыться в средствах доступа на фондовую площадку, которые выбирает клиент, заключающий договор с брокером. «Участники рынка могут войти на биржевую площадку с помощью различных систем доступа. Сейчас их несколько, но никаких требований к их информационной безопасности нет», — рассказал он.

Как пояснил на форуме по информационной безопасности в Магнитогорске Демидов, целесообразность введения стандартов обусловлена ростом числа розничных инвесторов. «С одной стороны мы хотим привлечь на рынок как можно больше частных инвесторов, с другой — понимаем, что как только на рынок приходит массовый игрок, то он становится целью кибератак», — сказал он, добавив, что пока биржа не зафиксировала ни одного случая кибератак на торговые системы, но считает такую перспективу очевидным риском для биржи и инвесторов. Чем больше будет число частных инвесторов, тем больше и разнообразнее будут торговые системы, поясняет Демидов. «Будет хуже, если мы дойдем до какого-то существенного числа частных инвесторов и начнутся кибератаки», — предупредил он.

ЦБ солидарен

В ЦБ поддерживают идею биржи по введению стандартов кибербезопасности для участников рынка. «Мы не можем, конечно, обязать соблюдать стандарты производителей программного обеспечения, но можем предъявить требования к тем, кто находится под нашим контролем и использует эти системы, то есть участникам биржевого рынка», — сказал РБК замначальника главного управления безопасности и защиты информации ЦБ РФ Артем Сычев. Он сообщил, что требования по кибербезопасности для участников биржевого рынка могут вступить в силу уже в середине года. «Стандарты разработаны для некредитных финансовых организаций, поэтому брокеры попадают туда автоматом», — сказал Сычев.

Цена безопасности

Для участников рынка новость об оперативном введении стандартов кибербезопасности для торговых систем стала неожиданностью. «Мы об этом как об идее слышали полгода назад, но конкретики пока не звучало» — сказал президент-председатель правления «Финама» Владислав Кочетков. Для некоторых игроков сюрпризом стала и сама идея. По словам главы компании «Открытие Брокер» Юрия Минцева, он не в курсе инициативы по введению стандартов по кибербезопасности для профессиональных участников. «Идея странная, учитывая, что биржа сама дает прямой доступ на торги производными для физлиц. Непонятно, при чем здесь брокеры?», — удивляется он.

Топ-менеджер крупного банка считает меры по введению стандартов для брокеров избыточными. «Риски банков, у которых миллионы розничных клиентов, и брокеров, у которых активные участники составляют 100-200 тыс. человек, несопоставимы», — говорит он. Кроме того, отмечает банкир, брокерские услуги физлицам оказывают и многие крупные банки, используя для этого различные торговые системы. «Получается, что им придется нести расходы на обеспечение информационной безопасности и банковского и брокерского бизнеса», — рассуждает банкир.

Впрочем, у идеи биржи и ЦБ есть и положительные стороны, указывают участники рынка. «Идея кажется достаточно здравой, поскольку на рынке много игроков, которые разрабатывают собственные торговые системы, при этом не уделяя внимание их безопасности», — комментирует Кочетков. Он считает, что введение стандартов кибербезопасности для торговых систем позволит сделать рынок более стабильным и защищенным от хакерских атак.

Вместе с тем, по словам брокера, введение нормативов приведет к дальнейшей консолидации рынка брокерских услуг. «Крупные игроки смогут обеспечить выполнение требований ЦБ, но это приведет к росту их затрат и снижению конкуренции», — говорит Кочетков.

«Безопасность стоит денег», — уверен Артем Сычев. По его словам, непонятно, кто будет нести ответственность, если мелкий брокер подвергнется кибератаке и от его имени злоумышленники совершат операции на бирже на миллиарды рублей. «Ответ очевиден: если вы занимаетесь оказанием финансовых услуг, то будьте готовы к тому, что этот бизнес требует далеко не копеечных расходов», — добавил он.

Давние предупреждения

Ранее об опасности хакерских атак на биржу предупреждали представители Центра мониторинга и реагирования на компьютерные атаки (FinCert) Банка России. «Мы прогнозируем, что атаки на биржу в 2017 году будут усилены. Если в банках выстроена политика, она худо-бедно действует, то на бирже очень много проблем», — заявил глава FinCert Дмитрий Фролов в начале февраля. Он отмечал, что хакерские атаки на биржи могут иметь не только экономические, но и политические последствия.

В начале 2016 года первый зампред ЦБ Сергей Швецов указал на опасность широкого распространения компьютерных систем инвестиционного консультирования — робо-эдвайзеров (robo-advisor), управление которыми может быть перехвачено хакерами.

Альберт КОШКАРОВ

vagon43.top


Смотрите также

.