Ce probleme „eterne“ și noi provocări trebuie să răspundă la criza serviciilor bancare pentru securitatea informațiilor
În timpul recesiunii globale, experți în securitatea informațiilor în băncile trebuie să lupte un inamic extern, care a devenit chiar mai agresiv și resurse, și nu uita, amenințările interne din interior au consolidat, de asemenea, în mod semnificativ. O altă sarcină importantă - pentru a încerca să îndeplinească cerințele de reglementare, și să facă lobby pentru amendamente la „incomod“ legea „Cu privire la datele cu caracter personal“. Despre o varietate de provocări care dictează un timp sensibil, a declarat el NBJ Informații Divizia de Securitate Rosselkhozbank Artyom Sychev.
NU CRIZA UNIQUE
NBJ. Artem Mihailovici, criza a afectat situația din domeniul securității informațiilor băncilor?
Alexander Sychev. Pe parcursul anului trecut sfera de securitate a informațiilor a fost influențată de doi factori importanți. Primul - este într-adevăr o consecință a crizei globale. Criza a condus la faptul că sursele de venit ale populației a scăzut și, ca urmare, dorința de a obține rapid bani a crescut în mod dramatic. Prin urmare, putem spune că răspândirea sistemelor de fraudă legate de tehnologia informației, a primit un nou impuls. a crescut în mod clar numărul de atacuri asupra activelor financiare ale clienților băncilor, a crescut interesul de instituțiile de credit și tehnologiile pe care le utilizează. Subiectii, de asemenea, activat, gata să se angajeze în activități din interior. Nimic surprinzător și neașteptat în aceste tendințe nu este, deoarece astfel de lucruri sunt sigur să se întâmple în timpul recesiunii. Dar al doilea factor care are un impact major asupra activității serviciilor de securitate a informațiilor bancare, nepotrivite „suprapuse“ cu privire la situația.
NBJ. Vrei să spui „lungă suferință“, iar legea mult discutat „privind datele personale“, care este programat să intre în vigoare în noul an?
Alexander Sychev. Da. Acest factor este pur și simplu a coincis. Care este principala problemă? Ideea nu este că nu este necesară legea sau este înainte de vreme. Desigur, este necesar, așa cum se dezvoltă o convenție europeană privind protecția subiecților datelor cu caracter personal, reglementează relația dintre subiect și PD, care se ocupă de aceste informații. Dar formularea legii și reglementărilor, din păcate, sunt departe de a fi perfect. Întregul complex al documentelor asociate cu legea impune aceleași cerințe și pentru bănci și companii de telecomunicații, și grădinițe. De fapt, pus în aplicare principiul „o mărime se potrivește tuturor.“ Nu dați atenție operatorului PD scalează pentru a masura, tehnologie, securitate, pe care le aplică deja. Faptul că toate instalate aceleași reguli, fără a ține seama de specificul industriei - este greșită.
În ceea ce privește băncile, această abordare este surprinzătoare, ca și pentru clientul instituției de credit, reală și potențială - este una dintre cele mai importante active. Prin urmare, băncile plătit inițial protejarea datelor clienților mai multă atenție. Chiar și atunci când, de exemplu, o instituție financiară a atras agențiile de colectare, aceasta continuă să respecte toate măsurile de securitate. Băncile sunt obligate să facă lucruri pe care pur și simplu nu trebuie să încerce să impună minimizarea riscurilor pe care pur și simplu nu apar activitățile instituțiilor de credit.
NBJ. În cazul în care îndeplinesc în mod direct toate reglementările care în mod inutil banca va trebui să facă?
Alexander Sychev. De exemplu, este de prisos toate camerele de operare pentru a asigura o protecție împotriva scurgerilor de canale de voce. În primul rând, din punct de vedere functional, din punct de vedere al amenințărilor și a riscurilor care apar în activitățile băncii, nu este nevoie. În al doilea rând, este foarte scump financiar, chiar și pentru băncile mari.
Un alt punct: în legătură cu această lege, băncile trebuie să se ocupe cu o cantitate foarte mare de documente care este irelevant pentru furnizarea nu are nici o informație de securitate. Mai mult decât atât, legea creează o bază minunată pentru a perturba în mod opțional funcționarea normală a instituțiilor de credit, a aruncat cererile lor Goofy. Deja avem practica de aplicare a legii, ceea ce sugerează că instanțele, chiar și în cazul nevinovăției aparent al băncii, să ia partea subiecților PD. Da, atâta timp cât nu este comun, dar parlamentarii ar trebui să se gândească la asta.
Acum, comunitatea bancară sub auspiciile ARB a făcut o serie de modificări ale legii. Acestea vor fi utile nu numai instituțiilor de credit, dar, de asemenea, entităților industriale mari, companiile de asigurări și de afaceri de telecomunicații, care suferă de imperfecțiuni în formularea legii nu mai puțin decât băncile.
NBJ. În cazul în care criza este de peste, fraudă agresiv încetează imediat?
Alexander Sychev. Ecouri vor fi resimțite de mai mulți ani. Și situația de astăzi este agravată, încă o dată, nu este unic. Da, acum problema a venit la lumină afară, totul pare luminos. Dar gândirea umană nu se opune încă. Așa că, în viitor, numărul de fraudă va fi redus, dar cu siguranță vor exista noi scheme ilegale, metode și instrumente.
Jocuri de persoane joacă
NBJ. Ce schemă frauduloasă este acum cel mai popular?
Alexander Sychev. Schema clasică, care este resimțită de majoritatea băncilor care folosesc tehnologii bancare la distanță. Se pare ca acest lucru: cheile de semnături digitale utilizate de către clienți, furate de un „cal troian“ virușii de diferite modificări. După care există o ilegal scrie-off de fonduri din conturile clienților. Și pentru a acoperi urmele lor, la bancă, în cazuri rare - clientul este organizat DDOS-atac. Schema este simplu și eficient. Mai ales având în vedere faptul că majoritatea clienților băncii nu au gândit la problemele de securitate a informațiilor. Și nici măcar nu a auzit de astfel de amenințări.
NBJ. Adică, telecomanda și serviciile de e-banking pentru securitatea informațiilor - o durere de cap?
Alexander Sychev. Ușor de ceva se creează un dezavantaj în altul. Neplăcere cauzată bănci la servicii bancare la distanță adăugate cu siguranță, probleme de securitate de informații, dar ele nu sunt critice. Principalul lucru - ține cont de faptul că orice problemă, cum ar fi vechi ca lumea: protecția este întotdeauna o jumătate de pas în spatele gândirea celor care doresc această protecție să „rupă“. Este important să fie mereu la curent. Pentru a monitoriza situația, pentru a vedea noi amenințări. Băncile la un nivel mai înalt, la nivelul standardelor, ar trebui să fie stabilit sistemul de gestionare a incidentelor. Și, ca urmare a detectării incidentelor este obligatorie ar trebui să fie îmbunătățită pentru a asigura securitatea informațiilor.
NBJ. Mai exact ceea ce banca se poate face pentru tine și clienții de e-banking proteja?
Alexander Sychev. Pe de o parte, sunt aplicate măsuri tehnice. Ne mutam la utilizarea unor astfel de purtători de informații-cheie, care nu permit extragerea chei cu electronice sau de a face procesul de extragere a acestora este extrem de dificilă. Pe de altă parte, măsuri organizatorice importante. Este necesar să se mărească treptat nivelul de conștientizare a clientului, pentru a le explica ceea ce se întâmplă, ce amenințări sunt relevante. Un alt punct important este un contact permanent cu departamentele noastre interne. De exemplu, lucrătorii care operează pe circulația fondurilor poate stabili că traducerea este un personaj neobișnuit: legal-entitatea transferă o cantitate mare în contul unei persoane fizice într-o altă regiune, și nu înainte ca aceste operațiuni nu sunt efectuate. În acest caz, este necesar pentru a apela clientul pentru a verifica dacă o astfel de operațiune este legitimă. Este, de asemenea, contacte importante cu colegii de la alte bănci, care au nevoie pentru a interacționa, de a lua măsuri comune pentru a fraudei nu a condus în detrimentul financiar al clientului și banca. Da, în partea noastră din organizațiile de afaceri pot fi concurenți, dar atunci când este vorba de escrocherii - este o cauză comună.
NBJ. Și ceea ce este amenințarea la criza încă mai rău - interne sau externe, din interior?
Dacă vorbim despre criză, este de remarcat faptul că el a creat o altă problemă gravă: concedierile din băncile a condus la faptul că un număr mare de personal calificat corespunzător a apărut în afara angajator. Desigur, oamenii care au cunoștințe, încep să le folosească, deoarece acestea pot și sunt capabili să. Și, uneori, în scopuri ilegale.
NBJ. Prin optimizarea numărului de personal în criză de multe ori nu poate scăpa.
Alexander Sychev. Acest lucru este adevărat, dar că, de obicei, nu? De exemplu, doar „tăiat“ personalul care furnizează informații de securitate, precum și cei care servesc clienții. În opinia mea, aceasta este o abordare greșită. Deoarece acești oameni au doar cunoștințe foarte valoroase despre companie.
Al doilea punct: organizația nu trebuie să uităm despre diferitele forme de stimulare a personalului. recompense financiare, formare profesională suplimentară - toate acestea elimină motivația de a acționa în raport cu angajatorul în mod corespunzător. De asemenea, este foarte important pentru un sentiment de stabilitate, în special pentru sectorul financiar. Omul este realist cu privire la ceea ce este esențial pentru el - să aibă un venit stabil și să continue să facă ceea ce îi place sau o dată bogat cu consecințe neclare. De regulă, cei mai mulți oameni aleg prima opțiune.
SUB FORMA DE POEZIE
NBJ. Ca Rosselkhozbank capabil să mențină securitatea informațiilor într-o astfel de structură complexă, ramificată de birouri și departamente, cu un număr foarte mare de angajați, clienți și, prin urmare - și potențialele amenințări?
Alexander Sychev. Trebuie să se înțeleagă că procesul de construire a sistemului de securitate este unul dintre un proces continuu. Ce este fundamental? În primul rând, trebuie să existe o înțelegere a importanței problemelor de securitate din partea conducerii organizației. Avem o astfel de înțelegere. În al doilea rând, este important de profesioniști de securitate a informațiilor de interacțiune cu alte unități: „informatizatorami“, personalul de exploatare, etc ...
Ca urmare a celor mai bune practici reflectate în documentele complexe privind standardizarea securității informațiilor Banca Română, vom încerca să facem toate noile procese de afaceri în banca căptușită în ceea ce privește securitatea. Suntem conectați la scenă o discuție privind modul în care este construit un proces special de afaceri. Deja la etapa inițială a oricăror momente periculoase pot fi eliminate, eliminate în principiu. De asemenea, este important ca aceste aspecte sunt stabilite nu numai la unitatea de securitate a avea o bună relație, bine construit cu serviciul de control intern. Adesea, acestea sunt materialele - aceasta este doar o bază pentru muncă suplimentară pentru a îmbunătăți securitatea informațiilor. În al treilea rând, aveți nevoie de un bun contact cu experții noștri în regiunile.
NBJ. La toate conferințele privind securitatea informațiilor subiect obligatoriu pentru specialiștii discuții -nehvatka. Nu se stinge penuria de personal de criză?
Alexander Sychev. Nu, problema este încă acută, în ciuda faptului că oamenii sunt „eliberați“. În general, este dificil de rezolvat. Întrucât securitatea informațiilor - o zonă foarte specific în ceea ce privește recrutarea. pe banca de specialitate IB ar trebui să fie un profesionist în domeniul tehnologiilor informației și în domeniul securității și să înțeleagă specificul activităților bancare. Găsiți acești profesioniști este extrem de dificil. Mai ales în regiuni. Da, o astfel de diplomă în învățământul superior acolo. În ultimii ani, a devenit la modă toate zonele deschise de securitate a informațiilor, dar calitatea formării lasă mult de dorit.
NBJ. Dar încă mai există instituții de învățământ superior, care pot fi de încredere în această chestiune?
Alexander Sychev. Da, la Moscova ea MSTU. Bauman, Moscova, Institutul de Inginerie Fizică și Universitatea Umanitară de Stat din Rusia. Fiecare dintre ele sunt instituții destul de puternice. Prin regiuni pot fi distinse, desigur, Universitatea Politehnică de Stat București, cu o pregătire foarte serioasă. Departamentul puternic - în Taganrog Institute of Technology. În general, locuri de mâncare, dar nu prea mult. Este clar că regiunea noastră se schimbă mult mai rapid decât a merge actualizarea curriculum-ului. Marea problemă - cadre didactice. Și în toate aceste instituții de învățământ superior de cadre didactice au o relație directă cu proiecte reale privind securitatea informațiilor.
Ca angajați completeze educația lor? În primul rând, ajută experiența dobândită în cursul muncii. Plus vom recurge la ajutorul unor centre de formare comerciale. Este important de a alege. Pentru că există un număr foarte mare de seminarii absolut inutile. Desigur, trebuie să se pregătească propriile lor materiale didactice, am deschis o învățare la distanță internă. În special, experților în regiuni, oriunde fără a fi nevoie să călătorească, ar putea îmbunătăți calificările.
NBJ. În informații problemele de securitate trebuie să aloce toți angajații băncii? Implicat în activități educaționale?
Alexander Sychev. Desigur, securitatea informațiilor este bun atunci când este introdus în procesul general de organizare a vieții. Pentru a face acest lucru, fiecare angajat al băncii pentru a face clar de ce îndeplinesc anumite cerințe. Atunci când o persoană vine la lucru și de a face cunoștință cu unele act normativ, chiar și pentru nici o securitate aparent, acesta este de obicei un minut despre toate postulatele uită în condiții de siguranță. Am înțeles că ar trebui să existe mecanisme pentru creșterea gradului de conștientizare și au dezvoltat o notă specială pentru utilizator. În versetele. Și claritatea exemplu de ceea ce este bun și ce este rău. forma Brilliant, inventat de marele poet Maiakovski. Efectul a fost foarte pozitiv. Am primit recenzii excelente dintr-o varietate de departamente.
NBJ. Cum alegeți companii de software? Cu cât sunt mai au încredere în instituțiile occidentale sau producătorul intern?
Alexander Sychev. Selectarea companiilor care implementează un proiect pe bază de concurs. Cerem companiilor să lucreze un fel de solicitanți limitat zonă „pilot“, și oferă două sau trei opțiuni pentru a rezolva problema ne este necesar. Aceasta este o practică obligatorie, deoarece aceleași servicii sunt acum foarte multe companii. Desigur, ne dorim pentru a obține cea mai bună valoare pentru bani. Trebuie să fim siguri că soluția implementată va primi suport complet. Atât punct de vedere tehnic și în ceea ce privește consultanță și instruire.
Sincer, am să acorde o atenție la experiența pe piață, dar este dispus să ia în considerare opțiunile pentru cooperarea cu tinerele companii. Western sau română? Când vine vorba de produse, este necesar să se uite la funcționalitatea. Iar alegerea nu va depinde numai de țara de origine. Cu toate acestea, ca și pentru noi ca o bancă cu participare de stat sută la sută, relații importante cu autoritățile de reglementare, credem că dreptul de a utiliza serviciile acelor organizații care sunt autorizate sau FSTEC, sau FSB.
NBJ. Unii experți se plâng că trebuie să plătească suplimentar pentru marca atunci când aleg un dezvoltator cunoscut.
Alexander Sychev. Nu sunt de acord. Din punct de vedere al securității informațiilor supraplată pentru marca nu se întâmplă. Există o creștere logică a costurilor datorită perspectivelor rapide și eficiente de sprijin și de dezvoltare tehnică. În domeniul securității informațiilor, de regulă, este de înțeles de ce există o diferență de preț. Prin urmare, este important să se aleagă principiul: calitatea este obținut la ieșire trebuie să se potrivească cu banii pe care banca cheltuit pe îmbunătățirea sistemelor de securitate a informațiilor.
Voturi totale: 1