Пост-релиз IV Конференции по безопасности «Информационная безопасность: защитить на благо развития», организованная Ассоциацией «НАУМИР»

4 октября 2023 года состоялась IV Конференция по безопасности  «Информационная безопасность: защитить на благо развития», организованная Ассоциацией «НАУМИР».

Встречу открыли Эльман Мехтиев, Председатель Совета «НАУМИР» и Виктор Лисин, президент Ассоциации, которые сразу подчеркнули 2 важных факта:

1. Тема информационной безопасности (ИБ) актуальна для всего финансового рынка, но особенное значение имеет для микрофинансового сектора в виду его высокой технологичности.

2. Оптимальные пути развития микрофинансового рынка при условии соблюдения требований к ИБ можно найти только в открытом диалоге регулятора и участников рынка. Именно в таком формате было организовано мероприятие.

Первая секция программы конференции была посвящена текущей ситуации по обеспечению ИБ на финансовом рынке, новациям в области государственного регулирования ИБ, а также тому, как данные изменения повлияют на участников микрофинансового сектора.

В ходе обсуждения спикеры обратили внимание на следующие моменты:

1. Несмотря на то, что к МФО изначально не применялись специальные требования, которые будут включены в новый проект изменений Положения 757-П, они, как и все некредитные финансовые организации, должны выполнять общие требования к ИБ.

И фактически, многие МФО уже сейчас обеспечивают минимальный уровень ИБ. Согласно проведенному Банком России анкетированию среди МФО (как крупных, так и малых), таких компаний около 60%.

2. Что касается специальных требований, то здесь важно правильно определить категории МФО и пропорционально им установить соответствующие стандарты. Для более глубокой проработки вопроса Банк России принял решение перенести сроки по созданию проекта изменений Положения 757-П. Предположительно появление документа можно ожидать во II полугодии 2024 года.

При этом ЦБ открыт к аргументированным предложениям со стороны микрофинансового рынка, в том числе и по вопросу учета количественных показателей (размер активов и/или количество заемщиков в портфеле) в разрезе применения пропорционального подхода к определению требований к ИБ МФО.

3. Результаты различных статистических исследований сходятся по показателю стабильного роста кибератак (в 2022 г. количество кибератак в РФ выросло на 80%, в 2023 г. ожидается увеличение на 50%). Самыми уязвимыми являются финансово-кредитный и государственный сектора, и главная причина - недостаток квалифицированных кадров.

В связи с этим остро встают вопросы изменений в области ответственности за киберпреступления, построения систем «антифрод», возможностей аутсорсинга IT и ИБ, а также импортозамещения ПО.

В завершении Пленарного заседания представители Банка России пригласили участников микрофинансового рынка присоединиться к 3-м рабочим группам по анализу ГОСТов, требований нормативных актов ЦБ к ИБ, операционной надежности технологических процессов.

Вторая секция программы была организована в формате круглого стола на тему «Импортозамещение - время новаций».

Постулатом дискуссии стало законодательное определение всех участников микрофинансового рынка как субъектов КИИ. Это значит, импортозамещение является обязательным для всех МФИ, и каждый из которых должен пройти процедуру категорирования.

В разрезе обсуждения операционной надежности было отмечено, что в настоящее время к МФО применяется небольшой список требований п.1.16 Положения 779-П, согласно которому организация 1 раз в 3 года самостоятельно определяет те операционные процессы, которые имеют критичное значение для компании, и показатели операционной надежности. Если таковых нет - необходимо составление мотивированного осуждения.

С момента вступления в силу законопроекта, согласно которому МФО должны обеспечивать минимальный уровень ИБ, перечень требований к операционной надежности будет расширен.

В контексте импортозамещения был рассмотрен один из его вариантов - аутсорсинг. Уже разработан законопроект, который разрешит доступ поставщикам услуг аутсорсинга к сведениям о заемщиках и операциях МФО и определит ответственность сторон за утечку персональных данных. В этом случае МФИ смогут воспользоваться инструментом в полном объеме.

Что касается проверки регулятором реализации импортозамещения - участникам конференции был озвучен перечень необходимых мероприятий и артефактов (документов, актов, отчетов и пр.), которые ЦБ будет запрашивать при её проведении.

Также коллеги обсудили процесс получения  электронной подписи (ЭП) и изменения, произошедшие на рынке ЭП. В частности, сокращение за последние 2 года количества удостоверяющих центров с 400+ до 47, усиление требований к ЭП, сроки и стоимость.

В фокусе дискуссии спикеров круглого стола «Инциденты и DDoS-атаки: работа и управление ими» оказались темы:

1. Возможности, которые получают компании при подключении к ФинЦЕРТ. В частности, применение публикуемых индикаторов киберинцидентов для настройки собственной системы фильтрации для противодействия кибератакам.  А также круглосуточное консультирование.

2. Актуальные векторы DDoS-атак: вредоносное ПО, социальная инженерия, эксплуатация уязвимостей и т.д. Способы их предотвращения, а также восстановления работы инфраструктуры, если киберинцидент все-таки произошел.

3.  Значение для построения эффективной системы ИБ осознанного включения руководителей компании в постоянное развитие данного направления, регулярного повышения квалификации сотрудников по ИБ, практического обучения основам кибергигены всего персонала, аудита системы ИБ. 

Участники дискуссионной сессии «Культура информационной безопасности» обсудили  «3 кита» развитой киберкультуры: кибергигиену, киберосведомленность и киберграмотность.

Поговорили на тему непрерывности процесса построения эффективной киберкультуры внутри компании и как этому способствуют специализированные киберучения с отработкой практических навыков.

А также отметили, что «прививать» киберкультуру нужно с детства. А ее укрепление должно происходить в образовательных учреждениях, в том числе и в ВУЗах.

Спикеры затронули тему острого недостатка квалифицированных кадров как в IT-области, так и сфере ИБ. И сошлись во мнении, что лучших специалистов получают те компании, которые заходят в образовательные процессы и берут на стажировку студентов.

Заключительной секцией конференции стала дискуссионная сессия «Антифрод - как защитить компанию от мошенничества».

3 ключевых тезиса, озвученных в ходе сессии:

1. Важно не только предупредить появление мошенничества, но и не отказать реальному клиенту. Этому способствует применение современных технологий верификации и идентификации - от мобильной электронной подписи до систем распознавания лиц и документов на основе ИИ.

2. Все идут в сторону персонифицированного, профессионального поведения. Для этого обрабатываются огромные базы данных. И поиск совпадений или несовпадений уже может быть осуществлён.

3. По мере совершенствования способов защиты растет и квалификация мошенников. Поэтому важно понимать признаки «фродо» и обмениваться информацией о новых способах мошенничества.

В завершении конференции было объявлено о составлении Меморандума по её итогам и дальнейшей работе на его основе в направлении ИБ, которую проведут ассоциации отрасли.

А также о продолжении обсуждения темы информационной безопасности на XXII Национальной конференции по микрофинансированию и финансовой доступности, которая пройдет с 29 ноября по 1 декабря в Санкт-Петербурге.