|
4 октября 2023 года состоялась IV Конференция по безопасности «Информационная безопасность: защитить на благо развития», организованная Ассоциацией «НАУМИР».
Встречу открыли Эльман Мехтиев, Председатель Совета «НАУМИР» и Виктор Лисин, президент Ассоциации, которые сразу подчеркнули 2 важных факта:
1. Тема информационной безопасности (ИБ) актуальна для всего финансового рынка, но особенное значение имеет для микрофинансового сектора в виду его высокой технологичности.
2. Оптимальные пути развития микрофинансового рынка при условии соблюдения требований к ИБ можно найти только в открытом диалоге регулятора и участников рынка. Именно в таком формате было организовано мероприятие.
Первая секция программы конференции была посвящена текущей ситуации по обеспечению ИБ на финансовом рынке, новациям в области государственного регулирования ИБ, а также тому, как данные изменения повлияют на участников микрофинансового сектора.
В ходе обсуждения спикеры обратили внимание на следующие моменты:
1. Несмотря на то, что к МФО изначально не применялись специальные требования, которые будут включены в новый проект изменений Положения 757-П, они, как и все некредитные финансовые организации, должны выполнять общие требования к ИБ.
И фактически, многие МФО уже сейчас обеспечивают минимальный уровень ИБ. Согласно проведенному Банком России анкетированию среди МФО (как крупных, так и малых), таких компаний около 60%.
2. Что касается специальных требований, то здесь важно правильно определить категории МФО и пропорционально им установить соответствующие стандарты. Для более глубокой проработки вопроса Банк России принял решение перенести сроки по созданию проекта изменений Положения 757-П. Предположительно появление документа можно ожидать во II полугодии 2024 года.
При этом ЦБ открыт к аргументированным предложениям со стороны микрофинансового рынка, в том числе и по вопросу учета количественных показателей (размер активов и/или количество заемщиков в портфеле) в разрезе применения пропорционального подхода к определению требований к ИБ МФО.
3. Результаты различных статистических исследований сходятся по показателю стабильного роста кибератак (в 2022 г. количество кибератак в РФ выросло на 80%, в 2023 г. ожидается увеличение на 50%). Самыми уязвимыми являются финансово-кредитный и государственный сектора, и главная причина - недостаток квалифицированных кадров.
В связи с этим остро встают вопросы изменений в области ответственности за киберпреступления, построения систем «антифрод», возможностей аутсорсинга IT и ИБ, а также импортозамещения ПО.
В завершении Пленарного заседания представители Банка России пригласили участников микрофинансового рынка присоединиться к 3-м рабочим группам по анализу ГОСТов, требований нормативных актов ЦБ к ИБ, операционной надежности технологических процессов.
Вторая секция программы была организована в формате круглого стола на тему «Импортозамещение - время новаций».
Постулатом дискуссии стало законодательное определение всех участников микрофинансового рынка как субъектов КИИ. Это значит, импортозамещение является обязательным для всех МФИ, и каждый из которых должен пройти процедуру категорирования.
В разрезе обсуждения операционной надежности было отмечено, что в настоящее время к МФО применяется небольшой список требований п.1.16 Положения 779-П, согласно которому организация 1 раз в 3 года самостоятельно определяет те операционные процессы, которые имеют критичное значение для компании, и показатели операционной надежности. Если таковых нет - необходимо составление мотивированного осуждения.
С момента вступления в силу законопроекта, согласно которому МФО должны обеспечивать минимальный уровень ИБ, перечень требований к операционной надежности будет расширен.
В контексте импортозамещения был рассмотрен один из его вариантов - аутсорсинг. Уже разработан законопроект, который разрешит доступ поставщикам услуг аутсорсинга к сведениям о заемщиках и операциях МФО и определит ответственность сторон за утечку персональных данных. В этом случае МФИ смогут воспользоваться инструментом в полном объеме.
Что касается проверки регулятором реализации импортозамещения - участникам конференции был озвучен перечень необходимых мероприятий и артефактов (документов, актов, отчетов и пр.), которые ЦБ будет запрашивать при её проведении.
Также коллеги обсудили процесс получения электронной подписи (ЭП) и изменения, произошедшие на рынке ЭП. В частности, сокращение за последние 2 года количества удостоверяющих центров с 400+ до 47, усиление требований к ЭП, сроки и стоимость.
В фокусе дискуссии спикеров круглого стола «Инциденты и DDoS-атаки: работа и управление ими» оказались темы:
1. Возможности, которые получают компании при подключении к ФинЦЕРТ. В частности, применение публикуемых индикаторов киберинцидентов для настройки собственной системы фильтрации для противодействия кибератакам. А также круглосуточное консультирование.
2. Актуальные векторы DDoS-атак: вредоносное ПО, социальная инженерия, эксплуатация уязвимостей и т.д. Способы их предотвращения, а также восстановления работы инфраструктуры, если киберинцидент все-таки произошел.
3. Значение для построения эффективной системы ИБ осознанного включения руководителей компании в постоянное развитие данного направления, регулярного повышения квалификации сотрудников по ИБ, практического обучения основам кибергигены всего персонала, аудита системы ИБ.
Участники дискуссионной сессии «Культура информационной безопасности» обсудили «3 кита» развитой киберкультуры: кибергигиену, киберосведомленность и киберграмотность.
Поговорили на тему непрерывности процесса построения эффективной киберкультуры внутри компании и как этому способствуют специализированные киберучения с отработкой практических навыков.
А также отметили, что «прививать» киберкультуру нужно с детства. А ее укрепление должно происходить в образовательных учреждениях, в том числе и в ВУЗах.
Спикеры затронули тему острого недостатка квалифицированных кадров как в IT-области, так и сфере ИБ. И сошлись во мнении, что лучших специалистов получают те компании, которые заходят в образовательные процессы и берут на стажировку студентов.
Заключительной секцией конференции стала дискуссионная сессия «Антифрод - как защитить компанию от мошенничества».
3 ключевых тезиса, озвученных в ходе сессии:
1. Важно не только предупредить появление мошенничества, но и не отказать реальному клиенту. Этому способствует применение современных технологий верификации и идентификации - от мобильной электронной подписи до систем распознавания лиц и документов на основе ИИ.
2. Все идут в сторону персонифицированного, профессионального поведения. Для этого обрабатываются огромные базы данных. И поиск совпадений или несовпадений уже может быть осуществлён.
3. По мере совершенствования способов защиты растет и квалификация мошенников. Поэтому важно понимать признаки «фродо» и обмениваться информацией о новых способах мошенничества.
В завершении конференции было объявлено о составлении Меморандума по её итогам и дальнейшей работе на его основе в направлении ИБ, которую проведут ассоциации отрасли.
А также о продолжении обсуждения темы информационной безопасности на XXII Национальной конференции по микрофинансированию и финансовой доступности, которая пройдет с 29 ноября по 1 декабря в Санкт-Петербурге.
© 2008–2024, Российский Микрофинансовый Центр. Все права защищены
Сайт https://rusmicrofinance.ru/ содержит материалы, включая тексты, фотографии, графические изображения и т.д., охраняемые авторским правом в соответствии с законодательством Российской Федерации. Использование в коммерческих целях материалов сайта не допускается. Републикация материалов возможна при следующих условиях: письменное разрешение редакции и уведомление о принадлежности авторского права – постановка гиперссылки на соответствующий материал, либо главную страницу сайта. Републикующая материал сторона предоставляет ссылку на публикацию.
Email редакции: ezakarzhevskaya@rmcenter.ru.