Артем Сычев: «Будущее за аутсорсингом услуг информационной безопасности» - «Финансы»

Заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев на Международном банковском форуме «Банки России — XXI век» рассказал о ситуации с информационной безопасностью в нашей стране и за рубежом, а также о мерах, принимаемых для ее повышения. Российский бизнес не жалеет денег на финтех, а про безопасность думает, что она на втором плане. Между тем за рубежом все наоборот: в безопасность вкладывается больше средств, чем в России инвестируется в весь финтех, вместе взятый. Инструментарий злоумышленников изменился, переместившись из реального мира в виртуальный. Никто не атакует устройства как таковые, атакуется сеть в целом. Через подключенную к сети кофеварку можно отследить трафик смартфона, подключенного к той же сети. Все дело в том, что разработчик приложения, работающего на вашем смартфоне, просто забыл зашифровать передаваемые данные. В одиночку заниматься безопасностью можно, но неэффективно, намного продуктивнее делать это сообща. Для этого ЦБ создал FinCERT. Наша основная задача — помочь оперативно давать информацию о проблемах, которые могут возникать в кредитных и финансовых организациях и влиять на их устойчивость. Региональные банки не всегда готовы и могут тратить деньги на поддержание инфраструктуры безопасности и содержание персонала, обеспечивающего безопасность. Информационная безопасность в России развивается по ресурсной модели, подразумевающей покупку программы или «железяки». Во всем мире дело обстоит совсем не так. Например, в Малайзии рынок на 90% складывается из услуг, из которых только 30% формируется по требованию регулятора, остальное — это потребности бизнеса проверить себя на соответствие требованиям безопасности. Мы считаем что будущее за аутсорсингом услуг информационной безопасности. ЦБ готовит проект стандартизации вопросов, касающихся информационной безопасности. Проект доступен на сайте и ждет замечаний. Мы готовы сотрудничать и вносить правки. На данный момент есть две законодательных инициативы. Первая — внесение изменений в законодательство в части работ по антифроду. Сейчас наблюдается тренд на понимание не только того, какой продукт предложить клиенту, но и как защитить клиента от атаки на его деньги. Вторая инициатива заключается в усилении наказания, предусмотренного в Уголовном кодексе за преступления в области информационной безопасности. Сейчас самый большой срок реального наказания в России составляет пять лет, и его дают только после того, как по тому же преступлению люди уже получили три года условно. Для сравнения: в США срок уголовного наказания равен 25 годам, в Китае вы можете считать, что легко отделались, получив 10 лет. В общем по миру срок уголовного наказания составляет пять лет и во многом зависит от суммы, на которую покушались злоумышленники.