Кибербезопасность организаций кредитно-финансовой сферы должна базироваться на готовности подразделений безопасности противостоять новым кибератакам, понимании всего спектра угроз в отношении организации в целом и распределения приоритетов между активами организации и их защитой[65].
К факторам, повышающим уровень воздействия кибератак, относятся:
– отсутствие отлаженного правового и организационно-технического обеспечения законных интересов граждан, государства и общества в области кибербезопасности (в т. ч. в условиях применения СЭБ);
– высокая латентность[66] киберпреступлений и недостаточное осознание органами государственной власти на федеральном и особенно региональном уровне возможных политических, экономических, моральных и юридических последствий компьютерных преступлений;
– слабая координация действий правоохранительных органов, суда и прокуратуры в борьбе с киберпреступлениями, неподготовленность их кадрового состава к эффективному предупреждению, выявлению и расследованию таких действий;
– несовершенство системы единого учета правонарушений, совершаемых с использованием средств информатизации;
– отсутствие у Банка России подразделений по надзору за применением IoT-технологий в организациях кредитно-финансовой сферы (ОКФС) и обеспечением кибербезопасности;
– существенное отставание отечественной индустрии средств и технологий информатизации и кибербезопасности от мирового уровня;
– ограниченные возможности бюджетного финансирования научно-исследовательских и опытно-конструкторских работ по созданию правовой, организационной и технической баз кибербезопасности.
Безопасность всего пространства интернета вещей должна обеспечиваться еще на уровне создания архитектуры (тем более для ОКФС). Иными словами, необходимо выстроить защиту от любых вредоносных действий еще при разработке протоколов и устройств интернета вещей. Поэтому эффективные решения по безопасности должны быть найдены на этапе развертывания инфраструктуры банковских сервисов.
Учитывая тот факт, что кредитно-финансовая сфера становится одной из самых привлекательных для киберпреступников (о чем свидетельствует значительный рост числа киберпреступлений и целевых атак на банки), а также важность оптимизации финансовых решений в условиях интернета вещей, необходимо оперативно принять меры для обеспечения повышенного уровня кибербезопасности (особое внимание должно быть обращено на СЭБ). Ведь мир, где все соединено со всем и каждая вещь потенциально участвует в торговле, предоставляет огромные возможности не только банкам, но и киберпреступникам. Например, только за четвертый квартал 2015 г. в России со счетов клиентов кредитно-финансовых организаций были похищены денежные средства на сумму, превышающую 1,5 млрд руб.[67]
Пожалуй, единственный способ защитить все устройства, объединенные интернет-сетью, – это надежная защита единого центра управления интернетом вещей [91, c. 271].
Учитывая, что финансовый и банковский сектора наиболее восприимчивы к внедрению новейших достижений в области ИКТ, рассмотрим три основных направления совершенствования кибербезопасности в условиях применения СЭБ и интернета вещей (рис. 30).
По мнению авторов, это далеко не полный перечень мероприятий, которые следует реализовать в рамках обеспечения кибербезопасности в условиях применения интернета вещей. Ведь на практике каждое направление будет включать в себя гораздо больше задач. В перспективе нужно стремиться не только создать систему надзора в виртуальном пространстве, но и повысить культуру поведения в нем всех участников информационного обмена. Компании должны хорошо понимать, что за рекламой различных IoT-систем стоит их ответственность за качество предоставляемых услуг. Финансовым институтам необходимо использовать защищенные программные продукты для IoT-систем, иметь квалифицированный обслуживающий персонал, способный оперативно и грамотно реагировать на кибератаки, а также готовый всегда прийти на помощь клиентам, оказавшимся в трудной ситуации.
2.6. Типовые атаки на организации кредитно-финансовой сферы
– Как ты думаешь, в этом лесу есть что-нибудь съедобное?
– Да, – горько отозвался волшебник. – Мы.
Кредитные организации в соответствии с п. 3 ст. 27 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» [51] обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России и согласованными с федеральными органами исполнительной власти. Требования к обеспечению защиты информации при осуществлении переводов денежных средств установлены Положением Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» [21] (далее – Положение № 382-П).
65
Результаты мониторинга кибербезопасности кредитной организации рекомендовано оценивать не реже, чем раз в квартал. Такая периодичность обусловлена увеличением числа кибератак на системы финансовых организаций и ростом финансовых потерь клиентов из-за хакерских программ (Письмо Банка России от 24.03.2014 № 49-Т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности»).
66
Латентная киберпреступность представляет собой скрытую или незарегистрированную часть фактически совершенных преступлений. Латентная киберпреступность является серьезным криминогенным фактором, детерминирующим дальнейшее ее распространение.