Про що не можна мовчати

Тимур Хромаєв, Новое Время, 30 грудня 2016 року

http://biz.nv.ua/ukr/experts/chromayev/pro-shcho-ne-mozhna-movchati-387770.html

Вплив інформаційних технологій на фінансовий сектор колосальний, і з кожним роком він лише зростає.

Але також зростають і ризики, пов'язані з використанням технологій. Кібератаки на сервери фінансових установ стають все більш частими, а заподіяна шкода все більш відчутною.

Згідно статистики, значні атаки на об'єкти інфраструктури фінансового сектора відбуваються практично кожні два-три місяці. До того ж, за даними Symantec, 3 з 5 кібератак є успішними, що говорить про глобальну нездатність ефективно протидіяти їм.

З огляду на світову практику, під приціл хакерів найчастіше потрапляють банки й системи платежів. Влітку хакери з Anonymous атакували сайти найбільших світових фінансових установ, раніше були здійснені спроби злому серверів фондових бірж Нью-Йорка і Лондона.

Що стосується атак на банківські об'єкти, один з найбільш обговорюваних інцидентів - неодноразовий злом системи фінансових телекомунікацій SWIFT. У відповідь на кіберзагрози SWIFT вимагає від банків посилити локальні системи безпеки. В майбутньому SWIFT має намір жорстко контролювати разом з регуляторами дотримання банками стандартів безпеки при проведенні платежів в системі.

Причини, з яких фінансовий сектор потрапляє під приціл хакерів, цілком очевидні - йдеться про мільярдні потоки. Саме тому безпека інформації, інформаційних систем є одним з головних питань, яке стоїть на порядку денному.

В Україні за останні роки також відзначалися неодноразові прецеденти втручання в роботу банківських систем. З публічно відомих фактів - найбільш часто відбувалися DDoS-атаки на сервери Приватбанку. Зовсім недавно був здійснений злом серверів Міністерства фінансів і Держказначейства, їх сайти не працювали дві доби. В результаті атаки відомства втратили 3 терабайта інформації.

За останні два роки недосконала технологічна база небанківського фінансового сектора також зазнала істотних втрат. Були зафіксовані неодноразові блек-аути фондових бірж, депозитарних установ, Центрального депозитарію. У грудні практично на тиждень зупинила торги одна з найбільших фондових бірж - ПФТС. Раніше «технічні проблеми» виникали й у інших бірж.

На жаль, в Україні в більшості випадків компанії не охоче визнають факт злому інформаційних систем. Реальні наслідки втручання не розголошуються, тому ми про них можемо лише здогадуватись. Крім порушення стабільної роботи об'єктів інфраструктури ринку капіталу могло статися втручання в торгову або облікову систему, можливо, зміна або видалення облікових даних, можливо крадіжка цінних паперів і т. і.

Замовчування цих фактів не допоможе вирішити проблему. Як мінімум, це безвідповідальне ставлення по відношенню до ринку, колег, клієнтів. Щоб вирішити проблему, яка завтра торкнеться кожного, потрібно спільними зусиллями реалізовувати комплекс заходів щодо захисту інформації, орієнтуючись насамперед на міжнародні стандарти в цій сфері.

Безумовно, і у регулятора ринку відсутні необхідні технологічні можливості. Ми усвідомлюємо рівень проблеми і працюємо над її вирішенням, над пошуком фінансування для розробки системи інформаційної безпеки відповідно до міжнародних стандартів, в тому числі стандарту в сфері захисту даних ISO/IEC 27001. На впровадження таких стандартів зазвичай витрачаються роки.

Ми в цьому році в Комісії впровадили Систему електронного документообігу (СЕД) та почали розбудовувати комплексну систему захисту інформації в рамках СЕД. У наступному році ми розширимо сферу застосування заходів із захисту інформації. Плануємо запустити в першому кварталі новий сайт регулятора, який в майбутньому стане платформою для надання он-лайн адміністративних послуг для учасників ринку капіталу через захищені канали.

Але для комплексного вирішення проблеми необхідно повернутися до питання скрупульозної оцінки та аналізу фактів хакерських атак, які мали місце, щоб виробити план заходів, які унеможливлять повторення цих атак.

Хотілося б, щоб рух в цьому напрямку для всіх учасників ринку і регулятора, в тому числі, був «не роботою над помилками», а дією на випередження. Тому що ціна нехтування цим питанням дуже висока – ігнорування проблеми призводить до мільярдних втрат.