Понедельник, 10 декабря 2018
Menu

Кибербезопасность в Казахстане: со щитом, на щите или без щита?

cuberzВесь цивилизованный мир определил киберриски, как основную опасность для бизнеса в следующем году. Готов ли финансовый сектор Казахстана встретиться лицом к лицу с этой угрозой?

В древней Спарте напутствие воинам перед битвой было простым: со щитом или на щите. Это означало: победить или погибнуть. Если провести аналогию к современным реалиям и битвой назвать существующее и будущее противостояние цифровой цивилизации и киберпреступников, то в случае казахстанского финансового сектора, который еще пока не ознаменовался громкими киберинцидентами, древний призыв, скорее всего, придется трансформировать: со щитом, на щите или без щита. Не трудно догадаться, что последнее добавление означает позорное бегство с поля боя…

Киберщит нас защитит!
27 ноября 2018 года пресс-служба Национального Банка Казахстана проинформировала о принятии постановления Правления Национального Банка от 29 октября 2018 года № 281 «Об утверждении Стратегии кибербезопасности финансового сектора Республики Казахстан на 2018-2022 годы. Как сообщил регулятор финансового рынка, Стратегия разработана в соответствии с положениями Концепции кибербезопасности («Киберщит Казахстан»), утвержденной постановлением Правительства Республики Казахстан от 30 июня 2017 года № 407 и описывает комплекс целей, задач и мероприятий, достижение, решение и реализация которых позволит обеспечить создание эффективно функционирующей системы обеспечения кибербезопасности финансового сектора Республики Казахстан.

Также регулятор выражает уверенность, что в результате реализации Стратегии будет сформирован механизм оперативного информирования и реагирования на киберугрозы в финансовом секторе страны, когда, в зависимости от степени угрозы, будут задействованы как субъекты финансового сектора, так и силы уполномоченных государственных органов, в том числе правоохранительных и специальных.

Душераздирающее зрелище

Именно эта оценка всем известного персонажа, вынесенная в подзаголовок, вспоминается специалистам по кибербезопасности при прочтении Стратегии, которая опубликована на сайте регулятора финансового рынка. Международная киберпреступность крепнет с каждым днем, а у нас по мнению регулятора, прямая цитата: «нормативное правовое обеспечение в вопросах кибербезопасности финансового сектора Республики Казахстан существенно отстает от потребностей текущего дня. Использование риск-ориентированного подхода в качестве основы при функционировании системы обеспечения кибербезопасности осуществляется фрагментарно». Или, если говорить простым языком и представить картину полностью, то законодательная база устарела, понимания и согласованной позиции между различными государственными институтами по вопросу как с этим бороться нет, народ безграмотный, мер воздействия у Нацбанка не хватает, лишних денег нет ни у кого, а Концепция «Киберщит Казахстана», на основе которой разработана Стратегия, требует во что бы то ни стало киберзащиту организовать.

По факту, ничего кроме создания центра мониторинга и реагирования делать не предполагается. «Обеспечить, организовать, разработать программы» - это не в счет. И, как полагают специалисты по киберзащите, добавление к 53 указанным нормативным актам ещё десятка ведомственных постановлений киберзащиту не укрепит.

Судя по документу, Нацбанк пока отстоял свои права регулятора в противостоянии с Министерством оборонной и аэрокосмической промышленности (МОАП), которое очень хочет забрать себе права и полномочия в вопросах кибербезопасности, через включение банков второго уровня в список критичных объектов. Для финансового рынка это хорошо.

Нацбанк берется сам выполнить все требования в части построения SOC (Security Operations Center) – центра мониторинга информационной безопасности. Для этого всем игрокам финансового рынка необходимо прежде создать свои центры, что потребует создания системы обнаружения и анализа, модели угроз, сценариев реагирования, службы реагирования, разработки или закупки программного обеспечения для самого центра и большого объема «железа». Знающие люди, знакомые с ситуацией в ИТ, скажут вам, что это будет связано с очень приличными капвложениями и 2-3 годами упорного труда высококвалифицированных специалистов. У банков денег на такую инфраструктуру нет, у страховщиков и подавно. А с учетом поставленной цели (одной из), которая звучит так: «выработка дополнительных мер воздействия за невыполнение», финансовому сектору ничего хорошего ждать не приходится… Это плохо.

Может вскладчину?

Перспектива финансовых и временных затрат на создание «финансового киберщита», скорее всего, не воодушевляет никого. Надо придумывать что-то централизованное или стандартное, чтобы сэкономить. Для начала нужно перекрыть основные пути доступа к информации для киберпреступников. Основных путей всего два.

Прежде всего, основные «лазейки» для киберпреступников реализуются через программное обеспечение. Поэтому необходимо проверить разработчиков софта на соответствие требованиям безопасности. С иностранными производителями софта этот вопрос решить тяжело, с местными тоже будут проблемы. Хотя лицензирует их продукты на рынке государство, почему не может выставить необходимые требования? Перечень всего ПО, используемого участниками финансового сектора и перечень его производителей, у Нацбанка есть, можно проверить хотя бы на соответствие безопасности.

Вторая проблема – это человеческий фактор, точнее говоря, безграмотность сотрудников компаний в отношении видов киберрисков и методов их предотвращения. Понятно, что каждая компания должна самостоятельно нести ответственность за деятельность своего персонала, но если проблема приобретает масштабы национальной, то ликвидация кибербезграмотности населения должна решаться государством на БЕЗВОЗМЕЗДНОЙ основе.

Нацбанк в Стратегии упоминает информационный ресурс «Fingramota.kz», который создан для устранения пробелов в области финансовой грамотности населения. Но, на этом ресурсе нет информации относительно киберрисков, с которыми могут столкнуться как потребители финансовых услуг, так и их производители. В Казахстане нет ни одного общедоступного государственного ресурса с обучающими материалами по информационной безопасности. Кто мешает создать? Кто мешает разработать тестовые программы? Проводить конкурсы для взрослых и олимпиады для школьников по вопросам информационной безопасности? А вот потом можно и спросить, почему ты не прошел обучение, которое тебе предоставило государство.

Одним словом, принцип, который должен быть заложен в основу борьбы с киберрисками и киберпреступностью – «предупредить проще, чем ликвидировать последствия». Страховщики, по роду своей деятельности, прекрасно понимают, что превентивные мероприятия обходятся всем гораздо дешевле, чем устранение последствий. Но все ли думают так же, как страховщики?

Не читайте на ночь и перед едой

Если весь мир сходит с ума перед лицом киберугроз, то в Казахстане эта тема еще по-настоящему никого «не зацепила». И, судя по предложенной Стратегии, можно полагать, что для казахстанских чиновников «суета» вокруг киберрисков слишком преувеличена. Вместо послесловия приведены некоторые выдержки из Стратегии, которые наводят только на грустные мысли...

«Стратегия направлена в первую очередь на построение в рамках системы обеспечения кибербезопасности информационного обмена между участниками. Основной целью Стратегии является создание условий для безопасного предоставления финансовых услуг, что необходимо для обеспечения стабильного функционирования и развития финансового сектора.»

«В целом, в виду отсутствия на государственном уровне утвержденных стандартов, требований и порядков по обеспечению кибербезопасности, реализация мер и контроля по защите производится исходя из опыта отдельных работников и возможностей, заложенных разработчиками информационных систем, программного и аппаратного обеспечения.»

«Современное состояние правового обеспечения противодействия киберпреступлениям также характеризуется недостаточной согласованностью используемых правовых механизмов, фрагментарностью деятельности субъектов законодательной инициативы по их развитию и совершенствованию, недостаточной эффективностью, противоречивостью правовых норм, несовершенством правовой статистики.»

«Эффективный мониторинг поможет финансовым организациям удерживать риски кибербезопасности на необходимом уровне, своевременно совершенствовать и устранять недостатки существующих механизмов контроля. Проведение проверок финансовых организаций, сравнительный анализ результатов таких проверок, совместные учения с государственными органами и другие механизмы контроля позволят лучше понимать существующие киберугрозы и уязвимости в масштабе всего финансового сектора.»

«Основными рисками успешной реализации Стратегии являются:
- недостаточность ресурсов – неправильное планирование необходимых для реализации Стратегии ресурсов, а также внешние факторы, влияющие на доступность необходимых ресурсов;
- слабое вовлечение первых руководителей организаций – отсутствие необходимой поддержки высшего руководства при реализации поставленных Стратегией задач;
- отсутствие консенсуса в вопросах регулирования кибербезопасности – отличие подходов к определению необходимых мер и средств обеспечения кибербезопасности на государственном и отраслевом уровне;
- отсутствие нормативной правовой базы в области кибербезопасности на национальном уровне - устаревшая нормативная правовая база, не адаптированная к существующим современным технологиям и преступлениям с их использованием.»

Марина Шиповалова, главный редактор портала Allinsurance.kz

Читайте также...

  • 1
  • 2
  • 3
Пред След

Обязательное соцстрахование в Казахстане повышает мотивацию к труду

07-12-2018 Просмотров:621

Обязательное соцстрахование в Казахстане повышает мотивацию к труду

До вступления в силу обновленного Закона «Об обязательном социальном страховании» есть чуть...

Осторожно, мошенники: растущий рынок страхования РК привлекает недобросовестных «посредников»

07-12-2018 Просмотров:637

Осторожно, мошенники: растущий рынок страхования РК привлекает недобросовестных «посредников»

Объём страховых премий за 10 месяцев составил уже 317,7 млрд тг —...

Moody's дает стабильный прогноз для рынка страхования жизни в течение…

07-12-2018 Просмотров:63

Moody's дает стабильный прогноз для рынка страхования жизни в течение следующих 12-18 месяцев

Перспективы глобального сектора страхования жизни стабильны, что поддерживается благоприятным экономическим циклом и...

Изменение закона об агростраховании с господдержкой в РФ не приведет…

07-12-2018 Просмотров:69

Изменение закона об агростраховании с господдержкой в РФ не приведет к существенному росту тарифов по мультирисковым полисам - НСА

  Госдума в четверг приняла во втором чтении правительственные поправки в законодательство о...

GDPR - благо или наказание?

06-12-2018 Просмотров:64

GDPR - благо или наказание?

Страхование основано на данных и, в последнее время, защита  данных - это...

Законодатели ЕС нацелены ограничить недобросовестную деловую практику крупных технологичных …

06-12-2018 Просмотров:43

Законодатели ЕС нацелены ограничить недобросовестную деловую практику крупных технологичных  компаний

Законодатели ЕС договорились о более жесткой позиции против технологичных гигантов, таких, как...

Проблема эквивалентности для британских страховщиков после Brexit не решена: LMG

06-12-2018 Просмотров:39

Проблема эквивалентности для британских страховщиков после Brexit не решена: LMG

London Market Group, объединяющая страховые, перестраховочные, брокерские и андеррайтинговые сообщества Лондона, призвала...

Интересные зарубежные страховые решения ноября

06-12-2018 Просмотров:74

Интересные зарубежные страховые решения ноября

Аналитическое агентство «Смыслография» представляет читателям АСН три самых интересных зарубежных страховых решения,...

Госдума РФ во II чтении приняла проект о совершенствовании системы…

06-12-2018 Просмотров:97

Госдума РФ во II чтении приняла проект о совершенствовании системы агрострахования

Госдума приняла во втором чтении законопроект о совершенствовании в России системы сельскохозяйственного...

Нацкомфинуслуг Украины намерена в 2019 г пересмотреть требования к перестрахованию

06-12-2018 Просмотров:87

Нацкомфинуслуг Украины намерена в 2019 г пересмотреть требования к перестрахованию

Национальная комиссия по регулированию рынков финансовых услуг (Нацкомфинуслуг) Украины намерена в 2019...

Горнолыжный сезон 2018-2019: как страховым компаниям сократить убытки?

06-12-2018 Просмотров:60

Горнолыжный сезон 2018-2019: как страховым компаниям сократить убытки?

Отдел развития сети провайдеров компании Balt Assistance Ltd. завершает этап подготовки к...

Сколько денег отдали казахстанцы в Фонд обязательного медстрахования?

06-12-2018 Просмотров:864

Сколько денег отдали казахстанцы в Фонд обязательного медстрахования?

Общая сумма отчислений с 1 июля 2017 года "перевалила" за 100 млрд...

Экспертное мнение: Для приватизации ГАК нужно подобрать правильное время

06-12-2018 Просмотров:870

Экспертное мнение: Для приватизации ГАК нужно подобрать правильное время

Для приватизации Государственной аннуитетной компании (ГАК) нужно подобрать правильное время, ключевым фактором...

Размер соцпособий планируют повысить в Казахстане

06-12-2018 Просмотров:873

Размер соцпособий планируют повысить в Казахстане

Государственный фонд социального страхования РК разработал проект закона, который позволит повысить размер...

Плюсы и минусы роста платформ онлайн-страхования: Женевская ассоциация

06-12-2018 Просмотров:74

Плюсы и минусы роста платформ онлайн-страхования: Женевская ассоциация

Онлайн-платформы могут способствовать прозрачности страхового рынка и уменьшать как транзакционные издержки, так...

Fitch подтвердило рейтинг страховщика Standard Life на уровне «B»

06-12-2018 Просмотров:41

Международное рейтинговое агентство Fitch Ratings подтвердило рейтинг финансовой устойчивости (IFS) казахстанского страховщика...

Индекс климатического риска обозначил богатые и бедные страны, которым угрожают…

05-12-2018 Просмотров:64

Индекс климатического риска обозначил богатые и бедные страны, которым угрожают разрушительные штормы

Разрушения, вызванные сильными штормами, представляют собой растущую угрозу, как для бедных, так...

Объем выплат из компенсационного фонда РСА по обязательствам страховщиков ОСАГО,…

05-12-2018 Просмотров:79

Объем выплат из компенсационного фонда РСА по обязательствам страховщиков ОСАГО, покинувших рынок в 2018 г. будет рекордным

Объем выплат из компенсационного фонда Российского союза автостраховщиков (РСА) в 2018 году...

Закон об ОСАГО в Кыргызстане вступит в силу в феврале…

05-12-2018 Просмотров:105

Закон об ОСАГО в Кыргызстане вступит в силу в феврале следующего года

Госслужба регулирования и надзора за финансовым рынком (Госфиннадзор) разработала тарифы по обязательному...

Рынок недвижимости Центральной и Восточной Европы: спрос на титульное страхование…

05-12-2018 Просмотров:88

Рынок недвижимости Центральной и Восточной Европы: спрос на титульное страхование растет

"Спустя 15 лет после внедрения титульного страхования роль стаховщиков по данному виду...

Объем альтернативного капитала для пиковых рисков будет расти: Swiss Re

05-12-2018 Просмотров:101

Объем альтернативного капитала для пиковых рисков будет расти: Swiss Re

Альтернативный капитал (AК) оказался надежным источником перестраховочной емкости в течение активного сезона...

В последние годы рост продолжительности жизни замедлился в ряде развитых…

05-12-2018 Просмотров:87

В последние годы рост продолжительности жизни замедлился в ряде развитых стран, что скажется на отрасли страхования жизни: Swiss Re

Более ранний диагноз болезни и более эффективная политика общественного здравоохранения могут способствовать...

Страховщики Гонконга запускают базу данных на основе искусственного интеллекта для…

05-12-2018 Просмотров:86

Страховщики Гонконга запускают базу данных на основе искусственного интеллекта для борьбы с мошенничеством

Гонконгская федерация страховщиков (HKFI) запустила базу данных предотвращения страхового мошенничества (Fraud Prevention...

Казахстанским страховщикам придется продаваться с приходом на рынок иностранных игроков

05-12-2018 Просмотров:128

Казахстанским страховщикам придется продаваться с приходом на рынок иностранных игроков

У казахстанских страховщиков нет конкурентных преимуществ, которые отпугнут иностранных игроков, поэтому им...