ПЛАС: На XI Уральском форуме «Информационная безопасность финансовой сферы» зампред ЦБ Василий Поздышев заявил, что о регулировании в области информационной безопасности банков в мире задумались только пять лет назад, до того внимание уделялось лишь бизнес-процессам. Почему на эту проблему так долго не обращали внимание?
А. Курило: Вопросами обеспечения информационной безопасности (ранее монопольно использовался термин «защита информации») специалисты занимаются с момента появления первого технического средства передачи и обработки информации, то есть очень давно. А ощущение того, что вопросы информационной безопасности связаны и влияют на качество бизнес-процессов и наоборот, действительно пришло примерно 5–8 лет назад. Некоторый толчок к работе в этом направлении дал вирус Stuxnet. Он был совместно разработан американскими и израильскими спецслужбами и использован в 2010 году для того, чтобы нанести ущерб иранской ядерной программе. Считается, что этот вирус нарушил работу свыше 1000 центрифуг для обогащения урана, то есть он выполнял не шпионскую, а диверсионную функцию.
После этого во всем мире начали прикидывать, какое количество технологий и процессов зависит от компьютеров, и не находятся ли они все потенциально под угрозой. В том числе об этом задумались и банки, включая крупнейшие в мире. Банки провели ревизию своего программного обеспечения и обнаружили, что у них далеко не все гладко, потому что уже появились такие угрозы, на которые их системы изначально просто не были рассчитаны.
Если детализировать вопросы банков по информационной безопасности, то сейчас все большую озабоченность вызывает задача обеспечения устойчивости деятельности организации в условиях воздействия на ее телекоммуникационную инфраструктуру. Как отмечал на Уральском форуме 2019 Артем Сычев (первый замдиректора Департамента информационной безопасности Банка России. – Ред.), эта проблема называется киберустойчивость, т. е. способность системы функционировать в условиях атаки на нее. Стало понятным, что, во-первых, систему надо правильно построить, чтобы она отражала известные угрозы. А во-вторых, надо понять, правильно ли она эти угрозы отражает. Потому что построить систему кибербезопасности – это одно, а поддерживать ее эффективность во время всего срока эксплуатации – совсем другое. Сегодня Банк России считает необходимым ввести регулярное тестирование банковских систем информационной безопасности. Если оно будет правильно выстроено, то это поможет банкам самим понять, насколько эффективно работают их системы отражения атак и насколько качественно они поддерживают уровень безопасности внутри системы.