Давайте разберемся в истинных причинах, стоящих за сопротивлением банков новому закону о значительных штрафах за утечки персональных данных клиентов.
Техническая возможность vs. Человеческий фактор
С точки зрения технологий, построить полностью защищенную систему, из которой невозможно извлечь конфиденциальную информацию, — задача сложная и дорогостоящая, но выполнимая. Однако главное препятствие лежит не в технической плоскости. Такая система создаст серьезные барьеры для определенных неформальных практик внутри банковского сектора, затрагивающих интересы некоторых высокопоставленных сотрудников. Именно поэтому они будут использовать все доступные рычаги, чтобы закон был отменен или, как минимум, его введение было максимально отсрочено.
Суть закона: цель, а не процесс
Чтобы понять корень конфликта, нужно различать два типа законодательных актов. Есть законы, которые устанавливают конкретные цели и требования к результату (например, Кодекс об административных правонарушениях, предписывающий штрафы за превышение скорости). И есть законы, которые регламентируют процедуры и процессы (например, Гражданский процессуальный кодекс, описывающий порядок подачи иска).
Обсуждаемый закон о защите данных относится к первому типу. Государству важен итог — отсутствие утечек, а не то, какими именно методами банк этого добивается. И в этой постановке вопроса кроется основная проблема для финансовых институтов.
Банк — это люди, а не абстракция
Забывая, что «банк» — это не монолит, а сложная совокупность людей, оборудования и процессов, мы упускаем суть. Ключевое слабое звено в любой системе безопасности — это сотрудники.
Показательный пример: многим знакомы ситуации, когда после отказа в кредите в одном банке, буквально в течение часа начинают поступать звонки от других кредитных организаций и МФО. Иногда интервал составляет считанные секунды. Это прямое свидетельство утечки персональных данных на самом высоком уровне, встроенной в бизнес-процессы. Здесь возможны два сценария:
В цепочке участвуют менеджер, продающий данные, разработчик, создавший канал утечки, и специалист по безопасности, который этот канал «не замечает».
Тот же сценарий, но без непосредственного участия менеджера, когда данные утекают через технические уязвимости.
Очевидно, что такая деятельность приносит кому-то доход, и эти люди не заинтересованы в изменениях, которые лишат их прибыли и могут привести к ответственности. Их сопротивление будет тихим, но системным.
Проблемы, которые вскроет новый закон
Государство, желая защитить данные граждан, ставит перед банками сложную цель. И вот с какими вызовами им предстоит столкнуться:
Нехватка компетентных управленцев. Для выполнения закона нужны не просто менеджеры, умеющие «ставить галочки», а руководители, способные достигать сложных технических целей. У многих банков таких кадров просто нет.
Конфликт с существующей структурой. Руководитель службы информационной безопасности (СИБ) должен занимать высшую позицию в управленческой иерархии. Если его назначат «со стороны», это вызовет волну проблем: такой специалист будет видеть реальное положение дел, не будет вовлечен во внутренние интриги, начнет настаивать на неудобных, но необходимых мерах и получит серьезные полномочия для проверок. Это может расшатать устоявшуюся систему управления.
Обратите внимание: Как банки проверяют кредитную историю.
Сложность организационных изменений. Потребуется полный аудит и перестройка процессов, что само по себе колоссальная задача:
- Многие процессы неформальны или выполняются «для галочки».
- Внедрение изменений требует управленческих навыков, которых может не хватать.
- Обучение персонала — отдельная сложная задача.
- Переход от поддержки старых процессов к созданию новых может сделать банк временно неработоспособным.
Технический разрыв. Безопасное приложение и обычное приложение — это две большие разницы. Большинство программистов учится создавать функциональные продукты, а не оборонять их от атак. Обеспечение безопасности требует иного мышления и навыков, которых на рынке катастрофически не хватает. Более того, безопасный код часто считается среди разработчиков «некрасивым» и избыточным.
Замедление разработки. Внедрение строгих мер безопасности замедляет процессы в 5-8 раз. То, что раньше делалось за неделю, теперь может занять полтора-два месяца. Для бизнеса, привыкшего к скорости, это серьезный удар.
Таким образом, для рядовых сотрудников новый закон — задача по переобучению, а для руководства IT-департаментов и топ-менеджмента — головная боль, требующая пересмотра всей модели работы.
Открытое признание проблемы
Цинизм ситуации в том, что банки сами признают свою неготовность. В своем обращении против закона они заявляют, что высокие штрафы не стимулируют к реальному улучшению безопасности, а лишь отвлекают средства, которые могли бы пойти на развитие ИБ, на оплату этих самых штрафов. Они прямо говорят, что утечки случаются и будут случаться, и предлагают оставить все как есть: банки делают вид, что защищают данные, а регулятор делает вид, что верит в эту защиту.
Это заявление — открытое признание некомпетентности высшего руководства в ключевом для банка вопросе — надежности. Их посыл прост: «Нам нравятся наши зарплаты и текущее положение дел, поэтому мы не хотим ничего менять».
P.S. Если тема интересна, в следующий раз можно подробнее рассказать о принципиальных отличиях систем, сконструированных с приоритетом на безопасность, от обычных.
Больше интересных статей здесь: Банки.
Источник статьи: Ответ на пост «Банки выступили против нового закона о штрафах за утечки данных».