Центральный Банк Российской Федерации и современные вызовы
Интервью о банковской безопасности
Эксперт по информационной безопасности Александр Зубриков из компании ITGLOBAL.COM в интервью порталу COMNEWS поделился анализом трансформации законодательной базы и практик ИБ в банковском секторе за последние годы. Он отметил, что динамичное развитие технологий часто опережает появление новых ГОСТов и нормативных положений, что создает напряженность между финансовыми институтами и регуляторами.
Долгое время многие банки подходили к вопросам информационной безопасности формально, уделяя им минимум внимания и ресурсов. Ситуация резко изменилась с введением запрета на проведение внутреннего аудита собственными силами. Это требование обнажило глубокие системные проблемы, копившиеся годами. Ряд финансовых организаций столкнулся с невозможностью выполнить не только предписания Центробанка, но и свои же внутренние регламенты. В этой сложной ситуации некоторые аудиторские компании предложили банкам дистанционный аудит, обещая разобраться в инфраструктуре без выезда на место, хотя на практике такая оценка далеко не всегда может быть полноценной и объективной.
ГОСТ Р 57580 и Docker: правовая неопределенность
Показательный пример правового отставания — ситуация с одним из прогрессивных стандартов, ГОСТ Р 57580. Этот документ детально регламентирует использование виртуальных машин, но полностью обходит вниманием контейнеризацию, в частности, технологии вроде Docker. Это порождает закономерный вопрос: как аудиторам оценивать безопасность контейнерных сред?
Для прояснения позиции регулятора был направлен запрос в Центробанк. Ответ оказался неоднозначным: ЦБ приравнял Docker-контейнеры к виртуальным машинам в контексте требований информационной безопасности. Такой подход, однако, создает новые сложности в интерпретации. Например, если стандарт требует контроля доступа к гипервизору, то какой компонент в архитектуре Docker следует считать аналогичным? Неявно это может означать необходимость запуска каждого контейнера на изолированном физическом хосте, но четких указаний нет. Подобная неопределенность приводит к тому, что оценка безопасности контейнеров становится субъективной и зависит от личного опыта и мнения конкретного аудитора. В долгосрочной перспективе такой подход ставит под вопрос единообразие и объективность проверок.
Ранее был проведен вебинар, посвященный практическим аспектам подготовки к оценке соответствия ГОСТ Р 57580. Запись доступна по ссылке.
Цифровизация банков: новые возможности и новые угрозы
Недавняя презентация «Сбербанка» заставила многих переосмыслить саму суть современного банка. Если еще несколько лет назад такие структуры, как «Тинькофф», критиковали за «паразитическую» модель работы (использование чужих банкоматных сетей), то сегодня их называют флагманами цифровой трансформации. Что изменилось? Современный банк все больше напоминает ИТ-компанию, а его физические отделения и очереди уходят в прошлое. Границы между банковским сектором, ИТ-индустрией, ритейлом и финтехом стремительно размываются, что диктуется требованиями времени и возможностями масштабирования.
Казалось бы, эволюция линейна: банк закрывает офисы, разрабатывает мобильное приложение с полным набором услуг. Однако на практике цифровая трансформация приносит не только удобства, но и серьезные вызовы в сфере информационной безопасности. Перенимая бизнес-модели и технологии ИТ-компаний, банки наследуют и их уязвимости. Подробнее о том, как финансовым организациям противостоять новым киберугрозам в эпоху цифровизации, рассказано в недавней публикации корпоративного блога.