О безопасности ДБО. По следам iFin-2021
Форум «Электронные финансовые услуги и технологии» (iFin-2021) мог бы стать одной из центральных площадок для обсуждения вопросов кибербезопасности информационной и транзакционной среды отечественной финансово-кредитной сферы.
Здесь собирается костяк отечественных разработчиков банковский приложений, которым не могут быть неведомы «скелеты в шкафах» выстроенной ИТ-инфраструктуры банков и процессов построения этой инфраструктуры.
Однако формат внимания к проблематике информационной и кибербезопасности на iFin-2021 был выдержан в консервативном стиле соблюдения ИБ-приличий – на прямое обсуждение вопросов кибербезопасности ДБО и антифроду в дистанционных каналах обслуживания было выделено всего лишь два часа на одной из сессий. А вот дискуссия по вопросам т.н. «импортозамещения», которая разгорелась лишь под занавес Круглого стола «Новые вызовы для электронного банкинга в 2021 году», благополучно затухла в связи с естественными причинами исчерпания временного лимита и, похоже, глубинным неприятием экспертов скользкой темы и их фатализмом насреддиновского толка.
Основная масса докладов вендоров и руководителей банковских проектов по цифровой трансформации дистанцирования клиентов банков не содержала анализа вопросов безопасности. А ведь в этой сфере есть серьёзные проблемы даже в приложениях, ставших привычными! Так компания Digital Security представила на форуме тревожный доклад об уязвимостях систем эквайринга, который наряду с уже набившей оскомину темой уязвимости банкоматов рисует неприглядную картину состояния кибербезопасности «классических» платёжных систем.
Однако в воздухе мероприятия витал дух неудовлетворённости сложившейся ситуацией и желание усилить внимание гостей iFin к вопросам безопасности новых банковских продуктов, технологий их создания и предоставления услуг клиентам. И, что важнее, желание ситуацию переломить.
Директор департамента систем безопасности BSS в ходе своего выступления (доклад «Новые комбинированные виды атак на банковские приложения. DDoS как ввод в заблуждение») анонсировал намерение своей компании собрать банковских «безопасников» для обсуждения назревших вопросов, связанных с переходом цифровых клиентских платформ банков на микросервисную архитектуру и т.н. «инхаусные» технологии разработки. И те, и другие могут иметь свои особенности в разных банках, но должны соответствовать единым требованием регуляторов. Об этих единых требованиях напомнили гостям форума доклады «Экспертная оценка систем ДБО в соответствии с новыми требованиями» (НПО «Эшелон»), «Как не сесть на мель, или грамотное управление ресурсами при оценке соответствия новым требованиям ЦБ» («Интерком»).
Вполне предсказуемо на форуме была затронута тема безопасности СБП, жаль лишь, что по этой теме были представлены только «частные» взгляды – «Антифрод СБП на основе FraudWall: опыт эксплуатации в банках» (компания «Фродекс») и «Маркирование операций для СБП или что такое «Правило ОПКЦ СБП»» (Cybertonica).
А ведь «Первый триллион пройден – СБП набирает обороты», как сообщил форуму Банк России в докладе Управления развития и регулирования национальной платёжной системы. И было бы уместно, наряду с миллионами пользователей и триллионом переведённых сумм, поделиться и анализом достижений и проблем в сфере обеспечения безопасности новой социально ориентированной технологии перевода денежных средств. Вкупе, кстати, с обсуждением возможной актуализации «дорожной карты» внедрения технологии СБП в банках. Андрей Федорец, генеральный директор АйДиСистемс, оценил в десятки миллионов рублей потенциальные затраты банков с универсальной лицензий для внедрения СБП согласно нынешним требованиям регулятора. Но никто не оценил (или не решился озвучить) потенциальные угрозы информационной и кибербезопасности на этом пути.
BIS Journal – информационный партнер IFin-2021.
