11 листопада, 2021

Як зробити банкінг кібербезпечним? Так само, як стати щасливим

10 листопада представники ISSP взяли участь у Міжнародній конференції «EVOLUTION OF DIGITAL BANKING - Ключ доступу до фінансових послуг», що була організована Міжнародним фінансовим клубом «Банкиръ». Представники банків і фінансових організацій обговорювали як змінюється банківський ринок, можливості мобільного та інтернет-банкінгу, питання автоматизації та управління бізнес-процесами, а також захист інформації та кіберзахист у банках та фінансових компаніях.

У процесі того, як банкінг стає все більш цифровим, зростають і ризики з точки зору безпеки. Як зробити банкінг кібербезпечним, щоб і клієнти не боялися за свої кошти і персональні дані, і самі банки були впевненими, що їхні сервіси надійно захищені? Відповідаючи на це запитання, Артем Михайлов, директор з корпоративних рішень ISSP, розповів, що кібербезпека - це процес, і найважливіше завдання – почати його.

- Як зробити банкінг кібербезпечним? Це питання дуже нагадує мені інше питання: як стати щасливим? - говорить Артем Михайлов. – Чи є проста відповідь на нього? Сформулювати її досить нескладно: потрібна ціль, сім’я, здоров’я, подорожі, покликання, гроші, можливо, ще щось… і тоді ти будеш щасливим. Але збудувати сім’ю, поставити собі життєву ціль і досягати її – це все процеси, які разом складають довгий життєвий шлях. І кібербезпека теж схожа на такий довгий життєвий шлях. Тому що безпека – це процес. І щоб досягти кінцевої мети, щоб зробити банкінг кібербезпечним, важливо цей процес починати, не зважаючи на розмір організації. Кажуть, що кібербезпека – це дорого. Певною мірою, так, але починати треба і можна з малого, з критично необхідного, з того, де найбільші ризики. І сьогодні навіть для малого і середнього бізнесу, для середніх банків вже є доступні рішення.

Артем Михайлов наголосив, що гроші й технології – не найбільша проблема в питанні забезпечення кібербезпеки будь-якої організації. В першу чергу, потрібно привернути увагу вищого керівництва до цього напрямку. Тому що коли в результаті кібератаки станеться великий витік даних, крадіжка коштів чи зупинка роботи, це буде проблема не директора відділу ІТ чи інформаційної безпеки, а генерального менеджменту.

- Тому, щоб зробити банк кібербезпечним, потрібно починати цей процес незалежно від того, великий ви банк чи фінансова організація середнього розміру. І щоб цим переймалося вище керівництво, - підкреслив Артем Михайлов.

Руслан Соловйов, директор департаменту консалтингу та інтеграцій ISSP, розповів про вимоги безпеки, ризики та рекомендації, пов’язані з використанням платіжної системи SWIFT. Спираючись на багаторічний досвід проведення аудитів безпеки, Руслан поділився типовими помилками, які допускають банки та фінансові організації й надав ряд рекомендацій.

- Перша проблема – халатне ставлення до кібербезпеки, і як наслідок – низька компетентність персоналу, який відповідає за безпеку інформаційних систем, - говорить Руслан Соловйов. - Інша проблема – надмірна самовпевненість. Діджиталізація стрімко рухається вперед, а працівники часто думають, що все знають і вміють, хоча останній раз вчилися 10 років тому. Але ж атаки за останній час сильно змінилися. І знання й навички працівників теж необхідно постійно оновлювати.

 

Однією з найважливіших рекомендацій для забезпечення високого рівня кібербезпеки Руслан назвав використання систем моніторингу за станом інформаційних систем. Хакери можуть перебувати всередині мережі до шести місяців, проводячи розвідку, шукаючи потрібні їм активи, перш ніж відбудеться викрадення чи порушення роботи систем. Тому постійний моніторинг дозволить виявити їх до того, як вони завдадуть непоправної шкоди організації.

- Інший цінний інструмент – проведення аудиту кібербезпеки, - наголосив Руслан Соловйов. – Він дозволить виявити вразливості й загрози, які можуть з’явитися після впровадження нових технологій, додатків або процесів, а також зрозуміти, наскільки ефективно загалом використовуються кошти, що виділяються на інформаційну безпеку. Чи є надмірні витрати в одних сферах і недостатнє фінансування, що спричиняє появу критичних загроз, в інших.