Особенности информационной безопасности в кредитно-финансовой сфере



В статье рассматриваются некоторые особенности информационной безопасности в кредитно-финансовой сфере. Раскрываются основные понятия, принципы, методики обеспечения информационной защиты в финансовом секторе. Проанализированы новые концепции и программы, направленные на информационную безопасность в кредитно-финансовой сфере.

Ключевые слова: информационная безопасность, банковская сфера, технологии, кибератаки, угрозы, цифровизация.

The article examines some of the features of information security in the financial sector. The basic concepts, principles, methods of ensuring information security in the financial sector are revealed. Analyzed new concepts and programs aimed at information security in the financial sector.

Keywords: information security, financial sector, technologies, cyberattacks, threats, digitalization.

Четвертая промышленная революция дала миру не только новые цифровые и информационные технологии, обеспечивающие удобство и рост предоставляемых услуг, но и новые угрозы безопасности в кредитно-финансовой сфере, способных подорвать всю существующую финансовую систему. Так, в рейтинге глобальных рисков Всемирного экономического форума (ВЭФ) проблема киберпреступности находится в числе первой пятерки [1]. Международное сообщество все чаще отмечает, что кибератаки и информационные преступления в финансовой среде также опасны, как и терроризм и экологические проблемы. Термин «информационная война» затронул и финансовую сферу, последствиями такого явления, как отмечают исследователи, могут стать от получения выгоды для определенного субъекта до дестабилизации государственной финансовой структуры [2, С.387]. В связи с этим возрастает роль правил и концепций информационной безопасности. Тема исследования в век информационных технологий является одной из самых актуальных и обсуждаемых. Многие страны разрабатывают новые инструменты снижения угроз безопасности финансовых рынков, в том числе и Россия не отстает по развитию данного направления.

Необходимо отметить, что теория информационной безопасности относительно новое направление, но достаточно быстро развивающееся. Уже выработаны: понятийный аппарат, принципы, правила, методы, определенные особенности противодействия информационным угрозам. В рамках изучения данной темы необходимо уяснение такого основного термина, как «информационная безопасность». Согласно Указу Президента РФ от 05.12.2016 № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации» [3] (далее -Доктрина информационной безопасности) информационная безопасность — это такое состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства. Следует отметить, что данное определение сформировано в соответствии с широким подходом. Относительно финансовой сферы понятие информационной безопасности легально не закреплено. Информационная безопасность в кредитно-финансовой сфере — это также состояние защищенности большого круга субъектов, носителей финансовых прав и обязанностей. Такая безопасность может распространяться на: государство (специальные управомоченные финансовые органы), муниципальные образования, различные организации, в том числе международные, учреждения, а также граждан. Информационную безопасность в кредитно-финансовой сфере обеспечивает система защиты информации в финансовой сфере, которая трактуется как «совокупность мер защиты информации, применение которых направлено на непосредственное обеспечение защиты информации, процессов применения указанных мер защиты информации, ресурсного и организационного обеспечения, необходимого для применения указанных мер защиты информации» [4]. Меры в данной сфере классифицируются на организационные и технические. К техническим относят такие меры, которые реализуются с помощью применения аппаратно-программных средств и систем, к организационным мерам — остальные меры, которые предусматривают установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условиях использования и режимы работы объекта информатизации и (или) иных связанных с ним объектов.

Проанализировав некоторые системы защиты информации финансовых организаций, можем выделить основные принципы информационной безопасности в кредитно-финансовой сфере: 1) законность и обоснованность; 2) системность; 3) комплексность; 4) непрерывность; 5) разумная достаточность; 6) гибкость; 7) открытость алгоритмов и систем защиты; 8) простота применения средств защиты.

Одним из главных субъектов, разрабатывающих концепции информационной безопасности в кредитно-финансовой сфере, является Банк России. Деятельность Банка России в данной сфере распространяется на многие субъекты, к которым относят: 1) кредитные организации, осуществляющие банковские операции; 2) финансовые организации, осуществляющие финансовые операции в соответствии со статьей 76.1 Федерального закона от 10.07.2002 № 86‑ФЗ «О Центральном банке Российской Федерации (Банке России)» [5]; 3) субъекты национальной платежной системы при проведении переводов денежных средств; 4) инновационные финансовые технологии.

За последние годы Банк России, анализируя зарубежный опыт, выработал ряд важных шагов, которые направлены на повышение информационной безопасности кредитно-финансовой сферы. Регулятор вывел общие требования к информационной структуре банков, их программному обеспечению, системе хранению персональных данных, методам идентификации, криптографической защите данных и т. д. Так, Банк России сформировал комплекс документов, который описывает единый подход к построению системы обеспечения информационной безопасности организаций банковской сферы с учетом требований российского законодательства — Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы РФ (СТО БР ИББС) [6]. Данный стандарт затрагивает безопасность финансовых (банковских) операций, аутсорсинга, аудита, сбора и анализа данных при реагировании на кибератаки, оценки соответствия информационной безопасности организаций банковской системы требований. Введение такого стандарта, на наш взгляд, повышает уровень доверия к банковской системе России.

Стоит отметить, что важным шагом Банка России стало создание нового структурного подразделения — Департамента финансовых технологий и Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере. Департамент финансовых технологий кроме таких направлений как, правовое регулирование и развитие цифровых технологий на финансовом рынке, в том числе действует и по направлению обеспечения безопасности и устойчивости при внедрении и использовании финансовых технологий.

Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере — основной и операционный центр, функциями которого являются обеспечение информационной безопасности и противодействие кибератакам в кредитно-финансовой сфере. Необходимо отметить, что данный Центр является лидером программы «Цифровая экономика Российской Федерации» [7] в сфере информационной безопасности.

Помимо формирования основных стандартов, правил, методик, специализированных центров и департаментов одним из активно развивающихся способов является — внедрение проактивного метода киберзащиты, который основывается на моделировании угроз информационной безопасности и кибератак [8].

К тенденциям развития информационной безопасности также можно отнести появление Федерального закона «О цифровых финансовых активах, цифровой валюте и о внесении изменений в отдельные законодательные акты Российской Федерации», а также проект «цифрового рубля». В консультативном докладе «Цифровой рубль» [9], подготовленным 15 подразделениями Банка России (Департаментом денежно-кредитной политики, Департаментом информационной безопасности, Департаментом информационных технологий и др.), представлены возможные варианты и способы реализации такого решения, а также необходимые функциональные требования. В данном докладе одной из важнейших причин необходимости внедрения цифрового рубля является стремление к прозрачности финансовой системы, что способствует снижению рисков угроз информационной безопасности.

Неразрывно с появлением проекта «цифрового рубля» так или иначе связано появление криптовалюты на финансовом рынке, а также и понятие блокчейн-технологии, позволяющей быстро, дешево, эффективно и безопасно вести учет всех финансовых транзакций, хранить различные записи, необходимые организации, а также повышать эффективность работы с поставщиками или ритейлерами путем отслеживания товаров, платежей и цепочек поставок. Блокчейн — это универсальный инструмент для построения различных баз данных, который обладает следующими преимуществами:

— Децентрализация. Отсутствует главный сервер хранения данных. Все записи хранятся у каждого участника системы.

— Полная прозрачность. Любой участник может отследить все транзакции, проходившие в системе.

— Конфиденциальность. Все данные хранятся в зашифрованном виде. Пользователь может отследить все транзакции, но не может идентифицировать получателя или отправителя информации, если он не знает номера кошелька. Для проведения операций требуется уникальный ключ доступа.

— Надёжность. Любая попытка внесения несанкционированных изменений будет отклонена из-за несоответствия предыдущим копиям. Для легального изменения данных требуется специальный уникальный код, выданный и подтверждённый системой.

— Компромисс. Данные, которые добавляются в систему, проверяются другими участниками.

Позволяя цифровой информации распространяться, но не копироваться, технология блокчейн создала основу нового вида интернета. Технология была первоначально разработана для цифровой валюты, биткоина, но в настоящее время техническое сообщество ищет другие потенциальные варианты использования данной технологии.

В данный момент многие компании финансового сектора, в том числе и в России, занимаются активной интеграцией блокчейна в банковскую систему.

Блокчейн является достаточно молодой технологией и большинством людей рассматривается только со стороны транзакций на рынке криптовалюты. Однако, спектр применения этой технологии широк и распространяется на различные отрасли и сферы деятельности. Сейчас перед всеми передовыми экономиками мира стоит вопрос внедрения блокчейн для снижения рисков и повышения эффективности работы организаций. Российская Федерация также активно занимается интеграцией блокчейн в бизнес-процессы.

На государственном уровне широкое применение технологии блокчейн в России поддерживается курсом на развитие цифровой экономики страны, закрепленном в Программе «Цифровая экономика Российской Федерации» (далее Программа), в которой идет речь о новой концепции индустриального развития с использованием цифровых технологий. Технология блокчейн станет, по мнению экспертов, одним из ключевых инструментов, которые позволят максимально оперативно создавать условия для реализации Программы. В частности, проект Программы предусматривает к 2019 г. осуществить пилотное внедрение технологий распределенного реестра для защиты прав интеллектуальной собственности в сфере цифровой экономики.

Премьер-министр РФ Д. А. Медведев, отметил, что «государство не успевает реагировать на blockchain», указав, в частности, на отставание законотворчества в вопросах регулирования новшеств в области «электронной коммерции» и «интернета вещей». Экспертное сообщество обращает внимание на недостаточную изученность таких аспектов применения блокчейн как информационная безопасность и достоверность данных в сети блокчейн.

Правительство Российской Федерации стремится проанализировать применимость технологий блокчейн в российской системе государственного управления и экономике, а также три основные задачи, требующие первоочередного решения для развития блокчейна в России: обеспечение «цифровой прослеживаемости товаров», создание общей платформы на основе блокчейн для идентификации личности и электронная защита титула собственника.

Одновременно появились инициативы бизнес-сообщества по созданию в России координационных центров, консорциумов и рабочих групп, призванных стимулировать развитие и устранять препятствия для принятия блокчейн. Федеральное агентство по техническому регулированию и метрологии (Росстандарт) объявило о формировании нового технического комитета по стандартизации «Программно-аппаратные средства технологий распределённого реестра и блокчейн» с функцией стандартизации архитектуры и онтологии технологий распределённого реестра, сферы его применения, стандартизации требований к программно-аппаратным средствам и программному обеспечению технологий распределённого реестра, к их конфиденциальности и безопасности, что будет способствовать росту доверия к такого рода операциям. Инициатором создания этого комитета стала компания «Национальные информационные системы» («НАИНС»).

Московская биржа стала участником международного блокчейн консорциума Hyper- Ledger. Эксперты биржи активно изучают перспективы применения блокчейн-решений в процессах проведения торгов, клиринга и расчетов. Участие в консорциуме предоставляет Московской бирже доступ к международной экспертизе и передовым разработкам в области технологии блокчейн, дает возможность участвовать в формулировании и внедрении международных отраслевых стандартов применения блокчейн технологий.

Центральный банк России создал рабочую группу для анализа и оценки возможностей применения новых финансовых технологий, в том числе технологии блоковой цепи на которой основан биткойн и многие альткоины. на Международном финансовом конгрессе Центральный банк РФ (Банк России) заявил о создании блокчейн-консорциума «Финтех» в партнерстве с десятью крупными банками страны, среди которых Национальная система платёжных карт, Сбербанк, Внешний Торговый Банк, Альфа-Банк, Газпромбанк, Открытие, QIWI, для комплексного изучения технологии распределенных реестров и ее возможностей. Консорциум создан в форме ассоциации. Среди целей консорциума — технологическая, регуляторная, практическая и коммуникационная. В частности, создана тестовая площадка блокчейн прототипов.

Компания «PricewaterhouseCoopers» недавно опубликовала анализ, по результатам которого применение технологии блокчейна уже к 2030 году сможет обеспечить колоссальный рост экономики. По усредненным подсчетам рост будет обеспечен на 1,7 триллиона долларов. «PwC» — это международная сеть компаний во всем мире, которая профессионально занимается предоставлением услуг аудита и консалтинга.

Анализ системы блокчейна вошел в категорию исследований, напрямую связанных с изучением влияния современных технологий на состояние мировой экономики. Представители международной организации считают, что блокчейн — это помощь в реструктуризации и «перерождении» организаций, возможность работать по-новому.

Эксперты, проанализировав состояние системы, определили пять ее основных сфер использования. В них вошли:

— отслеживание и контроль перечисленных денежных сумм;

— осуществление платежей и оказание финансовых услуг;

— создание контрактов, регулировка конфликтных и спорных моментов;

— работа с клиентурой;

— идентификация и управление.

Данный отчет о системе и блокчейн тренды 2022 предполагает, что блокчейн может использоваться в абсолютно разных отраслях, начиная от сферы моды и заканчивая тяжелой промышленностью.

На сегодняшний день эксперты считают наиболее выгодной позицию блокчейна в сферах охраны здоровья, образовательной и управленческой. Специалисты компании «PwC» считают, что данные отрасли через десять лет станут наиболее прибыльными и позволят значительно поднять общий уровень экономики.

Также в отчете упоминается о том, что для полноценного развития подобных систем просто необходима благоприятная политическая среда, поскольку без этого невозможно сотрудничество государств между собой и, соответственно, развитие стратегических целей, к которым они должны стремиться. Также стоит упомянуть о важности экосистемы бизнеса, которая должна быть готова использовать все новые возможности и учиться ими управлять.

Соответственно, можно увидеть, что технология блокчейн в России находит пути интеграции в бизнес и государственный аппарат. Сейчас Россия не входит в список лидеров по внедрению блокчейна, однако поддержка Центрального банка и многих крупных компаний, ведущих свою деятельность в финансовом и производственном секторе, ситуация изменяется с каждым годом.

Таким образом, информационная безопасность в финансовой сфере в последние два десятилетия активно развивается, новые разработки и технологии в данной сфере носят мультипликативный эффект. Необходимо помнить, что ничто не обходится государству так дорого, как отсутствие информационной защиты кредитно-финансовой сферы.

Литература:

1. https://www3.weforum.org/docs/WEF_Global_Risk_Report_2020.pdf
2. Глобалистика: Энциклопедия // Гл. ред. И. И. Мазур, А. Н. Чумаков; ЦНПП «ДИАЛОГ». — М.: ОАО Издательство «Радуга», 2003.
3. Указ Президента РФ от 05.12.2016 № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации» // Собрание законодательства РФ, 12.12.2016, № 50, ст. 7074
4. ГОСТ Р 57580.1–2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер // Федеральное агентство по техническому регулированию и метрологии. Официальное издание. М.: Стандартинформ, 2020.
5. Федеральный закон от 10.07.2002 № 86-ФЗ (ред. от 02.07.2021) «О Центральном банке Российской Федерации (Банке России)» (с изм. и доп., вступ. в силу с 01.09.2021) // Собрание законодательства РФ, 15.07.2002, № 28, ст. 2790.
6. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0–2014» (принят и введен в действие Распоряжением Банка России от 17.05.2014 № Р-399) // «Вестник Банка России», № 48–49, 30.05.2014.
7. Паспорт национального проекта «Национальная программа «Цифровая экономика Российской Федерации» (утв. президиумом Совета при Президенте РФ по стратегическому развитию и национальным проектам, протокол от 04.06.2019 № 7) // СПС «КонсультантПлюс».
8. Future cyber threats: 2019 extreme but plausible threat scenarios in financial services // Accenture. — 2019. — URL: https:// www.accenture.com/_acnmedia/pdf-100/accenture_fs_threat-report_approved.pdf
9. https://cbr.ru/StaticHtml/File/112957/Consultation_Paper_201013.pdf
10. Цветкова Л. А. Перспективы развития технологии блокчейн в России: конкурентные преимущества и барьеры (Центр научно-технической экспертизы ИПЭИ РАНХиГС при Президенте РФ, г. Москва, Россия)
11. Биткоин — наш: как Россия стала одним из мировых центров криптокоммьюнити (2017) // FORBES, 17.08.2017. http://www.forbes. ru/tehnologii/349179-bitkoin-nash-kak-rossiya-sta- la-odnim-iz-mirovyhcentrov-kriptokommyuniti.
12. Совещание с вице-премьерами от 06.03.2017 г. (2017) О поручениях по итогам Российского инвестиционного форума «Сочи-2017»; о технологии блокчейн; о новом порядке предоставления средств материнского капитала / Официальный сайт Правительства России. http://government. ru/news/26650.