ИТ-инфраструктуру подвергнут стрессам
ЦБ внедрит новый вид контроля кибербезопасности
В ближайшие годы ЦБ может ввести еще один способ контроля соблюдения требований кибербезопасности в финансовых организациях — стресс-тестирование. Элементы стресс-тестов планируется включить в систему управления операционным риском, которая сейчас переживает стадию подготовки. Такое решение обусловлено, в частности, международным опытом. Сценарии централизованного стресс-тестирования будут разрабатываться регулятором, который на текущий момент считает это очень сложной задачей. Рынок отнесся к инициативе настороженно, полагая, что многое в итоге будет зависеть от доступности методик и инструментов, а также от квалификации организаций, чьими функциями станут проведение и оценка результатов стресс-тестов.
Регуляторы всех стран (в том числе российский) в ближайшее время должны будут сформулировать требования к стресс-тестированию банковских систем к киберугрозам, заявил в ходе завершившегося на прошлой неделе XI Уральского форума «Информационная безопасность финансовой сферы» зампред Банка России Василий Поздышев. По его словам, пока в полной мере это еще нигде в мире не было реализовано. Однако ряд регуляторов уже предпринимает первые попытки. Так, например, еще в 2012 году Банк Англии разработал метод добровольного тестирования для банков. В 2016 году системы оценки киберустойчивости банков были реализованы в Сингапуре, а спустя два года европейский ЦБ предложил для банков ЕС систему симуляции кибератак. Слабое место данных решений — в отсутствии общего подхода, считает господин Поздышев. Разработкой такого обязательного централизованного подхода к стресс-тестированию и намерен заняться в ближайшие годы Банк России.
Требования к стресс-тестированию планируется «зашить» в требования к системе управления операционным риском, разработка которой ведется в настоящее время (см. “Ъ” от 27 февраля). «Это очень нетривиальная задача, потому что даже смоделировать единый сценарий такого стресс-теста очень непросто»,— отметил господин Поздышев. По словам первого замдиректора департамента информационной безопасности Банка России Артема Сычева, планируется привлечь к процессу и сторонние организации, систему оценки качества работы которых регулятор намерен обсуждать с Федеральной службой безопасности и Федеральной службой по техническому и экспортному контролю.
В настоящее время в поправках к положению Банка России №382-П уже заложены требования к обязательной внешней оценке соответствия требованиям кибербезопасности и ежегодному проведению пентестов. По словам одного из независимых экспертов по кибербезопасности, разница между пентестом и стресс-тестом в том, что первый является способом контроля возможности несанкционированного проникновения в систему, а второй — проверкой системы на способность функционировать в условиях активного противодействия. «В Евросоюзе пока не действует обязанность проводить стресс-тесты, это делается в виде фреймворков различных ассоциаций на добровольной основе,— рассказывает представитель одного из банков, имеющих подразделения в европейской юрисдикции.— Чаще всего они проходят в виде долгосрочных расширенных пентестов».
Оценить возможные последствия реализации новации ЦБ в настоящее время практически невозможно, говорят представители кибериндустрии: для этого пока слишком мало информации. «Очень важно понимать, что именно планируется подвергать стресс-тестам — систему безопасности, бизнес-системы, к которым применяются системы безопасности, процессы, которые стоят над всем этим, наконец, ИТ-инфраструктуру как таковую»,— указывает один из собеседников “Ъ” на рынке. Кроме того, добавляет он, вполне может быть, что речь идет о так называемых киберучениях, что является трендовой темой во многих юрисдикциях. «Наиболее важным условием успеха всего мероприятия является подход регулятора к методикам и инструментарию стресс-тестирования. Например, для уже введенных в регулирование пентестов их нет. Это очень затрудняет реализацию требования»,— сетует эксперт RTM Group Евгений Царев. По его словам, проблемой является и малое количество организаций, обладающих необходимой квалификацией для проведения такого рода оценок. Все это приводит к тому, что требования регулятора массово игнорируются. «Если рынок и регулятор заинтересованы в качественной оценке, все это необходимо предусмотреть заранее, на берегу. Тогда исполнение новых требований не будет формальным»,— резюмирует он.