Постановлением правления Национального банка Казахстан от 29 октября 2018 года утверждена Стратегии кибербезопасности финансового сектора Республики Казахстан на 2018-2022 годы, с сылкой на Zakon.kz.
Как указывается, Стратегия утверждена в рамках реализации Концепции кибербезопасности («Киберщит Казахстан»)
Стратегия направлена на построение в рамках системы обеспечения кибербезопасности информационного обмена между участниками.
Она включает в себя комплекс целей, задач и мероприятий, достижение, решение и реализация которых позволит обеспечить создание эффективно функционирующей системы кибербезопасности финансового сектора РК.
Основной целью документа является создание условий для безопасного предоставления финансовых услуг, что необходимо для обеспечения стабильного функционирования и развития финансового сектора республики.
Как отмечается в обзоре текущей ситуации, в связи с присутствием на рынке страны большого набора национальных и международных платежных систем существует ряд рисков при работе в киберпространстве, которыми необходимо управлять.
Для регулирования деятельности платежных систем законом «О платежах и платежных системах» была предусмотрена обязанность для операторов и операционных центров платежных систем в определении мер по обеспечению информационной безопасности, а также необходимость в определении порядка действий при проведении несанкционированных платежей и по возврату денег по таким платежам.
Начиная с 2015 года, Нацбанк регулярно получает информацию по понесенным банками убыткам, связанным с реализацией рисков информационной безопасности.
Так, на 2015 год заявленный ущерб банков составил около 61 миллиона тенге, в 2016 году более 2 миллиардов тенге и за первое полугодие 2017 года ущерб составил более 11 миллионов тенге.
Между тем популярность приобретения и использования электронных денег растет.
Так, в 2017 году по сравнению с 2016 годом количество операций с электронными деньгами выросло на 88,1%, объем возрос в 2,3 раза.
На конец 2017 года выпуск электронных денег осуществляли 13 банков, при этом для населения на рынке было представлено 17 систем электронных денег.
С учетом общемировых тенденций, ожидается, что потребность в данном инструменте будет и дальше возрастать.
В целом, в виду отсутствия на государственном уровне утвержденных стандартов, требований и порядков по обеспечению кибербезопасности, реализация мер и контроля по защите производится исходя из опыта отдельных работников и возможностей, заложенных разработчиками информационных систем, программного и аппаратного обеспечения.
Крупные банки самостоятельно создают и успешно эксплуатируют центры и службы реагирования на инциденты кибербезопасности.
Как говорится в документе, существенную проблему составляет распространение киберпреступности, в том числе деятельность организованных транснациональных преступных групп.
Специфика киберпреступлений заключается в их высокой латентности.
Вследствие этого, официально зарегистрированные преступления с использованием современных ИКТ составляют лишь незначительную часть от реально совершенных.
Борьба с киберпреступностью требует от правоохранительных органов и специальных служб специализированной подготовки и адекватного оперативного реагирования путем проведения совместных скоординированных действий со специальными службами и правоохранительными органами зарубежных стран на основе переработанной законодательной базы и соответствующих договоров.
В стране существует единственный государственный центр «KZ-CERT» для пользователей национальных информационных систем и сегмента сети Интернет, обеспечивающий сбор и анализ информации по инцидентам кибербезопасности, консультативную и техническую поддержку пользователям в предотвращении угроз компьютерной безопасности.
Однако данный центр не ориентирован на особенности финансовых организаций и применяемых ими технологий, что существенно снижает его эффективность для финансового сектора.
С октября 2017 года активно проводится работа по усилению организационно-технических мер обеспечения защиты информации и информационных систем Национального банка, созданию оперативного центра и службы реагирования на инциденты кибербезопасности.
Как отмечается, в конце 2017 года Национальным банком налажено сотрудничество с Центральным Банком Российской Федерации в части взаимодействия в области мониторинга и реагирования на компьютерные инциденты.
Проводятся работы по налаживанию сотрудничества с правоохранительными и специальными органами РК в части взаимодействия и оказания помощи в борьбе с киберпреступностью.
Существенную помощь в части обеспечения сотрудничества между профессионалами в области кибербезопасности оказывает ОЮЛ «Ассоциация финансистов Казахстана», на базе которой создана рабочая группа, в которую входят представители крупных банков страны.
На встречах рабочей группы обсуждаются вопросы кибербезопасности, включая вопросы защиты от компьютерных атак на банковские информационные системы и несанкционированного доступа к счетам клиентов и банков.
К 2023 году Нацбанк планирует создать эффективную систему обеспечения кибербезопасности финансового сектора.
Для достижения поставленной цели, с учетом текущих недостатков в части кибербезопасности финансового сектора, определены пять основных направлений:
— совершенствование регулирования систем обеспечения кибербезопасности субъектов финансового сектора;
— обеспечение кибербезопасности физических и юридических лиц при использовании финансовых услуг;
— обеспечение устойчивого и безопасного функционирования критичной информационной инфраструктуры финансового сектора, включая Национальный банк;
— сотрудничество в сфере борьбы с киберпреступностью в национальном и глобальном масштабе;
— создание и развитие национальных технологий киберзащиты финансового сектора.
Постановление вступает в силу со дня его подписания.
В целом же, мы только за вступление в силу подобных документов, но как практики с одним но — Документ в целом, как и 48 инструкция (Киберщит) предусматривается больше как «Бумажная Безопасность», которую фин. организации стараются подогнать к требованиям регулятора на случай проверок.
Но суть документа очень верно определена — это обеспечение средствами, как единственный действительной эффективной на данный момент времени инструмент.
Немаловажно, что в документе (Глава 10) отмечено, что сама стратегия основана на Риск-ориентированном подходе, что в свою очередь со стороны не готовых организаций вызывает кадровый вопрос, а так же в Главе 9 (Ключевые элементы обеспечения кибербезопасности) отдельно отмечают необходимость повышения осведомленности и повышение квалификации путем обучения, как вследствии наконец таки толкование разумной мысли необходимости выделения бюджета для образования кадров
Повышение информированности и компетенции, как пользователей, так и обслуживающего персонала (повышение квалификации, обучение) помогут устранить риски и создать культуру безопасного создания и использования ИКТ в финансовом секторе. На этапе повышения осведомленности следует использовать опыт, полученный в ходе профилактики и реагирования, чтобы пользователи были ознакомлены с реальными рисками и эффективными методами их минимизации. Методы и содержание программ повышения осведомленности в максимально возможной степени необходимо адаптировать для различных целевых групп, в том числе для населения и финансовых субъектов