— На прошлой неделе SWIFT разослал очередное письмо, в котором, не называя банки, сообщил, что возникли проблемы и необходимо усиливать меры безопасности. По намекам можно понять, что речь идет о серьезных взломах...

— В этих письмах не говорится о чем-то новом. SWIFT обобщил имеющуюся информацию и постарался довести ее до максимального количества клиентов. Я бы расценивал письмо как часть политики, проводимой SWIFT для повышения внимания к вопросам безопасности.

Рекомендации, сформулированные FinCERT, идеально подходят для той ситуации, которую описывает SWIFT

Принцип, примененный в этих атаках, точно такой же, какой мы в свое время видели в атаках на АРМ КБР (автоматизированное рабочее место клиента Банка России.— Bankir.Ru). И рекомендации, сформулированные FinCERT, идеально подходят для той ситуации, которую описывает SWIFT.

— Можно ли говорить, что письмо в первую очередь направлено на борьбу с разгильдяйством банков в вопросах безопасности?

— Мне кажется, речь идет об упорядочении информации.

Банки будут обязаны тестировать свою инфраструктуру на предмет уязвимостей и возможность взлома

Если раньше банк оценивал риски атаки низко, это не значит, что он был разгильдяем. Просто была такая оценка рисков. Теперь есть повод ее пересмотреть.

Мы тоже меняем требования к банкам со, скажем так, общих, организационных на ориентированные на практический результат. Например, банки будут обязаны тестировать свою инфраструктуру на предмет уязвимостей и возможность взлома.

— А как это реально проверять? Ведь у нас больше 600 банков, и атака может происходить не через головной офис, а через один из филиалов в глубинке.

— Есть международный опыт. Глобальные платежные системы оставляют за собой право перепроверки аудита, проводимого независимыми структурами, внешними оценщиками. С нашей стороны будут сформулированы обязательные критерии для организаций, оказывающих услуги такого рода. Дальше возникает вопрос доверия к их работе, но это как раз предмет обсуждения как с смой отраслью, так и с финансовыми организациями.

Сейчас идет разработка рекомендаций в области стандартизации аутсорсинга ИБ

Внешняя оценка ИБ — точно такая же аутсорсинговая услуга, как и любая другая в IT. Но если критерии оценки аутсорсера и качества его работы понятны, то такие же критерии в сфере информационной безопасности пока не сформированы. Именно поэтому сейчас идет разработка рекомендаций в области стандартизации аутсорсинга ИБ. И мы думаем, что ряд критериев можно будет применять к оценщикам ИБ.

— В мировой прессе сейчас много материалов о том, что растет количество взломов не только банков, но и счетов пользователей — через мобильные устройства, например. Насколько эти проблемы входят в вашу сферу ответственности?

— Что касается конечного пользователя, это вопрос не наш. Это к организации, которая ему услуги оказывает. Ущерб конечного потребителя отражается на балансе кредитной организации, и это ее проблема. Но вопрос обеспечения внимания и должного контроля за качеством услуг — это уже зона ответственности Банка России.

Мы будем создавать систему наблюдения за тем, как банки соблюдают сформулированные принципы.

— В октябре в Казани состоится Finopolis, где у вас целая пленарная дискуссия. О чем пойдет речь?

— В этом году у нас будет два направления. Первое — пленарная дискуссия об информационной безопасности в целом. Второе — отдельный разговор об аутсорсинге в этой области.

Проблемы в сфере информационной безопасности имеют трансграничную природу

Дискуссия будет нацелена на обсуждение проблем ближайшего будущего и пути их предотвращения.

Мы очень надеемся на то, что удастся провести интересное мероприятие с точки зрения международного опыта. У нас будут представители Европейского банка, Cyber Security Malaysia, а основной доклад сделает Евгений Касперский. Проблемы в сфере информационной безопасности имеют трансграничную природу.