Банки не так безопасны, как кажется
Ассоциация российских банков (АРС) и компания Zecurion Analytics провели анонимный опрос банковских специалистов в области информационной безопасности, чтобы понять «истинные проблемы», с которыми они сталкиваются в своей деятельности.
В исследовании приняли участие 134 банка, среди них 12,7% московских, 38,8% региональных и 48,5% тех, что имеют отделения и в столице и в регионах.
Подавляющее количество ответов пришло из небольших организаций: 41% заполненных анкет прислали структуры, где используется менее 200 компьютеров, еще 35,8% – где установлено от 200 до 700 ПК. На банки, где компьютеризированных рабочих мест свыше пяти тысяч, пришлось всего 4,5% присланных анкет, от двух до пяти тысяч – 7,5%, от 700 до двух тысяч – 11,2%.
Опрос показал, что банки превосходят среднерыночный показатель по наличию в организации самостоятельного подразделения ИБ: 63,8% против 51% (данные исследования 2012 года, проведенного совместно компанией Zecurion и порталом HeadHunter).
При этом отдельным финансированием ИБ могут похвастать лишь около половины кредитных организаций из числа тех, где есть ИБ-департамент (то есть 31,3% всех респондентов).
В трети опрошенных организаций отдельное бюджетирование ИБ не предусмотрено, 23% респондентов признались, что в их банках ИБ-подразделения имеют общий бюджет с IT-департаментами. Такой подход, считают эксперты, мало того что считается неприемлемым (поскольку финансовая конкуренция между IT и ИБ не дает эффективно развивать ни то, ни другое направление), так он еще и противоречит рекомендациям Банка России.
Здесь необходимо отметить, что рекомендациями регуляторов, выпускающих регламенты по ИБ (к таким относится не только ЦБ, но и ФСТЭК, Роскомнадзор, ФСБ и Росфинмониторинг), недовольно 76,9% банков. Именно такой процент опрошенных посчитал количество регламентирующих документов чрезмерным. С другой стороны, отсутствие такого рода норм, судя по опросу, неминуемо привело бы к снижению интереса кредитных органов к ИБ. Более 90% опрошенных организаций одной из целей обеспечения ИБ ставят выполнение требований регуляторов, при этом 56% руководствуются при развитии ИБ соответствующими нормативными актами. Тем не менее 78,4% банков принимают во внимание снижение информационных рисков, а 33,6% задумываются о повышении качества бизнеса за счет усиления информационной безопасности.
Несмотря на интерес большинства (более двух третей) банков к снижению рисков за счет развития ИБ, поставить оценку и управление рисками на регулярную основу удалось лишь в 26,1% опрошенных организаций.
За необязательными, рекомендательными требованиями ЦБ, а именно стандартом Банка России по ИБ, банкиры следят не менее пристально, чем за прочими нормативными актами. 93% кредитных организаций изучили документ и проверили состояние своих служб ИБ на соответствие ему. При этом лишь 16,4% банков удалось к настоящему времени выполнить все требования стандарта.
Любопытно, что даже в нынешней ситуации, когда затраты на ИБ оправданны как минимум с точки зрения соблюдения действующих норм регуляторов, дефицит финансирования ИБ испытывают сотрудники соответствующих подразделений в 38,8% кредитных организаций. Еще одной проблемой служб ИБ является кадровый голод: его ощущает 38,1% банков. И это несмотря на то, что 73,8% финансовых институтов оплачивают сотрудникам подразделений ИБ посещение различных учебных курсов.
Председатель комитета по ИБ АРБ Александр Велигура, подводя итоги исследования, заявил, что банки в отношении ИБ «выглядят неплохо» по сравнению с другими отраслями. Он порекомендовал представителям кредитных организаций, сетующим на избыточность норм безопасности, обсудить эту проблему с самими регуляторами, используя для этого площадку АРБ как точку доступа к указанным органам. «Неясно, в чем именно сложность. Выполнение требований ИБ затратно? Они противоречивы? Часто и резко меняются? Если имеется одна из этих причин, то дело не в количестве, а в качестве документов», – пояснил г-н Велигура, добавив, что комитет, возглавляемый им, представляет собой именно то место, где можно обсудить указанные вопросы.
Заместитель директора департамента регулирования Банка России Андрей Курило разочарован тем фактом, что собственным бюджетом располагают подразделения ИБ лишь в трети опрошенных банков. «Чтобы повысить эту цифру хотя бы до 60%, целесообразно донести до менеджмента мысль о том, что ИБ не самоцель, а инструмент, направленный на сокращение издержек, в том числе тех, которые возникают при хищении средств», – рекомендует он.
Алексей Раевский, генеральный директор Zecurion, не исключает, что реальный уровень ИБ в банках ниже, чем может показаться на первый взгляд, по той простой причине, что основная задача, которую решают банки при построении и модернизации служб ИБ, – выполнение требований регуляторов.
Опубликовано 28.08.2013