Кібербезпека банківських та комерційних структур
2. Національний банк України як суб’єкт вітчизняної системи кібербезпеки
Відповідно до Стратегії кібербезпеки України на Національний банк України покладено завдання із формування вимог щодо кіберзахисту критичної інформаційної інфраструктури у банківській сфері.
Крім того, згідно з Законом України «Про Національний банк України», НБУ визначає напрями розвитку сучасних електронних банківських технологій, створює та забезпечує безперервне, надійне та ефективне функціонування, розвиток створених ним платіжних та облікових систем, встановлює для банків правила захисту інформації, контролює створення платіжних інструментів, систем автоматизації банківської діяльності та засобів захисту банківської інформації.
НБУ має у своєму складі окремий структурний підрозділ - Департамент безпеки , однією з основних функцій якого є «розроблення та реалізація стратегії і політики інформаційної безпеки НБУ, упровадження новітніх технологій у частині забезпечення ефективного і цілеспрямованого захисту інформації в інформаційній інфраструктурі НБУ та банківської системи України».
В НБУ використовуються сучасні системи кібербезпеки такі як: Intrusion Prevention System, Wireless Intrusion Protection System, Security information and event management, Vulnerability scanner, Secure Web Gateway, Network firewall.
Водночас, у зв’язку із відсутністю в НБУ необхідних ресурсів, залишається не вирішеною проблема сертифікації засобів криптографічного захисту інформації, що використовуються Нацбанком. Зазначене потребує врегулювання цього питання із Держспецзв’язку, як державним органом, відповідальним за проведення державної експертизи та підтвердження відповідності засобів технічного і криптографічного захисту інформації в державі.
Надійне функціонування електронних банківських платіжних систем, їх захищеність від потенційних кіберзлочинців є важливою складовою банківської системи, адже не тільки забезпечує права і законні інтереси громадян і держави у фінансовій сфері та гарантує її стабільний розвиток, а й формує рівень довіри громадськості та бізнесу до вітчизняного банківського сектору, зокрема, до електронних платіжних систем та безготівкових розрахунків. Зазначене є вкрай важливим з огляду на обраний нашою країною курс на інформатизацію та розширення безготівкового грошового обігу.
Водночас, останнім часом кількість кібератак на банківській сектор України критично зростає. Банківська система України є однією зі сфер, де найбільш широко та активно використовуються сучасні можливості інформаційних технологій та мережі Інтернет. А враховуючи, що зазначені технології використовуються для грошових переказів, зазначена сфера привертає все більшу увагу злочинців.
Наслідком значної кількості кіберзлочинів у вказаній сфері є зниження довіри громадян в цілому до надійності фінансової системи, інституту банківської таємниці, надійності захисту персональних даних, а також до фінансових операцій, що проводяться з використанням новітніх технологій. При цьому недовіра населення до ринків фінансових послуг не дає можливості активно використовувати вільні кошти громадян як інвестиційні ресурси, що спрямовуються на розвиток економіки.
Значна частина кіберзлочинів стає можливою завдяки необізнаності населення те недотриманню основних правил безпеки, у зв’язку з цим, значну користь у попередженні кіберзлочинності, мають інформаційно-просвітницькі заходи щодо нових ризиків та загроз в інформаційних та комп’ютерних системах. Національним банком України з метою попередження шахрайства з платіжними картками розроблено Рекомендації держателям платіжних карток щодо їх використання, які розміщені на офіційній сторінці Національного банку України в мережі Інтернет у розділі «Платіжна система» .
Крім того, у 2011 році Департамент інформатизації НБУ на виконання пункту 2 постанови Правління Національного банку України від 28.10.2010 N 474 «Про набрання чинності стандартами з управління інформаційною безпекою в банківській системі України» розробив Методичні рекомендації щодо впровадження системи управління інформаційною безпекою та методики оцінки ризиків відповідно до стандартів Національного банку України. Згадана іні ціатива була спрямована на підвищення захисту інформаційно- телекомунікаційних систем банків України відповідно до міжнародних стандартів та зменшення їх операційних ризиків. Для ефективної протидії кібератакам на банки України потрібно терміново організувати обмін інформацією про атаки між учасниками банківського ринку, а також налагодити обмін такою інформацією з подібними центрами за кордоном. Центр реагування на інциденти кібербезпеки у банківський системі та платіжному просторі України (CERT- NBU), а також визначити порядок взаємодії CERT-NBU з командами реагування на комп’ютерні інциденти інших суб’єктів забезпечення кібербезпеки, правоохоронними органами та банками України.
Водночас, для вдалої реалізації будь-яких ініціатив НБУ у сфері кіберза- хисту банківського сектору необхідно не просто формальний підхід до розроблення, впровадження, функціонування системи управління безпекою власних ІТС з боку керівництва і працівників банків, а реальна зацікавленість у підвищенні рівня її кіберзахисту. Адже за відсутності правового механізму, який би зобов’язував приватні банківські установи забезпечувати належний кіберзахист власних інформаційних систем та повідомляти НБУ про будь які кібератаки чи кіберінцинденти, функції НБУ у сфері кіберзахисту банківської сфери фактично зводились до розроблення рекомендацій банкам України щодо захисту власних ІТС.
Саме з метою запровадження такого механізму у вересні 2017 р. і було прийнято з урахуванням міжнародних стандартів з питань інформаційної безпеки, загальноприйнятих у міжнародній практиці принципів забезпечення інформаційної безпеки і кіберзахисту «Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України». Вказане Положення встановлює:
1) обов´язкові мінімальні вимоги щодо організації заходів із забезпечення інформаційної безпеки та кіберзахисту;
2) принципи управління інформаційною безпекою;
3) вимоги до інформаційних систем банку, що взаємодіють з інформаційними системами Національного банку України, з урахуванням напрямів розвитку криптографічного захисту інформації в інформаційних системах Національного банку.