Кібербезпека банківських та комерційних структур
2. Управління ризиками кібербезпеки банків
Оскільки сучасна діяльність банків значною мірою перебуває в інформаційній площині, банки, як ніхто інший із суб’єктів підприємництва, є об’єктами інформаційних загроз і впливу інформаційних ризиків.
Інформаційні ризики банківської установи за своїм походженням поділяються на три категорії:
• ризики, пов’язані з втратою (витоком, руйнуванням, знищенням) інформації. Особливо це небезпечно, коли існує ризик втрати такої важливої для банку і його клієнтів інформації, як банківська таємниця, або іншої інформації з обмеженим доступом;
• ризики, пов’язані з формуванням інформаційного ресурсу (використання неповної, неправдивої інформації, відсутність необхідної інформації, дезінформація);
• ризики, пов’язані з інформаційним впливом на діяльність банків (поширення неправдивої та негативної для банків інформації, інформаційно- психологічний вплив на працівників, клієнтів та акціонерів банків, інформаційний тероризм).
Пошук заходів з попередження збитку, заподіяного від реалізації інформаційних загроз, може бути забезпечено через систему управління інформаційними ризиками (можливо, як підсистему управління інформаційною безпекою банку).
Зазначена система управління має забезпечувати не лише надійний захист інформаційних ресурсів, а й сприяти ідентифікації інформаційних ризиків, виявленню факторів та умов їх появи й забезпечувати їх мінімізацію у процесі діяльності банківської установи.
Враховуючи значну роль інформації у діяльності банків, система управління інформаційними ризиками має включати певні підсистеми:
• підсистему захисту інформації;
• підсистему збирання інформації та інформаційних досліджень;
• підсистему протидії інформаційному впливу;
• управляючу підсистему.
Основними завданнями підсистеми захисту інформації банку мають бути: виявлення інформації, що підлягає захисту, визначення місць зосередження та носіїв інформації, яка підлягає захисту, визначення можливих способів несанкціонованого доступу до такої інформації, розроблення й упровадження організаційних, правових, технічних, програмних, криптографічних та апаратних заходів захисту інформації.
З огляду на те, що в банках зосереджено доволі значні обсяги інформації з обмеженим доступом (банківська, комерційна таємниці, конфіденційна інформація), та те, що банки є єдиними (крім державних режимних установ) серед суб’єктів підприємницької діяльності, на кого в законодавчому порядку покладено захист чужих таємниць (клієнтів банків), питання аналізу, контролю та мінімізації втрати інформації для банків є доволі важливими. Звідси головним в аналізі ризиків втрати інформації є виявлення способів несанкціонованого доступу до інформації банку та її найбільш уразливих носіїв.
Під час проведення такого аналізу слід виходити з того, що інформація банку зосереджена переважно в двох групах її носіїв: комп’ютерній інформаційній мережі та у працівників банку. Тобто несанкціонований доступ до інформації може бути здійснено, з одного боку, через технічні і програмні засоби, а з іншого - за допомогою засобів інтелектуального та психологічного характеру. Оскільки поведінка людей, зокрема працівників банку, є доволі непередбачува- ною, а телекомунікаційні системи банку в умовах значного розвитку штучного інтелекту є уразливими, можна говорити, що ризики втратити банками їх інформацію зосереджені головним чином на таких її носіях, як персонал і телекомунікаційні системи.
Оцінювання ризиків втрати інформації в банку передбачає визначення вартості інформаційних ресурсів, щодо яких існує ризик втрати, та самого ризику як імовірності реалізації певної загрози, у цьому разі пов’язаної з втратою інформації. Вартість інформації оцінюється через її комерційну цінність, яка, у свою чергу, визначається через розміри збитків (шкоди), які можуть настати у зв’язку з її втратою, обсягом (перспективами) вигоди, яку може отримати банк, використовуючи наявну в нього інформацію, а також витрати, пов’язані з виробленням, отриманням і захистом такої інформації. Щодо банківської таємниці, то її цінність може бути визначена через обсяги залучених коштів від клієнтів банку, інформацію про комерційну та фінансову діяльність яких він зберігає.
На оцінювання власне ризику як імовірності реалізації певної загрози щодо відповідної інформації банку впливає кілька показників. Головними серед них є привабливість інформації для суб’єктів загроз, її цінність, актуальність, доступність, рівень захисту. Через ці показники визначається рівень критичності інформації. Скажімо, для інформації про фінансову діяльність клієнтів банку рівень критичності може бути доволі високий, незважаючи на вжиття банком заходів її захисту. Це насамперед пов’язане з тим, що доступ до такої інформації має значна кількість осіб (операціоністи, бухгалтерські працівники, працівники кредитного та інших підрозділів банку, працівники його телекомунікаційних систем, служби безпеки), а в проведенні платежів задіяно дуже багато технічних засобів та інформаційних мереж, за допомогою яких така інформація передається. Ризик доступу до зазначеної інформації буде тим вищим, чим активніше здійснює свої фінансові операції клієнт (проведення платежів, отримання кредитів, операції з цінними паперами, валютою, пластиковими платіжними засобами). Крім того, береться до уваги ділова активність клієнта, його роль і місце на ринку, конкурентна поведінка. У цьому разі інформація про клієнта банку буде доволі привабливою для його конкурентів і вони намагатимуться її отримати.
Питання мінімізації ризику втрати інформації є доволі серйозним для банків, однак чи всі ризики необхідно мінімізувати, і якщо так, то до якого ступеня? З досвіду відомо: хоч як банки чи інші суб’єкти намагалися виключити ризик втрати інформації, зробити це майже неможливо. Крім того, керівництво банків повинно бути орієнтовано на певний ризик втрати інформації, щоб виникнення якоїсь непередбачуваної ситуації не стало проблемою, яку неможливо вирішити. У цьому випадку банки завжди передбачатимуть дії на випадок втрати інформації, розраховувати свої можливості щодо ліквідації наслідків і бути готовими до неадекватного розвитку ситуації в інформаційних взаємовідносинах зі своїми клієнтами, акціонерами, партнерами та іншими суб’єктами.
Водночас для зниження (мінімізації) ризику втрати інформації банки мають вживати відповідних заходів, диференціюючи їх відповідно до певних загроз. Серед таких заходів насамперед мають бути : формування правових умов захисту інформації безпосередньо у банку. Під такими умовами слід розуміти розроблення нормативно-правових документів банку стосовно захисту всіх видів інформації (документованої, електронної, а також інформації, яка існує у вигляді знань працівників банку). Зазначеними документами мають регулюватися взаємовідносини банку з його працівниками, клієнтами, партнерами, іншими створення системи захисту інформації , яка функціонує в банківській інформаційній мережі.
Функціями цієї системи повинно бути:
• передбачати комплекс організаційних, технічних, апаратних, криптографічних заходів і забезпечувати гарантований захист від посягань на електронну інформацію банку;
• забезпечення контролю за носіями інформації, насамперед працівниками банку, стосовно дотримання ними встановленого режиму захисту інформації, своєчасне реагування на всі збої в захисті інформації, що зберігається та функціонує в інформаційних мережах банку;
• запровадження надійної системи документообігу в банку (службового та спеціального діловодства), яка виключала б можливість несанкціонованого доступу до банківських документів, їх втрати, знищення чи модифікації;
• забезпечення надійної охорони банків, особливо з точки зору виключення можливості несанкціонованого доступу до них та їх винесення документів чи електронних носіїв інформації.
Отже, управління інформаційними ризиками з позиції мінімізації загроз утрати інформації в банку є доволі трудомістким і багатогранним процесом, який охоплює різні види організаційної, правової, інженерно-технічної, кадрової та безпосередньо інформаційної роботи. Цей процес, як бачимо, пов’язано з іншими системами (підсистемами), які можуть бути у складі системи управління інформаційною безпекою банківської установи.
Відповідно до стандарту Національного банку України СОУ Н НБУ 65.1 СУІБ 1.0:2010 після виконання оцінювання ризиків банк має оцінити альтернативні варіанти оброблення ризиків . Можливими варіантами оброблення ризиків можуть бути:
• зниження ризиків шляхом застосування належних заходів безпеки;
• свідоме та об’єктивне прийняття ризиків за умови, що вони чітко задовольняють політику організації та критерії прийняття ризиків;
• уникнення ризиків;
• перенесення відповідних бізнес-ризиків на інші сторони, наприклад, страхувальників, постачальників.
Для прийняття рішення щодо оброблення конкретних ризиків рекомендується визначити такі критерії стосовно кожного окремого ризику:
• низький ризик - 1-6;
• середній ризик - 7-14;
• високий ризик - 15-25.
Застосування належних заходів безпеки дасть змогу зменшити ризики.
Відповідно до Методичних рекомендацій щодо впровадження системи управління інформаційною безпекою та методики оцінки ризиків за стандартами Національного банку України система управління ризиками банківської діяльності повинна будуватися на основі міжнародного стандарту ISO/IEC 27005 “Information technology - Security techniques - Information security risk management” (Управління ризиками інформаційної безпеки) з урахуванням особливостей діяльності банків України, стандартів і вимог Національного банку України з питань інформаційної безпеки.
Відповідно до Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України, затвердженим постановою правління Національного банку України від 28.09.2017 № 95, банки зобов’язані:
• запровадити процес управління ризиками інформаційної безпеки в рамках системи управління ризиками банку. При цьому банк має право самостійно визначати підходи (методики) оцінювання та оброблення ризиків інформаційної безпеки;
• запровадити, використовуючи ризик-орієнтований підхід, заходи безпеки, визначені додатком А до ДСТУ ISO/IEC 27001:2015, згідно з ДСТУ ISO/IEC 27002:2015 та з урахуванням обов’язкових вимог щодо організації заходів безпеки інформації, викладених у Положенні.
Процес управління ризиками інформаційної безпеки повинен здійснюватися для банку в цілому і зокрема включати:
• аналіз та ідентифікацію ризиків;
• оцінювання ризиків з точки зору їх впливу на бізнес та ймовірності їх появи;
• інформування особи, яка вправі приймати рішення та акціонерів банку про ймовірності та впливи цих ризиків (ймовірність і наслідки ризику мають бути зрозумілими);
• встановлення порядку та пріоритетів оброблення ризиків;
• становлення пріоритетів виконання дій щодо зниження ризиків;
• участь керівництва в процесі прийняття рішень щодо управління ризиками та його поінформованість щодо стану справ в управлінні ризиками;
• ефективний моніторинг та регулярний перегляд ризиків і процесу управління ризиками;
• інформування керівництва та персоналу щодо ризиків і дій щодо управління ними.
Аналіз ризиків може бути виконано з різним ступенем деталізації залежно від критичності ресурсів СУІБ/бізнес-процесів/банківських продуктів, відомих вразливостей і попередніх інцидентів інформаційної безпеки.
Аналіз ризиків передбачає їх визначення та оцінювання. Під час визначення ризиків установлюють, які саме інформаційні ризики можуть існувати чи існують в діяльності суб’єкта господарювання (у нашому випадку банку) або в процесі проведення ним конкретної комерційної (банківської) операції, як вони можуть вплинути на діяльність чи операцію та яка існує ймовірність настання негативних наслідків від дії ризику.
Стандарти Національного банку України, які базуються на міжнародних стандартах ІБО 27001 та ІБО 27002 з додаванням до них вимог із захисту інформації, обумовлені конкретними вимогами сфери банківської діяльності і вимогами чинного законодавства України. Ключовим моментом цих документів є те, що вони розглядають принципи управління інформаційною безпекою банку, найбільш важливим з яких є оцінювання ризиків інформаційної безпеки банків .
Оцінювання інформаційного ризику передбачає визначення обсягу збитку, який може зазнати суб’єкт унаслідок вияву зазначеного ризику.
Сьогодні можна чітко виділити дві основні групи методів оцінювання ризиків інформаційної безпеки . Перша група методів дає можливість встановити рівень ризику шляхом оцінювання ступеню відповідності визначеному набору вимог щодо забезпечення інформаційної безпеки.
Друга група методів оцінювання ризиків інформаційної безпеки базується на визначенні ймовірності реалізації атак, а також рівнів збитку, завданих ними. У цьому випадку значення ризику обчислюється окремо для кожної загрози, і у загальному випадку представляється як добуток ймовірності реалізації загрози на величину потенційного збитку від цієї загрози. Значення збитку визначається власником банківської інформації, а ймовірність реалізації загрози обчислюється групою експертів, які проводять аудит системи управління інформаційною безпекою.
Методи першої і другої групи відрізняються застосуванням різних шкал для визначення величини ризику. У першому випадку ризик і усі його параметри виражаються в числових (кількісних) значеннях, у другому випадку використовуються якісні шкали.
Таким чином, методологія оцінювання ризиків може бути кількісною або якісною, або також їх комбінацією. На практиці якісне оцінювання часто використовується спочатку для визначення загального рівня ризику і визначення основних ризиків. Далі може виникнути необхідність виконання більш специфічного або кількісного аналізу стосовно основних ризиків. Кількісне оцінювання ризиків є більш складним та потребує більше часу та ресурсів. Однак таке оцінювання буде дуже корисною у випадках, коли рішення щодо оброблення ризиків буде залежати від вартості заходів безпеки, які можуть бути більшими, ніж фінансові втрати інциденту інформаційної безпеки.
Якісна методика оцінювання ризиків використовує шкалу атрибутів для опису величини потенціальних наслідків реалізації загроз і вірогідність того, що такі наслідки виникнуть. Перевагою якісної методики є її простота розуміння всім персоналом; недоліком такої методики є залежність від суб´єктивного вибору шкали атрибутів.
Для отримання якісної оцінки ризиків необхідно розглянути оцінки наслідків реалізації загроз разом із вразливостями, з використанням яких ці загрози можуть реалізуватися, та оцінки ймовірності їх реалізації для кожного бізнес- процесу/банківського продукту, мережі, обладнання, програмного забезпечення, які забезпечують функціонування цього бізнес-процесу/банківського продукту, мережі банку в цілому, фізичного середовища, персоналу тощо, з урахуванням попереднього аналізу.
Для виконання оцінки ризиків необхідно визначити шкалу для різних параметрів:
• оцінки величини наслідків реалізації загрози на сервіси безпеки (цілісність, конфіденційність, доступність, спостережність),
• оцінки ймовірності реалізації загрози.
Загальний рівень оцінки величини наслідків реалізації кожної загрози на сервіси безпеки визначається як максимальна величина з окремих оцінок впливу на цілісність, конфіденційність, доступність, спостережність.
Рівень ризику за окремою парою загроза/вразливість, яка може використовуватися для реалізації цієї загрози, визначається перемноженням загального рівня оцінки величини наслідків на оцінку ймовірності реалізації загрози.
Загальний рівень ризику для бізнес-процесу/банківського продукту, персоналу, фізичного середовища тощо дорівнює максимальної величині з усіх ризиків за кожною парою загроза/вразливість.
Процес управління ризиками інформаційної безпеки у банку є безперервним процесом і до нього може бути застосована модель ПВПД (плануй - виконуй - перевіряй - дій), наведена у вступі стандарту СОУ Н НБУ 65.1 СУІБ 1.0:2010.
Порівняння СУІБ та процесу управління ризиками інформаційної безпеки банку можна подати у вигляді таблиці:
|
Фаза СУІБ |
Процес управління ризиками інформаційної безпеки |
|
Плануй |
Аналіз ресурсів СУІБ. Оцінювання ризиків. План оброблення ризиків. Прийняття залишкових ризиків |
|
Виконуй |
Впровадження плану оброблення ризиків |
|
Перевіряй |
Постійний моніторинг та перегляд ризиків |
|
Дій |
Підтримка та покращення процесу управління ризиками інформаційної безпеки |
Процес управління ризиками інформаційної безпеки стосується всіх підрозділів банку і, у першу чергу, керівників підрозділів - власників бізнес-процесів/банківських продуктів. Тому ці відповідальні особи повинні брати участь у вирішенні питань, що належать до сфери їх відповідальності.
Таким чином, одним із важливих аспектів під час формування системи інформаційної безпеки в банках є побудова системи управління ризиками банківської діяльності.
