Центральный Банк и современные вызовы ИБ
Интервью о банковской безопасности: регулятор vs. реальность
Эксперт по информационной безопасности Александр Зубриков в интервью порталу COMNEWS поделился анализом трансформации законодательства и практик ИБ в банковском секторе. Он отметил, что нормативные акты и ГОСТы часто не успевают за стремительным развитием технологий, создавая конфликтную ситуацию между финансовыми организациями и регулятором. Долгое время многие банки подходили к вопросам безопасности формально, уделяя им минимум ресурсов. Ситуация изменилась с запретом на проведение внутреннего аудита, который моментально обнажил системные проблемы, копившиеся годами. Некоторые учреждения оказались не готовы выполнять не только требования ЦБ, но и свои же внутренние регламенты. В этой ситуации аудиторские компании предложили банкам дистанционные проверки, однако на практике такой подход не всегда позволяет объективно оценить состояние ИТ-инфраструктуры.
ГОСТ Р 57580 и Docker: правовая неопределённость
Показательный пример отставания регулирования — ситуация с ГОСТ Р 57580, одним из прогрессивных стандартов в области ИБ. Стандарт детально регламентирует работу с виртуальными машинами, но полностью игнорирует контейнеризацию, в частности, технологии вроде Docker. Это поставило аудиторов в тупик: как оценивать безопасность контейнеров? Запрос в ЦБ для прояснения позиции привёл к неоднозначному ответу: регулятор приравнял Docker-контейнеры к виртуальным машинам. Такой подход порождает новые вопросы. Например, если стандарт требует контроля доступа к гипервизору, то какой компонент в архитектуре Docker считать его аналогом? Формально это можно трактовать как необходимость запуска каждого контейнера на изолированном хосте, но чётких указаний нет. В результате оценка безопасности контейнерных решений становится субъективной и зависит от личного опыта аудитора, что ставит под сомнение единообразие и объективность проверок в масштабах всей отрасли.
Для более глубокого понимания практических аспектов подготовки к оценке по ГОСТ Р 57580 был проведён специальный вебинар, запись которого доступна по ссылке.
Банковская цифровизация: новые возможности и новые угрозы
Презентация «Сбербанка» заставила многих переосмыслить саму суть современного банка. Если ещё несколько лет назад модель работы «Тинькофф» критиковали как «паразитическую» из-за использования чужой инфраструктуры, то сегодня его называют флагманом цифровой трансформации. Что изменилось? Современный банк — это в первую очередь ИТ-компания, а не сеть офисов с очередями. Границы между банковским сектором, ИТ-индустрией, ритейлом и финтехом стремительно стираются, что диктуется требованиями времени и необходимостью масштабирования.
Кажущийся линейным путь — закрыть отделения и запустить мобильное приложение — на деле оборачивается комплексом проблем в области информационной безопасности. Перенимая бизнес-модели и технологии ИТ-компаний, банки наследуют и их уязвимости. Подробный разбор этих рисков и способов их минимизации представлен в материале корпоративного блога.
