Поделиться
В ходе опроса служб внутреннего аудита обнаружилось, что в 40 процентах случаев службам приходится прилагать чрезвычайные усилия, чтобы довести информацию о киберопасностях до топ-менеджмента и советов директоров компании. Кроме того, далеко не все аудиторы сегодня умеют качественно и быстро реагировать на кибератаки.
В связи с этим возрастает необходимость в качественном аудите информационных систем. Наиболее остро эта проблема стоит в финансовом и страховом секторах. Ранее заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев заявлял, что у ЦБ не будет в ближайшее время специалистов, которые смогут разобраться в тонкостях банковских информационных систем: "Специалисты ЦБ могут проверить правильность заполнения бумаг для сертификации. Но компетенции для проверки эффективности конкретного маршрутизатора или межсетевого экрана в ЦБ нет. Эту функцию можно передать частным организациям, которые получили лицензии от ФСТЭК и ФСБ. Такова международная практика".
Дело в том, что информационная безопасность напрямую влияет на финансовые показатели организации. В результате некоторых кибератак российские банки порой теряли весь свой капитал. Банк России заподозрил, что пострадавшие банки могли использовать кибератаки для сокрытия финансовых преступлений по выводу денег клиентов. С начала 2016 года совместными усилиями ЦБ, МВД и банковского сообщества удалось предотвратить хищения на сумму более полумиллиарда рублей.
Если предложенные меры по аудиту будут реализованы, ЦБ будет наказывать банки за недостаточный уровень информационной безопасности. "У крупных банков, безусловно, есть ресурсы, чтобы заниматься ИБ на системном уровне, - отметил Артем Сычев. - У мелких банков таких ресурсов не было, нет и в обозримом будущем не появится, даже если мы начнем их наказывать. Выход есть: это аутсорсинг".
Аудит информационных систем в контексте кибербезопасности предполагает проверку адекватности систем, персонала и действующих регламентам актуальным вызовам со стороны киберпреступников, как внешних - хакеров, так и внутренних - инсайдеров. "Важно, что полноценный аудит в области кибербезопасности подразумевает не только проверку защищенности, настроек информационных систем, но и проверку прав доступа к информации и, самое главное, персонала, - отметил Владимир Ульянов. - Каждый сотрудник должен иметь лишь минимально допустимые права и полномочия. Ведь самая главная уязвимость - человек. Жертвы социальной инженерии выкладывают киберпреступникам гораздо больше информации, чем можно ожидать, в результате у хакеров пропадает необходимость взламывать сложные технические системы либо их задача существенно упрощается".
В России аудит инфосистем пока лишь развивается. В сфере МСБ проблема систем безопасности стоит гораздо острее, чем в больших компаниях. "Внешний и внутренний аудит информационных систем применяют в основном крупные компании с высоким уровнем зрелости в части построения бизнес-процессов, - уточнил руководитель Zecurion Analytics Ульянов. - Они понимают ценность информации, которая хранится и обрабатывается в их информационных системах.