В Казахстане утверждена стратегия кибербезопасности финансового сектора
В Казахстане утверждена стратегии кибербезопасности финансового сектора на 2018-2022 годы. Об этом сегодня сообщил Нацбанк.
К 2023 году Национальный банк планирует создать эффективную систему обеспечения кибербезопасности финансового сектора. Для достижения поставленной цели, с учетом текущих недостатков в части кибербезопасности финансового сектора, Национальный банк определил пять основных направлений:
• совершенствование регулирования систем обеспечения кибербезопасности субъектов финансового сектора;
• обеспечение кибербезопасности физических и юридических лиц при использовании финансовых услуг;
• обеспечение устойчивого и безопасного функционирования критичной информационной инфраструктуры финансового сектора, включая Национальный банк;
• сотрудничество в сфере борьбы с киберпреступностью в национальном и глобальном масштабе;
• создание и развитие национальных технологий киберзащиты финансового сектора.
В Стратегии также отмечается, что уровень правонарушений в финансовом секторе за последние 3 года вырос в пять раз. В 2015 году согласно данным Комитета по правовой статистике и специальным учетам Генеральной прокуратуры РК в стране зарегистрировано 375 уголовных правонарушений, в 2016 году эта цифра увеличилась до 1204 и в 2017 году (за первые десять месяцев) составила 1867. Большая часть правонарушений, около 90%, приходится на правонарушения по части второй статьи 190 Уголовного кодекса РК (Мошенничество, совершенное путем обмана или злоупотребления доверием пользователя информационной системы) и по части второй статьи 188 УК РК (Кража, совершенная путем незаконного доступа в информационную систему либо изменения информации, передаваемой по сетям телекоммуникаций).
По итогам девяти месяцев текущего года зарегистрировано 1500 таких преступлений, однако до суда доходит считанное количество дел. Это связано с отсутствием механизмов и технических средств, позволяющих владельцам информационных систем обеспечить правильные сбор, сохранение (неизменности), обработку, анализ и предоставление правоохранительным органам и суду вещественных доказательств, а также проведение собственного расследования инцидентов кибербезопасности.
В то же время в стратегии отмечается, что безопасность отечественных финансовых продуктов (услуг), по большей части находится на удовлетворительном уровне, но при этом, наблюдается недостаток системного контроля над средствами защиты информации в части их создания, тестирования, внедрения и эксплуатации, в том числе с точки зрения кибербезопасности.
Использование программных продуктов зарубежного производства несёт целый ряд рисков кибербезопасности. В частности, представляется крайне сложным проведение исследований по обнаружению наличия возможных незадекларированных программных и аппаратных закладок в готовых продуктах. При оценке рисков кибербезопасности в обязательном порядке должны быть рассмотрены риски и угрозы, связанные с применением иностранных аппаратных и программных продуктов. Кроме того, существует риск наложения санкций на межгосударственном уровне, что может полностью заблокировать возможность казахстанскому рынку использовать зарубежные продукты безопасности и оказания услуг. В этой связи необходимо рассмотреть вопросы стандартизации обеспечения кибербезопасности финансовых продуктов (услуг), при их создании, вводе в эксплуатацию и использовании.
В результате реализации Стратегии будет сформирован механизм оперативного реагирования на киберугрозы в финансовом секторе, который предполагает взаимодействие, в зависимости от степени угрозы, как с субъектами финансового сектора, так и с государственными органами, в том числе правоохранительными и специальными.
