Читаем Кибербезопасность в условиях электронного банкинга. Практическое пособие полностью

– примерной программой повышения квалификации «Программа повышения квалификации специалистов, работающих в области обеспечения безопасности значимых объектов критической информационной инфраструктуры» [10], утвержденной ФСТЭК России 17 декабря 2018 г.

Разработка программы в соответствии с приведенными документами ФСТЭК России означает, что все положения, модули и темы программы утверждены регуляторами и соответствуют нормативной методической базе.

Итак, для обеспечения безопасности электронного банкинга, в котором одинаково заинтересованы клиенты и банки, всем клиентам нужно использовать ненастраиваемое СЭП[222], формирующее доверенную среду или же средства доверенной идентификации с помощью недоверенных устройств. Каждый банк должен создать свою собственную доверенную систему идентификации и аутентификации.

Рационально ли это? Есть ли другой путь?

Клиент хорошо понимает, что он не специалист по ИБ, наслышан об активности хакерских группировок, надеется, что его это не коснется, но хочет свои риски передать кому угодно. В цепочке взаимодействия «клиент-банк» нет третьего, поэтому клиент хочет передать риски банку и, даже не сделав это, верит, что так и есть.

В свою очередь, для банков тоже было бы важно передать не свойственные им функции по идентификации клиентов и их технической защите – конечно, вместе с рисками. Самостоятельно банк в общем случае не может корректно обеспечить защищенность клиента.

Как мы видим, все участники информационного взаимодействия хотят расстаться со своими рисками. Но в текущей конструкции взаимодействия «клиент-банк» такой возможности нет. Противоречие выглядит неразрешимым.

Для его разрешения нужно изменить саму конструкцию. Например, создать единого для всех Национального оператора идентификации (НОИ), который возьмет на себя предоставление доверенной услуги идентификации клиента для всех банков и ответственность за предоставление данной услуги, тем самым снимая с банков не свойственные им функции и блокируя риски. Свои же риски НОИ сможет застраховать.

Страхование информационных рисков [73] – не слишком развитая сегодня практика. Сертификация и аттестация будут при этом иметь важный, но лишь справочный характер. Создать систему, при которой учет требований страховщиков не подменил бы собой оценки наших регуляторов, а дополнил бы их в требуемом разрезе, – важная задача. При этом сам механизм страхования информационных рисков вполне может выступить инструментом регулирования на рынке СЗИ и СКЗИ: страховая премия отразит качество продуктов защиты информации.

.

Мысль № 111 (из книги Владимира Савченко «Открытие себя») В данной главе имеет смысл обсуждать не технологические тренды, а возможные изменения в финансовом поведении (behavioral finance model), в том числе обусловленные развитием технологий, и последствия этих изменений для финансового регулирования.

Четвертая промышленная революция, более известная как «Индустрия 4.0», получила свое название от инициативы, представленной на Ганноверской выставке 2011 г. и рассматривавшей ее как средство повышения конкурентоспособности обрабатывающей промышленности Германии через усиленную интеграцию «киберфизических систем» (CPS[223]) в заводские процессы. В 2014 г. США последовали примеру Германии и создали некоммерческий консорциум Industrial Internet, в который вошли такие лидеры промышленности, как General Electric, AT&T, IBM и Intel. CPS-подход предполагает создание сетей машин, которые не только будут производить товары с меньшим количеством ошибок, но и смогут автономно изменять производственные шаблоны в соответствии с необходимостью.