До 1 декабря 2018 финансовым учреждениям страны надо приготовиться по-новому защищать себя и клиентов от киберугроз
В прошлом году сразу несколько казахстанских банков подверглись беспрецедентным хакерским нападениям. В частности, массивной DDoS-атакой пытались парализовать работу цифрового банкинга Qazkom. Нацбанк Казахстана считает кибератаки новым риском для банковской системы, а Ассоциация финансистов Казахстана призвала банковских вкладчиков к повышенной осторожности при проведении операций в интернете. По оценкам специалистов в области высокотехнологичных преступлений, только рынок киберпреступности в СНГ удваивается каждые 2 года.
Год назад мир узнал о WannaCry — вымогателе, поразившем работу тысяч организаций по всему миру. В общей сложности от червя пострадало более 400 тыс. компьютеров планеты. Казахстан же отделался малой кровью - в стране было заражено около 100 компьютеров. В целом же за год каждый третий промышленный компьютер в стране подвергается атаке извне, и такие случаи учащаются. А в некоторых странах ущерб от виртуальных преступлений уже превышает от «офлайн»-криминала.
Это и многое другое подвигло Нацбанк Казахстана ужесточить требования к информационной безопасности банков и других организаций, которые занимаются некоторыми видами банковских операций. Об этом во вторник, 28 августа, говорили эксперты PwC Казахстан на встрече в Алматы.
Как рассказал менеджер компании Олег Прокудин, постановление было принято в марте 2018 и полностью вступит в силу с 1 декабря этого года.
- Предыдущее постановление было принято еще в 2001 году и помещалось на пяти страницах распечатанного текста. Новое содержит 11 параграфов и 161 пункт требований, - сообщил г-н Прокудин. – Думаю, за 17 лет не только в стране, но и в мире многое поменялось, поменялись технологии. Например, 17 лет назад к паролям были требование только по длине и сложности. Сейчас требования приблизились к мировым – добавили частоту смены и т.д. У банков Казахстана осталось на подготовку три месяца. К 1 декабря надо будет разработать политику и процедуры в сфере информационной безопасности. Да и инфраструктурный список большой.
В PwC рассказывают, что некоторые, особенно крупные банки и ранее внедряли в компаниях значительно больше процессов по обеспечению безопасности, чем того требовал Нацбанк. Но некоторые новые требования будет непросто и исполнить даже им, и на этой уйдет немало денег и времени. Что уж говорить о небольших банках. В частности, это касается требования по установке системы видеонаблюдения, архив которой должен храниться 3 месяца. А информация об инцидентах – попытках взлома, атаках и т.д. - должна храниться в банке 5 лет.
Теперь информационная безопасность должна быть отделена от IT-подразделений, и безопасники должны подчиняться члену правления, который не руководит IT-подразделением, или напрямую председателю правления.
Теперь Нацбанк требует, чтобы до 10 января каждого года банки отравляли регулятору отчеты о состоянии информационной безопасности в банке. Кроме того, в Нацбанк необходимо будет незамедлительно отправлять сведения об инцидентах, которые происходят в системе защиты. А еще ежеквартально посылать отчеты об обработанных инцидентах. Ну и приготовиться раз в три года к приходу «гостей» из Нацбанка, которые будут проверять банк на соответствие новым требованиям.
По материалам Forbes Kazakhstan