четверг, 18 апреля 2013 г.

Обзор Центрального Банка по инцидентам информационной безопасности

Ознакомился с обзором ЦБ, подготовленным по результатам сбора отчетности в 2012 г. по форме 0403203.


Вообще надо сказать появление подобной статистики это уже огромный шаг вперед по сравнению с ее полным отсутствием ранее. Но все же есть в обзоре вещи которые лично меня смутили.

Во-первых, статистика отчетности. Почти 90% отчитавшихся не выявили ни одного инцидента, из оставшихся почти половина сообщила только об одном инциденте. 



На мой взгляд это говорит о том, что либо информация об инцидентах замалчивается (что более вероятно), либо для служб безопасности банков они проходят незамеченными. Говорю я так на основании того, что множество экспертов за последние годы отмечало рост кибер-преступности, хищений в ДБО и даже ходили разговоры об угрозе устойчивости банковской системы. А тут, раз, и вроде как только около 10% банков сталкиваются с инцидентами. Странно...

Во-вторых, смутила разбивка по типам инцидентов


Согласно статистике львиную долю инцидентов составляют переводы денежных средств лицами, не обладающими правом распоряжения этими денежными средствами. А вот, например, воздействие вредоносного кода, приводящее к осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях клиентов, всего 6%, т.е в 7 раз меньше. Если я правильно понимаю, то ко второму типу относятся инциденты подмены платежных поручений - один из основных способов атаки на юрлиц в настоящий момент. 

Получается что чаще всего пытаются украсть деньги за счет кражи данных банковских карт (номер, пин, CVV), либо самих карточек, либо паролей доступа к системе ДБО ? Или тут есть пересечение ? К какому типу относится инцидент при котором злоумышленник, используя вредоносный код, получает удаленный доступ к компьютеру бухгалтера и проводит несанкционированную транзакцию через банк-клиент ?  Вроде и вредоносный код используется, и платежное поручение не искажается, а просто создается новое преступником, не имеющим полномочия его создавать. 

Ну и в-третьих, статистика по объектам воздействия. Тут вообще все непонятно. 


В моем представлении автоматизированные системы, используемые для осуществления переводов денежных средств, это сочетание программного обеспечения и СВТ (если под этим понимать аппаратное обеспечение), и почему эти объекты разделены на 3 пункта я не очень понял. Если кто-то может пояснить, напишите в комментариях. 

Кстати, в новой форме отчетности, которая должна быть скоро принята и которая анонсировалась в конце прошлого года, все стало более структурировано и понятно, так что в будущем думаю что вопросов к статистике будет меньше. 

В завершение, снимаю шляпу перед коллегами из ЦБ, которые запустили работу по сбору информации об инцидентах информационной безопасности. Думаю, что механизмы контроля за корректностью отчетности ЦБ будет дальше совершенствовать (и может быть ужесточать), чтобы отчетность не превратилась в профанацию.

5 комментариев:

  1. Первая таблица и правда напоминает о старом анекдоте: "Есть три вида лжи: ложь, наглая ложь и статистика" :)

    ОтветитьУдалить
  2. Нормальный инцидент в ДБО (особенно юриков) будет иметь последствия 3-6 из таблицы 2, выбирают похоже единственное по значимости, что вполне логично. Второе - по пластиковым картам есть своя отчетность, здесь же учитывают только ДБО. Ну и третье, если клиенту возмещены потери, в смысле клиент претензий не имеет :), то зачем фиксировать этот инцидент - чтобы налипнуть на повышение уровня опер.риска, создание доп.резервов на возможные потери плюс прямые затраты на повышение защищенности? А так нет инцидента - остаются только затраты на повышение защищенности, в "плановом" порядке :)
    Статистика более-менее, на мой взгляд, соответствует истине

    С ув. Turkish

    ОтветитьУдалить
  3. Посмотрел первоисточник. И с кое-какими выводами здесь теперь совсем не согласен.
    1. Полторы тысячи инцидентов с ДБО (по всей России) в месяц, это уже и так не мало.
    2. Процентное соотношение кол-ва инцидентов больше 1, но меньше 10, тоже ощутимо велико.
    3. Ну и не забываем, что ДБО для физиков не особо много кто оказывает, да и ДБО для юриков сильно разнится по кол-ву клиентов. А чем меньше клиентов, тем больше шансов отсутствия инцидентов.

    С ув. Turkish

    ОтветитьУдалить
  4. А почему вы считаете что в отчете идет речь только об инцидентах с ДБО ?

    А тех, кто выявил больше 1 но меньше 10 - 30% от 10% выявивших., т.е это около 3 % от всех банков. Я бы не сказал, что эта цифра "ощутимо велика"

    ОтветитьУдалить
  5. Да, забыл про терминалы и банкоматы :)
    С ув. Turkish

    ОтветитьУдалить