Сквозь пальцы. Пять главных ошибок банков в сфере кибербезопасности
В представлении многих людей банк — это безоговорочный синоним защищенности. Но несколько принципиальных проблем не позволяют банкам обеспечивать нужный уровень безопасности
Принято считать, что главные угрозы для банков появляются откуда-то извне. Что это происки конкурентов, хакерские атаки, утечки и другие неприятности, а отделы информбезопасности сталкиваются с ними ежедневно.
О подобных историях часто пишут СМИ, однако корень проблем остается вне поля зрения. Журналисты, как правило, пишут о следствиях, а не о причинах. Между тем серьезных ошибок, которые в конечном итоге и приводят к громким заголовкам, не так уж много — их всего пять.
1Расхождение в понятиях
В представлении большинства банк — это безоговорочный синоним защищенности. Люди убеждены, что нет более безопасного места для хранения денег и документов. И это справедливо, если речь идет о чем-то материальном. Но не о том, что не спрятать в сейф.
Самое ценное сегодня — это информация. С ростом ценности информации в мире эволюционировали и способы ее охраны. Сегодня такие компании, как Google или Facebook (соцсеть признана в РФ экстремистской и запрещена), куда лучше оберегают данные миллионов своих пользователей, чем банки. В крупных IT-компаниях безопасность буквально «встроена» внутрь самих продуктов и является обязательной их составляющей. В то же время в банках защиту данных все еще пытаются возвести как некий купол над компанией.
В этом и заключается главная ошибка финансовых организаций — они привыкли разделять безопасность и IT. При таком подходе защита будет всегда запаздывать. К тому же, если между IT и безопасностью возникает конфликт, велика вероятность, что руководство примет сторону первых, которые заинтересованы в максимально быстром запуске продукта и сокращении time to market. Это в большей степени соотносится с интересами бизнеса, чем требования информационной безопасности. А значит, дедлайны IT, скорее всего, будут распространяться и на функцию безопасности. И тогда инструменты защиты заметно теряют в эффективности, потому что интегрируются в продукты по остаточному принципу.