• 17 марта, 2025
  • 62

Инфобезопасность — процесс, а не проект

Деркач Артем

Руководитель департамента информационной безопасности Страхового Дома ВСК

Инфобезопасность — процесс, а не проект

Каждая новая технология несет в себе новые риски информационной безопасности, уязвимости, и злоумышленники тоже совершенствуют свои навыки. Информационная безопасность — это процесс, а не конечный проект, считает руководитель департамента информационной безопасности Страхового Дома ВСК Артем Деркач.

ССТ: Подвержены ли страховые ком­пании инцидентам кибербезопасности? Где сложнее ситуация — у страховщиков или в банках?

Артем Деркач: Страховые с мрачной регулярностью оказываются жерт­вами реализации инцидентов. Но если сравнивать, то внимание злоу­мышленников направлено на страхо­вые компании в меньшей мере, чем на банки.

И это связано, по моему мнению, с возможностью монетизации.

В банке в случае успешного взлома есть возмож­ность вывести денежные средства, что является основным мотивом для злоумышленников. В страхо­вой компании монетизировать взлом значительно сложнее. Но, как оказалось, здесь тоже есть свои возможности и нюансы. По результатам расследова­ния разного рода инцидентов наступило понимание, что на той стороне работают злоумышленники, которые глубоко понимают страховой бизнес.

ССТ: Какие задачи стоят перед вашим департаментом?

А. Д.: В первую очередь — это как раз обеспечение киберустойчивости организации, то есть защита от кибера­так, в том числе целевых, защита от ви­русных заражений, DDos и др., а также противодействие утечкам.

Далее следует обеспечение регуля­торных требований, снижение регу­ляторных рисков. Мы — некредитная финансовая организация, у нас есть отраслевой регулятор в лице Центро­банка Российской Федерации, который выпускает регламентные документы, обязательные для участников рынка.

Кроме того, наша компания является субъектом критической инфраструкту­ры, и мы подчинены всем требованиям законодательства в этой сфере. Это № 187-ФЗ, указы Президента и Пра­вительства, которые нацелены на ре­ализацию требований к повышению информационной безопасности крити­ческой инфраструктуры. Это большая часть работы, которую мы делаем.

Еще одно важное направление: стра­ховая организация является носителем большого количества персональных данных клиентов.

ССТ: Как обеспечивается безопасность персональных данных?

А. Д.: У нас есть ответственность пе­ред субъектами персональных данных и перед регулятором в лице Роском­надзора: мы обязаны обеспечивать безопасность персональных данных на всех стадиях их сбора и обработки. Для этого мы проводим регулярные аудиты, реализуем технические и орга­низационные меры защиты.

Мы обязаны обеспечивать безопасность персональных данных на всех стадиях их сбора и обработки

В общем-то, существует типовой набор требований, одинаковый для всех операторов персональных дан­ных. Однако реализация требований зависит от типа обрабатываемых пер­сональных данных. Если мы говорим о персональных данных, например, специальной категории, там существу­ют повышенные требования, повы­шенное внимание регуляторов и, как следствие, более сложная реализация в виде дополнительных технических мер защиты и систем мониторинга.

ССТ: У вас очень широкий спектр задач. Что в нем вызывает наибольшие сложности?

А. Д.: Информационная безопасность, по большей части, — это надстройка над IT. Поскольку все основные бизнес-про­цессы уже, можно сказать, цифрови­зировались, то мы обязаны следовать этим трендам и обеспечивать безопас­ность уже на техническом уровне.

Самые большие сложности, с кото­рыми мы сталкиваемся, это борьба за ресурсы IT внутри компании. Любое требование ИБ, как правило, влечет за собой внедрение новых средств защиты или доработки в информаци­онных системах. А доработки ведут к запросу ресурсов программистов.

Тут начинается конкуренция с бизне­сом, который, естественно, часто имеет более высокий приоритет. Поэтому для нас дополнительной сложностью является обоснование своих задач, поскольку финансовой прибыли они не приносят, а только снижают угрозы, которые могут повлечь за собой фи­нансовые последствия.

С другой стороны, конкуренция существует и на внешнем рынке труда, где пока еще наблюдается дефицит профессионалов в области информа­ционной безопасности. Надеемся, что скоро это изменится ввиду того, что большое количество вузов сейчас начи­нают выпускать уже подготовленных специалистов. Но эта проблема пока еще актуальна, особенно для узкоспеци­ализированных направлений, таких как реагирование на инциденты, обеспече­ние безопасности при разработке кода, оценка защищенности приложений.

ССТ: Общеизвестно, что самое слабое звено в безопасности — это человек. Как вы работаете с человеческим фактором?

А. Д.: Вы совершенно правы, чело­веческий фактор играет свою роль. С одной стороны, если мы говорим про разработку кода, то на этой стадии должен быть реализован контроль за изменением кода и поиск уязви­мостей со стороны информационной безопасности техническими средства­ми. Такие инструменты используются в большинстве организаций, в том числе и в нашей.

С другой стороны, всегда есть адми­нистраторы, то есть, сотрудники с при­вилегированным доступом, которых, естественно, контролировать крайне сложно. Однако и здесь реализуются методы контроля и мониторинга. Для этого организации финансового секто­ра обязаны создавать подразделения по реагированию на инциденты. Их задача, в том числе — контролировать действия администраторов и прини­мать соответствующие ограничитель­ные меры.

Есть и остальные сотрудники, ко­торых часто приходится защищать от них самих. У нас до сих пор выяв­лялись только инциденты, связанные не со злым умыслом, а, в основном, с недоработками, ошибками и благими намерениями. Например, если сотруд­ник хочет поработать дома и попыта­ется переслать информацию на личную почту, мы эту возможность пресекаем.

ССТ: Как формируется бюджет для службы ИБ?

А. Д.: Информационная безопасность, безусловно, дорогая история, системы защиты, дорогие, как и любые слож­ные IT-системы. Регулятор не опре­деляет для нас какие-то требования по бюджету, а оставляет это на усмо­трение самой организации. Однако в новой редакции закона о персональ­ных данных регулятор при повторной утечке предусматривает возможность снижения ответственности в случае, если организация тратит на информа­ционную безопасность не менее 0,1 % от дохода. То есть какие-то рамки все же устанавливаются.

ССТ: Используете ли вы внешний аудит?

А. Д.: Конечно, мы используем внеш­ний аудит. Это является, в том числе, и требованием Банка России — прово­дить внешний аудит по ГОСТ Р 57580. Мы делаем аудиты и по персональным данным, и по критичной инфраструк­туре. И время от времени регуляторы также проводят внешний аудит. Это является, в том числе оценкой безопас­ности наших бизнес-процессов.

Результатом эффективной работы в области информационной безопасно­сти является, в первую очередь, отсут­ствие инцидентов, а также отсутствие замечаний при аудитах регуляторов.

ССТ: Как вы в целом оцениваете уровень защищенности страховщиков? Вы сказали, что попыток взломов здесь меньше, чем в банках. А в принципе — страховщики насколько хорошо защи­щены?

А. Д.: Субъективно, учитывая сло­жившиеся риски, могу сказать, что нам всем есть над чем работать. Уровень защищенности по отрасли довольно высокий, но всегда есть возможность совершенствоваться.

Что касается конкретно ВСК, то я считаю, что у нас реализован высокий уровень защиты. Но важно понимать, что информационная без­опасность — это процесс, а не конеч­ный проект. Технологии развиваются, злоумышленники тоже совершен­ствуют свои навыки, придумывают способы реализации своих преступ­ных замыслов.

При этом очевидно, что каждая но­вая технология в бизнесе сама по себе несет дополнительные риски, в том числе и с точки зрения информацион­ной безопасности. Так что тут нельзя стоять на месте.

При этом очевидно, что каждая новая технология в бизнесе сама по себе несет дополнительные риски, в том числе и с точки зрения информационной безопасности.

Хочу также заметить, что злоумышленники часто пытаются воздей­ствовать в точках сопри­косновения с партнера­ми, на стыке передачи информации. То есть, атаки ведутся не на­прямую на организации, а, например, через поставщиков услуг, которые, очевидно, часто оказываются гораз­до менее защищенными, чем хорошо обеспеченные ресурсами финансовые организации.

Страховая компания имеет лицен­зионные ограничения, и поэтому не может предоставлять услуги по за­щите информации другим органи­зациям, поэтому мы можем только более строго контролировать работу со своими поставщиками, проводить оценку их влияния на нашу безопас­ность, контролировать все каналы связи и доступа, которые используют­ся при нашем взаимодействии. На эти моменты мы будем обращать особое внимание.

Похожие статьи

Потенциал не исчерпан

Потенциал не исчерпан

Динамика, продемонстрированная отраслью за последний год, позволяет констатировать, что страховой рынок не только активно и успешно развивается, но и имеет хороший…
Смысл страхования

Смысл страхования

Из выступления Директора Департамента страхового рынка Банка России Ильи Смирнова на конференции «Claims&Pays 2025. Урегулирование убытков в страховании»
Урегулирование важнее

Урегулирование важнее

Фокус на клиентоцентричность и диджитализацию страхового продукта сейчас смещается с этапа продажи полисов на этап урегулирования. Президент ВСС Евгений Уфимцев рассказал,…