24 февраля 2015 г.

Банковская безопасность на круглых столах в Магнитогорске

В этом году на банковском форуме в Магнитогорске я с презентацией не выступал, но поучаствовал в двух круглых столах. В одном, с регуляторами, - в качестве ведущего, в другом, по приглашению Натальи Касперской, – в качестве эксперта.
Регуляторов собралась серьезная команда – сенатор, зампредседателя комитета Совфеда по конституционному законодательству Л.Н. Бокова, замначальника ГУБЗИ Банка России А.М. Сычев, и замдиректора департамента НПС Т.К. Батырев, начальник управления защиты прав субъектов персональных данных Роскомнадзора Ю.Е. Контемиров, начальник 2 Управления ФСТЭК России В.С. Лютиков и два представителя ФСБ России – В.М. Простов и С.Н. Юдин. Хотел бы еще раз, публично, выразить благодарность участникам обсуждения за активное участие в этом мероприятии. Магнитогорск – одно из немногих мест в нашей среде, где представители органов власти и Банка России оказываются вместе, обсуждают общие проблемы и где любому из них можно задать любой вопрос. Последним, кстати, на мой взгляд, банковское сообщество воспользовалось весьма слабо. И предварительных вопросов именно от банков было очень мало, и на сессии вопросов зажигали в основном не банкиры.

И тот, и другой круглые столы оказались непростыми. Разговорить регуляторов – всегда задачка с несколькими неизвестными, и чем более сложный вопрос, тем больше вероятность получить самый общий ответ. Не ставлю задачей этого поста глубокий анализ сказанного, но кое-какие выводы сделал сразу. Некоторые посчитали все ответы Л.Н. Боковой не слишком конкретными, однако в них была заложена одна совершенно четкая мысль – свои проблемы банки, в первую очередь, должны решать сами, инициируя нужные им законодательные инициативы, формируя их текст и лоббируя принятие. И особо рассчитывать на чью-то помощь при этом не надо. Снова всплывает тема саморегулирующейся организации, что, при наличии двух крупных банковских ассоциаций, вызывает у участников рынка довольно неоднозначную реакцию.
Похоже, непросто будет строиться FinCERT и завязываться с ГосСОПКА (система обнаружения и предупреждения компьютерных атак, создаваемая ФСБ России). Не видно перспектив облегчения работы с банковской отчетностью, пока, во всяком случае. Заработает на полную мощность FinCERT, закончатся уточнения распределений полномочий между реформированными подразделениями Банка России, вот, может быть, тогда…
Очень понравились ответы Ю.Е. Контемирова – по делу, без попыток увести в сторону. Если ответить по какой-то причине нельзя – так и говорится. Мне показалось, что потихоньку к некоему знаменателю приходит тема 242-ФЗ, для банков, во всяком случае. Из ответов (на слух, запись не анализировал) показалось, что особых проблем новый закон российским банкам не создаст, как тем, которые являются «дочками» иностранных и ведут информационный обмен по персоналу и клиентам с материнским банком, так и для осуществляющих трансграничные денежные переводы. На март обещано очное разъяснение позиции регулятора кредитно-финансовым учреждениям, что тоже крайне полезно.
В.С. Лютиков порадовал неизменностью позиции ФСТЭК в отношении лицензирования деятельности по ТЗКИ и призвал решать вопросы путем направления конкретных запросов во ФСТЭК. Службу в последнее время отличает готовность к диалогу, приверженность выбранной линии развития системы нормативного регулирования и активное привлечение к работе специалистов отрасли, желающих поучаствовать в процессе.
Не так просто шло общение с представителями ФСБ. Находящихся на сцене можно понять – они находятся в жестких рамках ведомственной позиции. Но от этого не легче – использование протокола https в системах ДБО, электронная подпись из облака, аттестация рабочих мест, на которых установлены СКЗИ, по-прежнему остаются в некой пограничной зоне, а поэтому и в зоне риска банков.
Из круглого стола Н. Касперской про жизнь отрасли во время кризиса сделал для себя вывод, что главной проблемой ближайших лет будут не отсутствие денег, не технологии, не таргетированные атаки (кто-то из участников, по-моему, Р. Хайретдинов справедливо отметил, что других теперь и нет), а кадры. Тема персонала постоянно всплывала в ходе обсуждения, и ничего утешительного я не услышал и не сказал сам. Я приводил пример – при сокращении штатов, большом количестве ищущих работу, в том числе банковских специалистов, на мое сообщение в Фейсбуке о вакансии в банке, где надо было конкретно заняться нормативкой, а не «руководить процессом», пришло ровно одно резюме. Одно. Могу лишь повторить свой неутешительный прогноз: там, где служб ИБ не было, они в ближайшее время не появятся, там, где служба не смогла доказать, что приносит (не дает красть, экономит) конкретные, поддающиеся подсчету, деньги, службу сократят до возможного, по мнению руководства банка, минимума. Возможно – совсем. Не случайно В. Окулесский много рассказывал о том, что они делают в «Банке Москвы» именно с точки зрения сокращения реальных затрат и потерь.
В целом мне эти мероприятия понравились. Все-таки живое общение лучше монотонных презентаций, особенно, если выступающий сидит за трибункой на стуле или перемежает слайды на русском и английском языке.
В заключение. Все высказанные в посте мнения являются субъективными и оценочными. Вполне допускаю, даже уверен, что у кого-то прямо противоположная точка зрения или совсем другие впечатления.
И спасибо организаторам. Все-таки подготовка пятидневных мероприятий – колоссальный труд, по себе знаю. Ни одной сколь-нибудь серьезной проблемы с точки зрения организации я не увидел.
Есть одна очень важная задача для того, чтобы форум сохранился и развивался дальше. Надо делать все, чтобы на него приезжало больше банкиров. Знаю, что трудно. Но очень надо.

1 комментарий:

  1. > где надо было конкретно заняться нормативкой, а не «руководить процессом», пришло ровно одно резюме. Одно.

    У вас, конечно же, в описании вакансии стоял и опыт, и знание нормативной документации и т.п.
    Очень мало фирм, которые сами посылают специалистов на переподготовку или повышение квалификации и пытаются на этом работать.
    Да и тяжело, когда не знаешь, чего ждать от регуляторов. Риски большие, конечно. Но, всё-таки, в большинстве случаев те, кто не могут найти специалистов в ИТ выдвигают очень много требований, а зарплату дают такую, что выпускники больше находят. Естественно, у них мало откликов и они жалуются, что годами не могут найти вакансии, хотя в нормальных фирмах за пару месяцев по нескольку человек новых берут и работают (не в ИБ).
    Исключения составляют специалисты-смежники, типа различных расчётчиков, специалистов и в программировании, и в, скажем, расчётах на прочность или железнодорожной сигнализации.

    Всё остальное спокойно находится и доучивается.
    Может у вас ситуация другая, но, честно говоря, видя ситуацию с админами и программистами, похоже, что ситуация абсолютно идентичная.

    ОтветитьУдалить