Постанова НБУ № 95 – нове впровадження кібербезпеки в банковскому секторі

Illustration

05.10.2017
Кібербезпека стала дуже актуальною та затребуваною в Україні! Такою є сьогоднішня реальність, що виникла внаслідок масштабних хакерських атак.
2017 рік став переломним та дуже складним для банківської системи України. Навесні багато банків заражені глобальним вірусом шифрувальником WannaCry, який вражає комп'ютери з операційною системою Microsoft Windows. Ця шкідлива програма масово виводила з ладу робочі місця касирів, менеджерів, операціоністів та інших банківських службовців.
Здавалося, що після цього випадку всі, хто постраждав, мали вжити серйозних заходів для підвищення захищеності банківських систем і мереж. Але реальність показала таке: 27 червня о 10:00 вірус Petya.А вразив 70% банківської інфраструктури України.
Це призвело до того, що деякі системоутворюючі банки кілька годин не могли проводити платежі. Цього разу постраждали не лише робочі місця банківських службовців, а й, що дуже небезпечно, сервери та бази даних.
Навіть через місяць після закінчення атаки вірусу Petya.А деякі банки продовжували відновлювати порушені бізнес-процеси та втрачені дані.
Після цієї масштабної атаки хакерів, яка сильно вразила громадськість, Національний банк України (НБУ) як регулятор банківської системи почав розробляти заходи, які б дозволили в майбутньому запобігти подібним ексцесам.
Результат цієї роботи наступний - Національний банк України (НБУ) ухвалив Постанову №95 від 28.09.2017, яку було офіційно опубліковано 04.10.2017 року.
Ця Постанова розроблена з метою удосконалення вимог щодо захисту інформації в системах банків із урахуванням актуальних кіберзагроз.
Постанова складається із вимог, які необхідно запровадити для забезпечення інформаційної безпеки та кіберзахисту банків.
 Більш детально Постанову №95 можна вивчити на сайті Національного банку України (НБУ).
Постанова № 95 складається із 150 пунктів, які описують принципи, підходи та вимоги до інформаційної безпеки. Кожен український банк має дотримуватись усіх вимог, викладених у цій Постанові.
Усього 12 пунктів із Постанови №95 містять загальний опис підходів та за своєю суттю вимогами не є.Решта 138 пунктів – це перелік вимог, які перевірятимуть Національний банк України вже з першого березня 2018 року.
Як тільки була опублікована Постанова НБУ №95, цю новину журналісти і оглядачі піднесли як катастрофу, що насувається на банківську галузь.
Все, що пов'язане з Постановою №95, почали називати «банкопад 2.0». Але, перш ніж лякати своїх читачів, необхідно запитати думки тих фахівців, які допоможуть банкам виконати всі вимоги Постанови №95.
Для того, щоб виконати вимоги НБУ з Постанови №95, банкам доведеться тісно співпрацювати зі спеціалістами у сфері кібербезпеки.
Наша компанія «ІT Спеціаліст» має у своєму штаті кваліфікованих спеціалістів та всі необхідні інструменти, програми та обладнання для того, щоб допомогти банкам виконати всі вимоги з Постанови №95.
Розберемо коротко, у чому є суть вимог Постанови НБУ №95, і що банкам необхідно зробити до дати старту перевірок.
Вимоги, які містяться у Постанові №95, не є повністю оригінальною розробкою Національного банку України. Джерелом цих вимог послужили Міжнародні стандарти ISO/IEC 27001, ISO/IEC 27002 та PCI DSS, а також ранні постанови НБУ, присвячені питанням інформаційної безпеки.
При цьому 84 вимоги зі 138 належать до технічних аспектів і мають на увазі або впровадження нових систем захисту, або переналаштування існуючих.
Щодо запровадження нових засобів захисту, банкам необхідно вже зараз передбачити бюджет на їх закупівлю, розгортання та запуск.
Постанова Національного банку України (НБУ) №95 вимагає, щоб у банки впровадили такі основні технічні системи:
• виявлення атак;
• моніторинг події керування інцидентами;
• контроль доступу до мережі;
• захист електронної пошти;
• запобігання атакам, спрямованим на відмову в обслуговуванні;
• антивірусний захист;
• двофакторна автентифікація.
Наступні 30 вимог зі 138 мають на увазі виконання організаційних змін або створення нових бізнес-процесів.
Так, наприклад, банк зобов'язаний сформувати керівний орган з інформаційної безпеки, у який необхідно включити вище керівництво рівня правління. Також кожен банк, незалежно від його розміру, повинен мати підрозділ, який відповідає за інформаційну безпеку, і в його складі має бути не менше двох осіб.Кожен український банк повинен регулярно проводити тестування на проникнення в критичні системи банку.
Остання група вимог - 24 вимоги зі 138. Необхідно, щоб у банках було розроблено нормативні документи, що встановлюють правила для роботи персоналу.
Перерахуємо деякі аспекти, які мають бути прописані у цих документах:
• використання змінних носіїв інформації;
• надання, скасування та контроль доступу до банківських інформаційних систем;
• використання криптографії;
• контроль змін на рівні мережі;
• використання електронної пошти.
Для того, щоб запровадити ці 138 пунктів із Постанови №95, українському банку необхідно мати досвідчених фахівців у різних галузях інформаційної безпеки.
Ці фахівці повинні мати найбільший досвід у побудові системи інформаційної безпеки, у проектуванні процесів, у впровадженні та експлуатації технічних систем захисту, а також у розробці нормативних документів. Не всім українським банкам вдається знайти, залучити та утримати фахівців високого рівня, які працюють у сфері кібербезпеки.
Часу до того, як НБУ почне перевіряти банки щодо виконання Постанови №95 (березень 2018 року), дуже мало. Якщо банки підійдуть до реалізації вимог, викладених у Постанові НБУ №95, зі своїм стандартним підходом до бюджетування проектів, то швидше за все вони не встигнуть виконати все вчасно.
Для того, щоб виконати всі вимоги НБУ до березня 2018 року, необхідно екстрено виділяти бюджет на створення кібербезпеки банку. Таке можливе лише за тісної співпраці з компанією, що спеціалізується у сфері кібербезпеки. Однією з таких компаній є наша компанія – «ІТ Спеціаліст».
Компанія «ІТ Specialist» має багаторічний досвід побудови систем управління інформаційною безпекою.
 У нашому штаті цілодобово працюють кваліфіковані фахівці, сертифіковані аудитори, інженери та білі хакери – це команда справжніх професіоналів!
Для вашого банку ми проведемо аудит, розробимо план виконання всіх вимог НБУ з Постанови №95 та допоможемо реалізувати його в найстисліші терміни.
Для індивідуальної консультації зверніться до наших провідних фахівців.