Кибербезопасность и инициативы Сбербанка России

Второй день деловой программы официальной российской резиденции Давос 2019 - Русский Дом  стал  основными и  открылся  рабочей дискуссией Международного конгресса по кибербезопасности. Следует признать важность и полезность инициатив Сбербанка России в постановке  этих проблем и их обсуждении на пленарных и сессионных площадках Давосского экономического форума.

  Станислав Кузнецов, заместитель председателя правления ПАО Сбербанк и Дмитрий Самарцев, директор BI.ZONE в течение часа вместе с участниками сессии в Русском доме  активно обсуждали тему "Частные корпорации vs. киберпреступность: коллаборация как ключ к успеху". Елена Теплицкая, советник Президента и Председателя Правления ПАО Сбербанка успешно продвигала эти инициативы на аналогичной сессии в рамках Каспийского дома с участием представителей США  и стран ЕС.

К основным выводам по итогам дискуссий можно отнести следующие:

- развитие киберпреступности в мире опережает развитие систем противодействия ей («Ситуация очень печальна: международной системы противодействия киберпреступности на текущий момент нет и нужно что-то с этим сделать. ...Преступники воруют деньги, данные, подрывают работу корпораций и чувствуют себя неуязвимыми. Это сегодняшняя действительность»);

- киберпреступность, в отличие от систем противодействия киберпреступлениям, не знает государственных границ, имеет экстерриториальный характер («Любой киберпреступник сегодня фактически является глобальным преступником, международным преступником. Он использует инфраструктуру различных стран, он точно и нацелено атакует компании, физические лица, юридические лица в любых странах мира, ему не нужно ограничиваться какими-то национальными границами. А правила борьбы с этими преступниками у нас всегда имеют национальные границы. "CitiGroup"— это банк, который присутствует в порядка 50 стран, и если он попробует выполнить одновременно законодательство всех стран своего присутствия, то, к сожалению, банк надо закрывать»»);

- риски мировой экономики, связанные с киберпреступностью, превышают объем ВВП многих стран («Прогноз, который мы делали год назад, составлял 1 трлн долларов убытка мировой экономике. То, что эта цифра (1 трлн долларов) состоялась по итогам прошлого года, у нас не вызывает никаких сомнений.  К 2022 году ожидается 8 трлн долларов убытка в мире [от киберпреступности]. В России такой ущерб в 2018 году составил по оценкам  более 1 трлн. рублей);

- основные объекты - мишени  киберпреступников: финансовые институты, коммерческие организации, физические лица («Как правило, во всем мире и у нас в России объектами [киберпреступлений] номер один становятся финансовые институты, кредитные организации, банки. Примерно 96% наших, так называемых кибремошенников — это те люди, которые воруют деньги у физических лиц. Всего 3–3,5% — это те самые хакеры, которые атакуют сознательно юридические лица, и всего небольшое количество хакеров — их не более 0,5%, которые занимаются так называемой разработкой серьезных вирусов, которые нацелены на управление компаниями, воровство больших данных и подобных систем. При этом атаки на население, на физических лиц, имеют тенденцию к усилению, увеличению не менее чем на 15–20% в год»);

- киберпреступность уже граничит с кибертерроризмом («Мы имеем примеры, когда хакеры, пытаясь вывести деньги, случайно или неслучайно, попадали в системы по управлению самолетами, в диспетчерские центры аэропортов, мы имеем примеры, когда критическая инфраструктура была под большой угрозой». «Главный врач Тюменской больницы проводил нейрохирургическую операцию и „благодаря“ атаке хакеров отключилось все оборудование. Было ноль шансов продолжать эту операцию. То, с чем мы столкнулись — это то, насколько в данной больнице отсутствуют правила кибербезопасности»);

- Россия, несмотря на распространенное за рубежом мнение, не является лидером в сфере киберпреступности («Мы посмотрели на структуру хакеров из различных стран мира, и российские хакеры точно не входят в пятерку, может быть даже в десятку лучших. В разные годы структура меняется. Иногда лидируют турки, иногда китайцы, иногда корейцы, иногда украинцы, иногда бразильцы»);

- классическая преступность все больше перемещается в компьютерное пространство. Киберпреступления больше не требуют обязательного наличия компьютерных навыков высокого уровня или больших финансовых затрат («атаки на обычных людей с использованием методов социальной инженерии не стоят ничего. Мошеннику не нужно быть искусным хакером, программистом. Все это можно купить как сервис в теневом интернете. Это может стоит несколько десятков, максимум — сотен долларов. Именно в России сегодня мошенничество с использованием методов социальной инженерии лидирует в мире. Стоимость выхода на этот рынок [киберпреступности] должна быть выше»);

- жертвы киберпреступности, по разным причинам, часто скрывают факт кибератак («По нашей оценке, не менее 80% всех, кто был атакован, скрывают это. По данным Интерпола, менее 1% информируют правоохранителей о том, что были хакнуты, были атакованы». «К сожалению, обучить население планеты кибергигиене — это достаточно сложная задача на корпоративном уровне ее достаточно сложно решить»);

- существует дефицит международно-правовой базы, механизмов и институтов  по борьбе с киберпреступностью («Внедрение GDPR (General Data Protection Regulation — европейский инструмент защиты информации) ... привело к тому, что сервис WhoIs перестал работать. Сегодня, чтобы узнать, кто стоит за IP-адресом нужно обращаться в полицию. Бюрократия международных отношений между полициями занимает месяцы, а в расследовании кибератак счет идет на минуты»);

- низкий уровень профессиональной компетенции в государственных  органах, отсутствие единой системы подготовки кадров  и недостаточный уровень экспертизы в сфере борьбы с киберпреступностью («Основная проблема сегодня — это то, что вся экспертиза в этой области сосредоточена в корпоративных, крупных игроках — международных. Это банки, технологичные компании, компании, которые являются экспертами в этой предметной области". В России ежегодно выпускается 17 тысяч специалистов по кибербезопасности, но в силу отсутствия единого стандарта их качество оставляет желать лучшего. В Москве в отделениях Сбербанка работает 400 таких специалистов, выпускников 206 вузов,  для переподготовки которых  создана Академия кибербезопасности  и Сбербанк подписал соглашения с 8 вузами).

В своем выступлении  Владимир Лопатин - научный руководитель РНИИИС, генеральный директор Ассоциации интеллектуальной собственности Корпорации РНИИИС, главный редактор журнала "Информационное право" остановился на ряде проблем, требующих осмысления и  решения с правовых позиций при выработке Стратегии, концепций и программ  противодействия  киберпреступности на корпоративном - государственном - международном уровнях.

Исходя из собственного опыта подготовки концепций и доктрины в сфере информационной безопасности он предложил  на стратегическом уровне на данном этапе поставить две цели: как объединить усилия при межгосударственном и межведомственном взаимодействии и как разделить / дифференцировать объекты защиты от киберугроз.

 В частности, признавая позитивную роль инициатив Сбербанка России в постановке и решении  проблем в этой  сфере, очевидно также, что без государственного участия здесь не обойтись. В то же время, любые усилия на национальном и региональном уровнях по противодействию  киберпреступности упираются в существующие международные правовые барьеры,  отдающие приоритет в защите на национальный уровень. По-видимому, назрела ситуация принятия единого международного договора с исключением из этого правила и  обязательного для всех стран по основным процедурам защиты от киберпреступности и привлечения  к ответственности лиц, виновных в этом. Роль бизнеса здесь в мотивации национальных правительств и парламентов в   подписании и ратификации такого договора.

Необходимость разделения/ дифференциации объектов защиты от киберпреступлений также определяется разностью правовых режимов охраны  объектов (информация и информационные ресурсы (персональные данные, охраняемая законом тайна, базы данных как объекты интеллектуальной собственности), программное обеспечение и информационные технологии - как объекты интеллектуальной собственности, технические средства - как объекты вещной собственности)  и правовых статусов их субъектов  (обладатели информации, правообладатели интеллектуальной собственности и собственники). Кроме того, до сих пор остается неясным и различным по решению в разных странах вопрос о соотношении правовых статусов этих субъектов  в рамках  информационных систем и их операторов.

«Они [корпорации] должны объединяться, создавать глобальные базы данных киберугроз. Это может быть на базе блокчейна»,- предложил Александр Иванов, основатель блокчейн-платформы Vostok.  «Можно собирать доказательную базу совместными усилиями частных компаний для того, чтобы отдавать эту информацию правоохранительным органам»,- заметила Светлана Гербель, генеральный директор ООО «Сименс Здравоохранение».

Подводя итоги дискуссии, Станислав Кузнецов, заместитель председателя правления ПАО Сбербанк призвал к объединению усилий: «Этот год должен стать переломным не только для российских, но и для мировых компаний, когда мы должны научиться обмениваться информацией. Мы не должны делать из обмена информацией о киберпреступниках бизнес. Мы должны научиться обмениваться в онлайн формате с нашими партнерами подобного рода информацией, использовать ее автоматически для того, чтобы обучать наши системы быть эффективней в противодействии киберпреступникам, Нам надо строить мост между правоприменением и частным сектором».

  Руководители Сбербанка пригласили всех участников дискуссии к ее продолжению в рамках Международного конгресса  кибербезопасности, который организуется Сбербанком и пройдет в Москве 20-21 июня 2019 г.