По мнению сопредседателя комитета информационной безопасности альянса QazTech Евгения Питолина, кибербезопасность – это не только про технологии, сообщает CMN.KZ
Об этом спикер рассказал корреспонденту издания на круглом столе «Криптография и персональные данные: передовые практики и развитие локальных решений». По мнению Евгения Питолина, очень важно осознавать дополнительные процессы при построения кибербезопасности: это и кадры, и методология, и правила доступа, и повышение осведомлённости, и постоянное тестирование на проникновение, а также киберустойчивость
В сложном вопросе взаимодействия между банками и финтех-компаниями в части защиты данных, по версии эксперта, большую роль играет защита цепочки поставщиков – Supply chain management.
«Безусловно у банков есть свои протоколы безопасности и отраслевые стандарты. На мой взгляд, работая с поставщиками, очень важно не только на бумаге подписывать и принимать ответственность за потенциальные утечки, но и создавать весь набор инструментов, начиная с тестирования на проникновение, подключение программы Bug Bounty (исследование белых хакеров), которые могут изучать платформы поставщиков и любых других инструментов», – рассказал Евгений Питолин.
Эксперт считает, что при работе банка и финтех-компаний сторонам надо проводить полноценный аудит кибербезопасности и инфраструктуры, а также работать с персоналом потенциального партнёра. Это поможет построить систему доверия, где поставщика выбирают не по коммерческим факторам, а стараются обезопасить своего клиента в будущем.
По словам эксперта, сейчас популярность набирает защита протокола безопасности – API (Application Programming Interface.
«Шифрование – это один из ключевых элементов защиты, но есть и масса других. Когда говорят про новые продукты и коллаборации между банками, финтехом и стартапами, защита протоколов взаимодействия API становится безумно важной вещью. Там есть и куча рисков: свободного доступа данных через протоколы. Например, коллаборация закрывается, а доступ к данным остаётся даже спустя долгие годы», – сообщил Питолин.
При этом сопредседатель альянса QazTech уверяет, что утечка данных ведёт к репутационным и имиджевым рискам, а если в Казахстане будут внедрять оборотные штрафы, то и к денежным. Эксперт посоветовал компаниям не внедрять все инструменты одновременно, а найти баланс. Он считает, что включение нескольких уровней защиты нужно делать последовательно.
Что же касается подходов к защите данных, то они сильно поменяли с развитием Open Bankingа.
«Он вынуждает всех участников процесса быть более ответственными, понимая, что любое действие потенциально может привести к огромному ущербу для клиентов и организаций. Внедрение стало тем трамплином, который требует становиться лучше».
Процент с оборота: как в Европе заставляют развивать информационную безопасность
В качестве хорошего, но жёсткого примера кнута, Евгений Питолин привёл оборотные штрафы в Европе, на которых построено всё законодательство.
«Любая компания, где доказана утечка и стало известно, что предприятие ничего не сделало, чтобы её предотвратить или снизить последствия ущерба, платит какой-то процент от оборота. Иногда этот процент может быть колоссальным и достигать чуть ли не годового оборота. Такую компанию может ждать крах. Но самое главное эффективность принимаемых мер по защите резко становится в разы больше. Потому что невозможно научить людей делать как-то иначе».
По словам эксперта, в Казахстане сейчас сложилась несколько иная ситуация. Предприятия не вкладываются или слабо вкладываются в построение защиты персональных данных, потому что проще заплатить штраф при обнаружении утечки. При этом на другой стороне весов остаётся дорогая система шифрования, стоимость которой может превышать десятки миллионов тенге. Поэтому, считает Питолин, оборотные штрафы – это разумный шаг на пути к ответственному и обоснованному подходу к кибербезопасности.
Читайте также: Цифровая песочница Казахстана: почему криптозащиту приходится сертифицировать
