Российские банки занимаются безопасностью ради галочки
Zecurion Analytics и Ассоциация российских банков представили результаты исследования состояния информационной безопасности банков, действующих на территории РФ. Согласно ответам респондентов, «бумажная» безопасность превалирует над реальной: так, 91,2% банков ведут проекты по информационной безопасности для того, чтобы соответствовать требованиям регулирующих органов. При этом повысить качество бизнеса стремятся лишь 33,6% банков, рассказали CNews в Zecurion.
В целом, как заключили исследователи, на сегодняшний день в российских банках недостаточно высокий уровень зрелости информационной безопасности, и одной из основных причин данной проблемы является сложная структура процессов, связанных с принятием решений в этой области. Только 63,5% кредитных организаций имеют профильные ИБ-отделы, а бюджет на информационную безопасность выделяет лишь 31,3%. Не удивительно, что оценку ИБ-рисков в таких условиях проводит всего около четверти (26,1%) всех банков, отметили в Zecurion.
Широко распространено смешение бюджетов ИТ и ИБ (23,1%). «Еесли такая ситуация ещё как-то оправдана для банков, где безопасностью занимается ИТ-подразделение, то для банков с выделенными службами ИБ подобный подход категорически не применим, — считают в Zecurion. — Службы ИТ и ИБ вообще должны быть максимально разведены и функционировать самостоятельно, что невозможно сделать в условиях общего бюджета, интересы их в любом случае будут пересекаться». Наконец, почти треть банков (31,3%) вообще не планирует расходы на ИБ.
«Выполнение требований регуляторов, безусловно, критически важно для банков. В противном случае последуют санкции вплоть до отзыва лицензии, — подчеркнул Александр Ковалев, заместитель генерального директора компании Zecurion. — Однако за ворохом бумажной работы теряется сама цель информационной безопасности — повышение конкурентоспособности кредитной организации. До тех пор пока специалисты по ИБ будут сосредотачивать свои основные усилия на «бумажной» безопасности, реальная будет страдать».
Источник финансирования проектов по ИБ в российских банках
По мнению экспертов Zecurion, результаты исследования подтверждают факт, что банковская сфера является одной из наиболее регулируемых отраслей в России. Большинство респондентов (76,9%) среди основных сложностей при ведении проекта по ИБ отмечают суровый нормативный прессинг. Это объясняется тем, что специалисты по безопасности обязаны в строгом порядке учитывать требования 5 регуляторов: ФСТЭК, ФСБ, Роскомнадзора, «Центрального Банка» и Росфинмониторинга. Среди других трудностей выделяются слабое понимание целей и принципов работы информационной безопасности сотрудниками бизнес-подразделений (40%), недостаток финансирования (38,8%) и нехватка квалифицированного персонала (38,1%).
Выяснилось, что кадровый голод в области ИБ испытывают 62,7% российских банков. В основном это обусловлено недостатком специалистов на рынке труда, их низкой квалификацией либо слишком высокими зарплатными требованиями. Кадровый голод мотивирует кредитные организации уделять особое внимание подготовке собственных специалистов. Так, 73,8% банков оплачивают сотрудникам специализированные курсы, а 26,1% направляют персонал на курсы конкретных производителей систем защиты. Определяющими критериями при подборе ИБ-специалистов являются опыт работы в сфере информационной безопасности (важно для 80,6% банков) и профильное образование (53,7%).
Всего в исследовании приняло участие 134 банка, что составляет чуть меньше 15% от общего количества банков, действующих на территории России.
© CNews