Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

Регулирование ИТ государством

Регулирование ИТ государством

Сегодня почти во всех цивилизованных странах регулятор пытается оказывать влияние на ИТ-инфраструктуру во многих сферах жизни. Особенно ярко оно отражается на вопросах, касающихся безопасности и обработки персональных данных. Очевидно, что не всегда эти действия оказываются эффективными. Совсем недавно эксперты Digital Security Research Group поделились своими соображениями относительно безопасности российских банков. Их отчет говорит о том, что требования регулятора, сколь жесткими бы они ни были даже в этой области, не всегда дают 100% гарантии.

Исследование проводилось в 2009 — 2011 годах и сосредоточилось на средствах дистанционного банковского обслуживания, доступных практически у всех коммерческих банков в России (в общей сложности у нас работает около 1000 банков). В результате были выявлены уязвимости, в т.ч. критические, свойственные, по мнению аналитиков, системам, созданным более десятилетия назад. У экспертов возникли вопросы и к используемым технологиям, и к средствам разработки продуктов многих производителей, присутствующих на рынке. По их мнению, несовершенство инструментов дистанционного обслуживания может закончиться раскрытием персональной информации клиентов, банковской тайны и т.п.

Сами представители банков утверждают, что не все так плохо. Их логичных аргумент заключается в том, что если бы уязвимости действительно были бы столь банальными и массовыми, как рассказывают аналитики, сейчас основной объем мошенничества шел бы именно через дистанционные банковские системы. Соответственно, такой инструмент, как удаленный банк-клиент, просто отошел бы в небытие из-за повышенных рисков.

Но вопрос даже не в количестве уязвимостей в конкретных продуктах, а в тенденции. Банковское ПО подчиняется закону о персональных данных, кроме того, есть отдельные требования для сертификации поставщиков криптографических решений. Продаваемые решения наверняка удовлетворяют всем формальным условиям, иначе они бы просто не могли выжить на рынке.

Понятно, что безопасность ИТ-инфраструктуры банков — задача, которая лежит на самих банках. Никто не отменял деловую репутацию, конкурентов и т.п. Иносказательно, если деньги будут храниться не в сейфе, а в картонных коробках прямо в офисе, никто их в такой банк просто не понесет. Но если, грубо говоря, «отключить мозг» и делать банковское ПО только в соответствии с законом, оно не справится с поставленной задачей.

Итого, мы имеем требования и реальную жизнь, которые разошлись очень далеко друг от друга. Не означает ли это, что надо менять форму или суть требований? Как вы считаете, какой путь был бы оптимальным:

  • Оставить все как есть. В этом случае безопасность персональных данных и коммерческая тайна остаются на совести банков. Возможно, кто-то пострадает, но рынок будет сам себя регулировать. Скомпрометированные банки, скорее всего, будут терять клиентов вместе с доходами. Можно им дополнительно «ухудшить жизнь», проработав меры ответственности банков за подобные проступки. Однако в этом случае, передача денег банку будет равносильна лотерее. Если до сих пор проблем не было, это ведь не значит, что завтра не найдется умелец и не сломает систему?
  • Поднять планку формальных требований с точки зрения законодательства. Можно ввести дополнительные законодательные акты в наиболее актуальных сферах применения ИТ. Что-то вроде еще нескольких «законов о персональных данных», касающихся тонкостей разработки, архитектуры и других аспектов. Законодательная машина инертна, т.е. требования регулятора неизбежно будут опаздывать за реальным положением дел. Плюс не совсем понятно, какие формальные требования к разработке можно изобрести, чтобы их нельзя было обойти с помощью непредусмотрительности и некомпетентности (точнее, чтобы некомпетентный разработчик не мог сделать «формально правильно», но не безопасно). Так же как не понятно, кто эти требования будет разрабатывать. Законы, к сожалению, творят не специалисты в предметных областях. Таким образом, при применении такого пути мы рискуем получить ненужные ограничения и лишнюю бюрократию во многих смежных сферах.
  • Ввести лицензирование и лицензирующие организации. В этом случае оценку требований в каждом конкретном продукте можно было бы передать в руки компетентных специалистов. Однако им придется безгранично доверять. И никто не сможет дать гарантию, что при лицензировании того или иного продукта не был применен «финансовый» способ решения вопроса, вместо исправления найденных ошибок.

Какое из зол, на ваш взгляд, было бы наименьшим?

Дополнительные материалы

Комментарии (0)