Что делается в Уругвае для улучшения аспектов кибербезопасности электронных денег?

Стремясь внедрить инновации в платежную систему, которые уже присутствуют в ряде стран, но до сих пор отсутствуют в Уругвае, Центральный банк (BCU) работает над созданием системы кибербезопасности для учреждений, выпускающих электронные деньги (EMI). Над какими этапами предстоит работать и какие "пробелы" между "должно быть и должно быть" еще остаются? BCU совместно с Агентством по электронному правительству и обществу информации и знаний (Agesic) имеет план работ по разработке данной нормативной базы, который должен быть завершен к концу 2023 года. По мнению Фабианы Сантелан, менеджера по управлению аудитом информационной безопасности компании Agesic, когда речь идет о регулировании кибербезопасности, не только в Уругвае, но и в мире, регулирование происходит "медленно", поскольку оно направлено на снижение рисков, а не на саму технологию, сказала она в интервью газете El País. Однако, говоря о работе, которую они ведут с ПИИ, он подчеркнул, что эти организации "больше озабочены тем, чтобы все делать правильно", поскольку это важно для их бизнеса. По словам Сантеллана, система кибербезопасности включает в себя пять измерений. Первый заключается в "идентификации" активов организации - от человеческих ресурсов до сервера в облаке - и рисков, которые они могут представлять. Хотя специфические отраслевые риски пока не выявлены, он пояснил, что на общем уровне существуют "повторяющиеся проблемы". Например, в этом аспекте он отметил, что не все организации имеют "сильную инвентаризацию", поскольку "это утомительные процессы". После получения "картины" активов и их рисков возникает второе измерение: "защита". В этой связи он отметил, что средства контроля, которые должны быть внедрены для снижения рисков, не всегда являются технологическими, но могут также включать в себя рабочие процессы или информационно-разъяснительные беседы. "Например, у вас может быть самая лучшая система с самым лучшим контролем доступа, а пользователь приходит и вводит слабый пароль, или у вас есть центр обработки данных с самой лучшей физической защитой доступа, а он оставляет ботинок в двери и оставляет ее открытой", - сказал он. Риски в этом измерении, отметил он, связаны не с "дефицитом", а с тем, "куда я кладу свои патроны". Третье измерение - это "мониторинг" или генерирование "обнаружения", чтобы убедиться, что "они не ставят ботинок в дверь", т.е. что управление дает эффект. По его мнению, в секторе финансов и ПИИ в целом все "неплохо", но если рассматривать остальные сектора, то "это необходимо", поскольку в конечном итоге могут возникать тревожные сигналы, "но никто их не читает, никто их не проверяет и не берет на себя труд отладить, что является ложноотрицательным или ложноположительным". По его словам, это связано с низким уровнем восприятия рисков лицами, принимающими решения в организациях, который "в значительной степени основан на том, что мы не знаем, что происходит, потому что мы не знаем, что происходит". Дело не в том, что с вами ничего не случилось, а в том, что вы никогда не обращались к врачу". Четвертое измерение - реагирование на инциденты. Необходимо "четко знать, что делать в случае возникновения инцидента", иметь план действий, а не "думать о том, что мы будем делать", когда что-то произойдет. "Что касается национальной платежной системы, финансовой системы, то это более чем понятно", - сказал он. Однако в других секторах, по его словам, эта реакция "практически равна нулю". Когда что-то происходит, они видят, что делают. Наконец, пятое измерение, на котором будет базироваться нормативная база, - это "устойчивость". То есть: "Я уже отреагировал на этот инцидент, но он может быть настолько разрушительным, что может повлиять на мою деятельность". Как мне дальше работать? Каков мой план "Б", - пояснил Сантелан. "Что касается плана "Б", то это обязательное условие. Не в финансовой системе, потому что БЦУ требует наличия плана Б, а в тех, которые не регулируются центральным банком, я бы сказал, что в очень большом проценте случаев планы восстановления отсутствуют", - сказал он. "Если мониторинг редко встречается, если управление инцидентами редко встречается, то выход на улицу с целью совершить что-то разрушительное встречается гораздо реже. Из всех измерений - самое вялое, сомневаться не приходится", - сказал он.