Австралийский пруденциальный регулятор посоветовал банкам увеличить инвестиции в ИТ, но не на новые технологии.
Председатель правления Уэйн Байрес заявил вчера на конференции Curious Thinkers Conference 2018 в Сиднее, что бюджеты банков должны расти, чтобы удовлетворить конкурирующие потребности в поддержании существующей системы, развертывании новых технологий и снижении рисков кибербезопасности.
Он сказал, что, хотя держать свет включенным было “гораздо менее захватывающе” и “часто привлекало меньше внимания”, стабильные инвестиции были необходимы для поддержания здоровья и пригодности для целей существующих систем.
“Озабоченность APRA заключается в том, что понятное желание инвестировать в новые технологические продукты и услуги в сочетании с необходимыми инвестициями в кибербезопасность и снижение рисков происходит за счет постоянного обслуживания существующих технологических платформ”,-сказал он.
“Это особенно проблематично, учитывая унаследованную инфраструктуру, на которой в настоящее время работают многие учреждения, часто представляющую собой лоскутное одеяло систем, которые были скреплены болтами в течение многих лет.
“Как мы должны распределять наши инвестиции’ — это важный вопрос, но более важный предшественник: “Сколько нам нужно инвестировать?”
Байрес указал на серию обзоров APRA по гигиене систем банковского сектора, в которых был обнаружен ряд случаев, когда критические системы находились в конце срока службы или в конце поддержки и не имели финансируемых планов восстановления.
Эти обзоры также показали “ограниченные доказательства” того, что такие проблемы и связанные с ними риски должным образом доводятся до сведения руководителей и членов совета директоров.
“В целом наши обзоры показали, что здоровье системной среды и связанные с ней риски не были так хорошо поняты высшими лицами, принимающими решения, как это должно быть”,-сказал он.
“Проблемы, которые мы выделили, возникли не в одночасье и отражают постоянную нехватку инвестиций в течение ряда лет.
“В нашем обзоре подчеркивается, что для содействия развитию новых технологий инвестиционные бюджеты должны быть увеличены, а не просто пересмотрены.
“Они также, вероятно, должны будут поддерживаться на более высоком уровне, чем это было в прошлом, чтобы позволить наверстать отставание в обслуживании, которое необходимо.”
Призыв сохранить инвестиции в существующую инфраструктуру следует за одним из самых сильных на сегодняшний день предупреждений Резервного банка Австралии о том, что его терпимость к отключениям платежных систем банками и поставщиками платежных услуг достигла своего предела.
Однако недостаточные инвестиции в информационную безопасность не наблюдаются, что является красноречивым признаком того, что банки пошли на многое, “пошли на значительные усилия и расходы, чтобы защитить себя от кибератак”.
“Хотя это приветствуется, мы должны убедиться, что это не ложное утешение, учитывая коварную и растущую природу угрозы”, — сказал Байрес.
Изменение позиции на облаке
Комментарии Байреса о необходимости обеспечить непрерывные инвестиции, чтобы держать свет включенным, пришли вместе с обновленным руководством APRA по аутсорсингу 2015 года [pdf], которое включало облачные вычисления.
“Новый документ признает достижения в области безопасности и защиты при использовании облака, а также возросший аппетит к этому, особенно среди новых и перспективных организаций, которые хотят использовать облачный подход к хранению и управлению данными”,-сказал он.
Новое руководство раскрывает “более открытую позицию агентства в отношении использования облачных технологий” в свете улучшения безопасности.
Он делит облачный риск на три категории – низкий, средний и высокий – в зависимости от характера использования.
Он сказал, что агентство ранее “выражало оговорки по поводу использования облака для инициатив с повышенным или экстремальным неотъемлемым риском”
Но он также сказал, что облако “не лишено риска” и что – как и во всех соглашениях об общем обслуживании – “советы директоров и высшее руководство регулируемых организаций остаются в конечном счете ответственными за безопасность своих данных”.
“Эта ответственность не может быть передана на аутсорсинг”, — сказал он.
Приложения и хранилища данных с низкой критичностью и чувствительностью, а также непроизводственные среды и веб-сайты, предоставляющие публичную информацию, попадают в категорию «низкого врожденного риска».
Это связано с тем, что в случае нарушения они окажут “низкое или незначительное влияние на бизнес-операции”.
Однако на крайнем конце спектра нарушения могут угрожать “постоянной способности регулируемого АПРА субъекта выполнять свои обязательства”.
“Примерами экстремального риска являются публичные облачные системы, включающие системы учета, которые хранят информацию, необходимую для определения обязательств перед клиентами и контрагентами, такую как текущий баланс, выгоды и история транзакций”, — говорится в руководстве.
