«Բանկերի մեծ մասը չունի տեղեկատվական անվտանգության բավարար մակարդակ»

«Ապագա Թեքնոլոջիս» ընկերության գլխավոր տնօրեն Միշել Դավուդյանի հարցազրույցը Մեդիամաքս գործակալությանը

- Ապրիլի 27-ին «Ապագա Թեքնոլոջիս»-ը սեմինար անցկացրեց բանկերի եւ ֆինանսական հատվածի այլ ընկերությունների համար ISO 27000 տեղեկատվական անվտանգության համակարգերի կառավարման նոր ստանդարտների թեմայով: Շնորհանդեսի ընթացքում նշվեց, որ ստանդարտները նշանավորում են նոր փուլ ՀՀ ֆինանսական համակարգի զարգացման մեջ: Ինչո՞վ է դա պայմանավորված, եւ որո՞նք են նոր ստանդարտների առավելությունները:

- ՀՀ կառավարությունը որոշել է տեղայնացնել ISO/IEC 27000 միջազգային ստանդարտները եւ դրանք ընդունել որպես ազգային: Այդ ստանդարտները կարող են ընդունվել ցանկացած ընկերության կողմից, սակայն, հատկապես պետք է ուշադրության առնվեն բանկերի ու ֆինանսական ինստիտուտների կողմից: Եթե մենք ցանկանում ենք, որպեսզի մեր բանկային հատվածը մրցունակ լինի ազգային եւ միջազգային մակարդակով, պետք է ընդունենք այդ ստանդարտները` որպես տեղեկատվության պաշտպանության լավագույն ուղի:

Այդ ստանդարտները մշակվել են տարբեր հեղինակավոր ընկերությունների կողմից, այդ թվում` HSBC, Royal Dutch Shell, Unilever եւ British Telecom: Սրանք խոշոր ընկերություններ են, որոնք շատ լավ են կազմակերպված եւ չափազանց զգույշ են տեղեկատվական անվտանգության հարցերում:

Կարծում եմ` այդ ստանդարտների ներդրումը շատ կարեւոր է Հայաստանի համար: Ստանալով ISO27001 հավաստագիրը` ՀՀ բանկերը բազմաթիվ առավելություններ կունենան միջազգային բանկային համակարգի հետ համագործակցության ընթացքում: Ինչպես, հավանաբար, գիտեք, հայաստանյան կրեդիտ-քարտերը չեն ընդունվում շատ երկրներում` լինելով նույնիսկ Visa եւ Mastercard: Հաճախ դրանով հնարավոր չէ վճարել գնումը, օրինակ, eBay-ով: Իսկ երբ միջազգային բանկերն իմանան, որ ՀՀ բանկերը եւս համապատասխանում են ISO27000 ստանդարտներին, ի թիվս շատ այլ առավելությունների` մեր քարտերը կընդունվեն բոլոր երկրներում:

Երբ ընկերությունը լավ է կազմակերպված, դուք անհրաժեշտություն չունեք միեւնույն բանն անել երկու անգամ: Այդ ստանդարտների ընդունումը ընկերություններին օգնում է օպտիմալացնել եւ ռացիոնալ դարձնել իրենց աշխատանքն ու կրճատել ծախսերը: Ստանդարտները ճկուն են, դրանք ընկերությանը չեն թելադրում` ինչպես գործել, այլ խորհուրդ են տալիս համապատասխանել որոշակի կանոնների. ընկերությունը կարող է ինքնուրույն որոշել` համապատասխանե՞լ ստանդարտների շատ կետերին, թե՞ ոչ:

- ՀՀ որքա՞ն բանկեր ու ֆինանսական կազմակերպություններ են սկսել ներդնել տեղեկատվական անվտանգությանն նոր ստանդարտները: Ո՞րն է «Ապագա Թեքնոլոջիս»-ի դերն այդ գործընթացում:

- Չափանիշները դեռ ոչ մեկը չի ընդունել, սակայն հայաստանյան բանկերի մեծամասնությունը դրանց ներդրման ուղու վրա է: Սկզբում մենք ընկերություններին առաջարկում ենք կատարել տեղեկատվական անվտանգության աուդիտ (Information Security Audit Snapshot - ISAS)` համամասնական սանդղակով որոշվող իրադրության գնահատման ծառայությունը: Դա տալիս է ընկերությունում տեղեկատվական անվտանգության ընթացիկ մակարդակի ճշգրիտ պատկերը: Մենք հետազոտում ենք ոչ միայն դրանց IT-ենթակառուցվածքը, այլեւ տեղեկատվական անվտանգության հետ ասոցիացվող այլ բնագավառներ` բիզնես-պլանավորում, ֆիզիկական անվտանգություն, աշխատանքային ռեսուրսների անվտանգություն, մատչելիության կառավարում եւ այլն: Ապա մենք պատրաստում ենք հաշվետվությունը, որում նկարագրում ենք ընթացիկ իրավիճակը, ինչպես նաեւ նախանշում ենք անհրաժեշտ քայլեր հավանական խնդիրների լուծման նպատակով: Սա անհրաժեշտ է ISO2700 սերտիֆիկատ ձեռք բերելու համար:

Խնդիրների մեծ մասն ընկերությունը կարող է լուծել ինքնուրույն, սակայն որոշ բարդ խնդիրների լուծման համար անհրաժեշտ է արտաքին օժանդակություն: Օրինակ, եթե ISAS-ի արդյունքում մենք որոշում ենք 100 քայլ, ապա ընկերությունն ի վիճակի է ինքնուրույն կատարել դրանցից 70-ը, իսկ մնացած 30-ը` այնպիսի ընկերության խորհրդատվությամբ, ինչպիսին է «Ապագա»-ն:

- Ինչպե՞ս եք գնահատում ՀՀ ֆինանսական հատվածի տեղեկատվական անվտանգության մակարդակը: Այդ հարցում մենք ինչո՞վ ենք զիջում զարգացած երկրների ֆինանսական հատվածներին:

- Մենք անցկացրել ենք հետազոտություններ հայաստանյան մի քանի բանկերում եւ, թեեւ չեմ կարող բացահայտել մանրամասները, կասեմ, որ ՀՀ բանկերի մեծամասնությունը չունի տեղեկատվական անվտանգության բավարար մակարդակ: Հայաստանում ֆինանսական շատ կազմակերպություններ չունեն արդյունավետ ինքնապաշտպանության եւ մոնիտորինգի միջոցներ: Պատճառն այն է, որ ընկերությունների մենեջմենթը հստակ  չի գիտակցում տեղեկատվական անվտանգության հարցերի կարեւորությունը: Մենեջմենթը հաճախ ասոցիացնում է այն միայն IT-ի հետ, մինչդեռ իրականում տեղեկատվական անվտանգությունը վերաբերում է ձեռնարկությունների բոլոր օղակներին: Ժամանակի ընթացքում բանկերը ստիպված կլինեն համապատասխանել ISO27000 ստանդարտներին, եւ ՀՀ Կենտրոնական բանկը /ԿԲ/, անկասկած, դա կխրախուսի, քանի որ անցումը նոր ստանդարտներին կարգավորչի համար կհեշտացնի ֆինանսական հատվածի հսկողությունն ու գնահատումը:

- Քանի՞ երկրներ են ամբողջությամբ անցել նոր ստանդարտներին:

- Ստանդարտները ներդրած ընկերությունների մեծամասնությունը գտնվում են Ճապոնիայում, Հնդկաստանում, ԱՄՆ-ում եւ Եվրոպայում: Սակայն նույնիսկ Եվրոպայում ոչ բոլոր խոշոր ընկերություններն ունեն ISO27001 սերտիֆիկատներ, քանի որ այդ ստանդարտները հարաբերականորեն նոր են: Ներդրման ամբողջական գործընթացը ենթադրում է խորը կազմակերպչական եւ մշակութային փոփոխություններ ընկերության աշխատանքում եւ կարող է զբաղեցնել մինչեւ 2 տարի:

Նշեմ, որ նույնիսկ եթե ընկերությունը չի ձգտում ստանալ սերտիֆիկատ, դա չի նշանակում, որ այն չպետք է ներդնի այդ ստանդարտները, քանի որ դրանք լավ ուղեցույց են աշխատանքում կազմակերպվածության հասնելու համար:

- Ինչպե՞ս եք գնահատում տեղեկատվական անվտանգության ապահովման հայաստանյան շուկան:

- Այսօր մենք չենք կարող գնահատել շուկան, քանի որ մինչ օրս կազմակերպություններում տեղեկատվական անվտանգության առյուծի բաժինն ապահովվում է «ինքնաշեն լուծումներով»: Դա նշանակում է, որ ընկերությունն ունի սեփական IT-ստորաբաժանումը, որն ինքնուրույն կառուցում է մատչելիության պաշտպանության համակարգը եւ փոփոխում դրա կանոնները: Աշխատանքի այդպիսի մեթոդը թույլատրելի էր 10 տարի առաջ, եւ այսօր այն կիրառելի է միայն փոքր ընկերությունների, սակայն ոչ մի դեպքում` բանկերի համար: Այսպիսով, այնպիսի ընկերությունները, ինչպիսին է Apaga-ն, որոնց հաստիքներում կան եվրոպական եւ հայաստանյան փորձառու հավաստագրված խորհրդատուներ, կարող են բանկերի համար ապահովել բիզնեսի ընդլայնման անվտանգության ապահովման ծառայությունների ողջ տեսականին:

- Հայաստանում ակտիվորեն զարգանում է ինտերնետային բանկային ծառայությունների շուկան: Ինչպե՞ս է դա ազդում տեղեկատվական անվտանգության ապահովման ծառայությունների շուկայի վրա:

- Հայաստանում այդ տեսանկյունից բավականին հետաքրքիր իրավիճակ է: Բոլոր բանկերը ցանկանում են գործարկել ինտերնետային բանկային ծառայություններ: Շատերն արդեն արել են դա, սակայն ոչ միշտ անցկացնելով անվտանգության հստակ վերլուծության: Որոշ բանկերի համար դա կարող է հանգեցնել լուրջ հետեւանքների:

Հայաստանում ինտերնետի շուկան լուրջ աճ է վերապրում: Շուկայում հայտնվել են նոր օպերատորներ, բարձրանում է որակը, իջնում են գները: Այսպիսով, հայաստանյան ինտերնետ-ռեսուրսներն ունենում են ավելի շատ տեղական եւ արտասահմանյան սպառողներ, իսկ դա հանգեցնում է ռիսկերի աճին:
 
Վերջին մի քանի տարիների ընթացքում մենք ականատես ենք եղել բազմաթիվ լուրջ գրոհների Ադրբեջանի եւ այլ երկրներից, սակայն, ցավոք, մինչ օրս ոչինչ չի արվել դրանց կանխարգելման համար: Ընկերությունները մեծամասամբ շարունակում են իրենց պաշտպանել առանց արտաքին արհեստավարժ օժանդակության:

Մեր հավաստագրված խորհրդատուները մատուցում են մի շարք ծառայություններ, ներառյալ, այսպես կոչված, թափանցելիության մակարդակի թեստավորումը (penetration testing): Դա իրենից ներկայացնում է համակարգերը վերահսկելու հաճախորդի փորձը: Թեստավորումը կատարվում է ինչպես ընկերության ներսից, այնպես էլ դրսից` նույն կերպ, ինչպես դա անում են «հաքերները»: Պետք է հիշել, որ սպառնալիքների 70%-ը ներսից է: Արդյունքում, մենք գտնում ենք խոցելի բոլոր կետերը եւ հաճախորդին տալիս ենք մանրամասն խորհրդատվություններ: Դա կոչվում է «էթիկական հաքերություն»:

Այսպիսով, շուկան մեզ համար բարելավվում է: Միաժամանակ, IT անվտանգության շուկան գիտելիքների շատ բարձր մակարդակի կարիք ունի, եւ միայն իսկական պրոֆեսիոնալները կարող են դիմանալ մրցակցությանը: 25 տարի առաջ Ֆրանսիայում հիմնված մեր ընկերությունն ունի լայն գիտելիքներ տեղեկատվական անվտանգության բոլոր բնագավառներում: Մենք գիտենք նոր սպառնալիքները:

- Հնարավո՞ր է արդյոք տեղեկատվական անվտանգության ծառայություններ մատուցող հայաստանյան ընկերության մուտքը միջազգային շուկա:

- Ինձ մոտ հակառակն է ստացվել: Սկզբում ես ընկերություն եմ հիմնել Ֆրանսիայում, ապա` Բելգիայում: Սակայն, կարծում եմ, դա լիովին հնարավոր է: Հայաստանում կան տաղանդավոր երիտասարդ մասնագետներ, որոնց մենք ուսուցանում ենք, եւ մտադիր ենք նրանց դարձնել տեղեկատվական անվտանգության միջազգային մակարդակի խորհրդատուներ: