ТЕОРІЯ ТА ПРАКТИКА ЗАБЕЗПЕЧЕННЯ КІБЕРСТІЙКОСТІ БАНКІВ
О. А. Криклій
DOI: 10.32702/2307-2105-2020.10.50
УДК: 336.717
О. А. Криклій
ТЕОРІЯ ТА ПРАКТИКА ЗАБЕЗПЕЧЕННЯ КІБЕРСТІЙКОСТІ БАНКІВ
Анотація
У статті доведено важливість формування концепції забезпечення кіберстійкості банків на сучасному етапі розвитку цифрової економіки країни, зважаючи на негативний фінансовий та нефінансовий вплив кібератак на банківську систему та економіку країни в цілому. Автором на основі узагальнення досліджень з цієї тематики уточнено зміст поняття “кіберстійкість банку” та визначено його сутнісні характеристики за якісним та кількісним підходами. В статті проведено дослідження теоретичних підходів до забезпечення кіберстійкості банків та на цій основі розроблено модель механізму забезпечення кіберстійкості, адекватну сучасному стану та умовам, в яких функціонують банки України. За результатами дослідження визначено, що ефективне функціонування механізму забезпечення кіберстійкості потребує відповідного організаційного забезпечення, зокрема створення Центра кіберстійкості банку.
Ключові слова: банк; кіберстійкість банку; кіберзагрози; механізм забезпечення кіберстійкості банку.
Література
1. Порядок формування переліку інформаційно-телекомунікаційних систем об'єктів критичної інфраструктури держави: затверджений постановою Кабінету Міністрів України від 23 серпня 2016 р. № 563 URL: https://zakon.rada.gov.ua/laws/show/563-2016-%D0%BF#Text (дата звернення: 23.09.2020).
2. The Global Risks Report 2020. World Economic Forum. 2020. URL:http://www3.weforum.org/docs/WEF_Global_Risk_Report_2020.pdf (дата звернення: 23.09.2020).
3. The Cost of Cybercrime: Ninth Annual Cost of Cybercrime Study. Accenture. 2019. URL: https://www.accenture.com/_acnmedia/PDF-96/Accenture-2019-Cost-of-Cybercrime-Study-Final.pdf (дата звернення: 23.09.2020).
4. A taxonomy of cyber-harms: Defining the impacts of cyber-attacks and understanding how they propagate / I. Agrafiotis, J. R. C. Nurse, M. Goldsmith, S. Creese, D. Upton. Journal of Cybersecurity. 2018. Volume 4, Issue 1. URL: https://doi.org/10.1093/cybsec/tyy006 (дата звернення: 23.09.2020).
5. Bouveret A. Cyber risk for the financial sector: A framework for quantitative assessment. IMF Working Paper. 2018. WP/18/143. Р. 28. URL: https://www.imf.org/en/Publications/WP/Issues/2018/06/22/Cyber-Risk-for-the-Financial-Sector-A-Framework-for-Quantitative-Assessment-45924 (дата звернення: 23.09.2020).
6. Dupont B. The cyber-resilience of financial institutions: significance and applicability. Journal of Cybersecurity. 2019. Volume 5, Issue 1. URL: https://doi.org/10.1093/cybsec/tyz013 (дата звернення: 23.09.2020).
7. Шугунов Т., Жуков А., Хочуева Ф. Проблемы обеспечения киберустойчивости банковской системы Российской Федерации: правовой и методологический аспекты. Пробелы в российском законодательстве. 2019.№ 6: С. 250-253.
8. Петренко С. Киберустойчивость индустрии 4.0. The 2018 symposium on cybersecurity of the digital economy (CDE'18). Вторая международная научно-техническая конференция. 2018. С. 370-381.
9. Cyber-resilience: Range of practices. Basel Committee on Banking Supervision. 2018. URL: https://www.bis.org/bcbs/publ/d454.pdf (дата звернення: 23.09.2020).
10. Financial Sector’s Cybersecurity: A Regulatory Digest. The World Bank Grouр. 2017. URL: http://pubdocs.worldbank.org/en/524901513362019919/FinSAC-CybersecDigestOct-2017-Dec2017.pdf (дата звернення: 23.09.2020).
11. Almansi A. A. Financial sector’s cybersecurity : regulations and supervision. FCI Insight Washington, D.C. World Bank Group. 2018. 38 Р.
12. Cyber resilience oversight expectations for financial market infrastructures. European Central Bank. 2018. URL: https://www.ecb.europa.eu/paym/pdf/cons/cyberresilience/Cyber_resilience_oversight_expectations_for_financial_market_infrastructures.pdf (дата звернення:23.09.2020).
13. World Bank adopts ECB’s cyber resilience oversight expectations. European Central Bank. 2020. URL: https://www.ecb.europa.eu/paym/intro/news/html/ecb.mipnews200106.en.html (дата звернення: 23.09.2020).
14. TIBER-EU FRAMEWORK How to implement the European framework for Threat Intelligence-based Ethical Red Teaming. European Central Bank. 2018. URL: https://www.ecb.europa.eu/pub/pdf/other/ecb.tiber_eu_framework.en.pdf (дата звернення: 23.09.2020).
15. Guidance on cyber resilience for financial market infrastructures, CPMI-IOSCO. Committee on Payments and Market Infrastructures Board of the International Organization of Securities Commissions. 2016. URL:https://www.bis.org/cpmi/publ/d146.pdf. (дата звернення: 23.09.2020).
16. Bodeau D., Graubart R. Cyber Resiliency Design Principles. Mitre technical report. 2017. 98 Р. URL: https://www.mitre.org/sites/default/files/publications/PR%2017-0103%20Cyber%20Resiliency%20Design%20Principles%20MTR17001.pdf (дата звернення: 23.09.2020).
17. Cyber resilience: Health check. Australian Securities and Investments Commission. 2015. URL: https://download.asic.gov.au/media/3062900/rep429-published-19-march-2015-1.pdf (дата звернення: 28.09.2020).
18. Cyber Lexicon. Financial Stability Board. 2018. URL: https://www.fsb.org/wp-content/uploads/P121118-1.pdf (дата звернення: 23.09.2020).
O. Kryklii
THEORY AND PRACTICE OF ENSURING CYBER-RESILIENCE OF BANKS
Summary
The article proves the importance of forming the concept of ensuring the cyber resilience of banks at the present stage of development of the country's digital economy in the transition to the sixth technological mode and the associated use of industry 4.0 technologies, such as artificial intelligence, «cloud» and «foggy» computing, IoT / IIoT, Big Data, Blockchain, VR / AR. This leads to a significant complication of the cyber threat landscape, an increase in the number of cyberattacks with a significant increase in the negative financial and non-financial consequences that cyberattacks have on the banking system and the economy as a whole. The author, based on the generalization of research on this topic, clarified the content of the concept of "cyber resilience of a bank". Its essential characteristics were determined in the context of qualitative and quantitative approaches. The article studies theoretical approaches to ensuring the cyber resilience of banks, which made it possible to develop a conceptual model of the mechanism for ensuring cyber resilience, adequate to the current state and conditions in which the banks of Ukraine operate. The developed mechanism for ensuring cyber resilience allows for: 1) the formalization of the landscape of real and potential cyber threats; 2) ensures the consistency of mechanisms and tools for countering them, adapting and/or recovering from cyber incidents; 3) allows not only to adequately respond to existing cyber threats but also to identify negative factors that can lead to the emergence and implementation of new cyber threats and cyber-attacks. According to the results of the study, it was found that the effective functioning of the mechanism for ensuring the cyber resilience of the bank requires appropriate organizational support. For this, the author substantiated the need to create a Bank Cyber Resilience Center. It should include representatives from the departments responsible for banking business continuity, cybersecurity, cyber risk management and IT quality. This will allow obtaining a synergistic effect by creating a single interconnected process-based model, including metrics of the bank's cyber resilience level and KPIs, as well as tools for monitoring, controlling and resisting external and internal cyber threats, adaptation and/or recovery after them.
Keywords: ank; cyber-resilience of bank; cyber threats; mechanism of ensuring cyber-resilience of banks.
References
1. Cabinet of Ministers of Ukraine (2016), “ The order of formation of the list of information and telecommunication systems of objects of a critical infrastructure of the state”, available at: https://zakon.rada.gov.ua/laws/show/563-2016-%D0%BF#Text (Accessed 23 September 2020).
2. World Economic Forum (2020), “The Global Risks Report 2020”, available at: http://www3.weforum.org/docs/WEF_Global_Risk_Report_2020.pdf (Accessed: 23 September 2020).
3. Accenture (2019), “The Cost of Cybercrime: Ninth Annual Cost of Cybercrime Study”, available at: https://www.accenture.com/_acnmedia/PDF-96/Accenture-2019-Cost-of-Cybercrime-Study-Final.pdf (Accessed: 23 September 2020).
4. Agrafiotis, I., Nurse, J. R. C., Goldsmith, M., Creese, S., Upton, D. (2018), “A taxonomy of cyber-harms: Defining the impacts of cyber-attacks and understanding how they propagate”, Journal of Cybersecurity [Online], Volume 4, Issue 1. available at: https://doi.org/10.1093/cybsec/tyy006 (Accessed: 23 September 2020).
5. Bouveret, A. (2018), “Cyber risk for the financial sector: A framework for quantitative assessment”, IMF Working Paper, WP/18/143, available at: https://www.imf.org/en/Publications/WP/Issues/2018/06/22/Cyber-Risk-for-the-Financial-Sector-A-Framework-for-Quantitative-Assessment-45924 (Accessed 23 September 2020).
6. Dupont, B. (2019), “The cyber-resilience of financial institutions: significance and applicability”, Journal of Cybersecurity, Volume 5, Issue 1, available at: https://doi.org/10.1093/cybsec/tyz013 (Accessed 23 September 2020).
7. Shugunov T., Zhukov A., and Khochueva F. (2019) “Problems of ensuring cyber resilience of the banking system of the Russian Federation: legal and methodological aspects”. Probely v rossijskom zakonodatel'stve, vol.6, рр. 250-253.
8. Petrenko, S. (2018), “Cyber Resilience Industry 4.0”, Zbirka dopovidej na Mizhnarodnij ekonomichnij konferentsii [Conference Proceedings of the International Economic Conference], Mіzhnarodna Ekonomichna konferentsіya [International economic conference], Innopolis, Russia, pp. 370-381.
9. Basel Committee on Banking Supervision (2018), “Cyber-resilience: Range of practices”, available at: https://www.bis.org/bcbs/publ/d454.pdf (Accessed: 23 September 2020).
10. The World Bank Grouр (2017), “Financial Sector’s Cybersecurity: A Regulatory Digest”, available at: http://pubdocs.worldbank.org/en/524901513362019919/FinSAC-CybersecDigestOct-2017-Dec2017.pdf (Accessed: 23 September 2020).
11. Almansi, A. A. (2018), “Financial sector’s cybersecurity : regulations and supervision”. FCI Insight Washington, D.C. World Bank Group, 2018, 38 Р.
12. European Central Bank (2018), “Cyber resilience oversight expectations for financial market infrastructures”, available at: https://www.ecb.europa.eu/paym/pdf/cons/cyberresilience/Cyber_resilience_oversight_expectations_for_financial_market_infrastructures.pdf (Accessed: 23 September 2020).
13. European Central Bank (2020), “World Bank adopts ECB’s cyber resilience oversight expectations”, available at: https://www.ecb.europa.eu/paym/intro/news/html/ecb.mipnews200106.en.html (Accessed: 23 September 2020).
14. European Central Bank (2018), “TIBER-EU FRAMEWORK. How to implement the European framework for Threat Intelligence-based Ethical Red Teaming”, available at: https://www.ecb.europa.eu/pub/pdf/other/ecb.tiber_eu_framework.en.pdf (Accessed: 23 September 2020).
15. Committee on Payments and Market Infrastructures Board of the International Organization of Securities Commissions (2016), “Guidance on cyber resilience for financial market infrastructures, CPMI-IOSCO”, available at: https://www.bis.org/cpmi/publ/d146.pdf (Accessed: 23 September 2020).
16. Bodeau, D., Graubart, R. (2017), “Cyber Resiliency Design Principles. Mitre technical report”, available at: https://www.mitre.org/sites/default/files/publications/PR%2017-0103%20Cyber%20Resiliency%20Design%20Principles%20MTR17001.pdf (Accessed: 23 September 2020).
17. Australian Securities and Investments Commission (2015), “Cyber resilience: Health check”, available at: https://download.asic.gov.au/media/3062900/rep429-published-19-march-2015-1.pdf (Accessed: 23 September 2020).
18. Financial Stability Board (2018), “Cyber Lexicon”, available at: https://www.fsb.org/wp-content/uploads/P121118-1.pdf (Accessed: 23 September 2020).
№ 10 2020
Дата публікації: 2020-11-27
Кількість переглядів: 8667