Цифровая трансформация службы информационной безопасности в страховой компании в условиях импортозамещения

Слушатель: Никитин Дмитрий Александрович
XLIII поток очно-заочная(вечерняя) форма обучения (CSO-43)
Программа «МВА, специализация: Информационная безопасность (СSO)»

В последние 6-8 лет сфера различных услуг представляется как сфера, где формируются и развиваются новые цифровые платформы, внедряются перспективные технологии. Цифровизация и цифровые продукты постепенно проникли во многие сферы общества, но при всём при том сфера оказания страховых услуг – одно из направлений, которое оказалась в меньшей степени «оцифрована", чем другие. Рынок страховых услуг достаточно консервативен, эта сфера не торопится реализовывать самые смелые технологические решения.
Деятельность страховых организаций является одним из самых устойчивых и многообещающих направлений в экономике государства. Субъекты страхового дела предоставляют разнообразный перечень услуг, которые могут быть предоставлены в традиционном офлайн формате, так и в современном онлайн-режиме.
Внедрение цифровых технологий в компанию и её услуги имеет потенциал существенно сократить затраты на обслуживание клиентов и партнёров, а также улучшить качество сервиса. Однако, для того чтобы цифровые инновации принесли пользу в сфере страхования, необходимо, чтобы рынок страхования был готов к цифровому прогрессу.
Отдельным и очень важным вопросом цифровой трансформации стоит вопрос обеспечения информационной безопасности, так как технологическое развитие создаёт новые возможности для совершения преступлений в киберпространстве. Согласно данным Банка России (далее – ЦБ РФ), клиенты российских банков в 1 квартале 2021 года потеряли 2,87 млрд рублей из-за действий кибермошенников, что на 57% больше, чем в аналогичном периоде 2020 года.
Существенно возросли риски информационной безопасности. По информации ЦБ РФ в 1 полугодии 2022 года наблюдался резкий рост крупных DDoS-атак на российские финансовые организации. Если с начала года до 24 февраля 2022 года было зафиксировано 12 таких атак, то только в период с 24 февраля по 12 апреля их было уже 265.
Сохраняющаяся высокая волатильность финансового сектора, равно как и возросшие киберриски, накладывают дополнительные требования к необходимости повышения эффективности и надёжности работы Страховой компании, в том числе, за счёт цифровой трансформации.
Внедрение информационных систем и сервисов и иных объектов информационной инфраструктуры при реализации цифровой трансформации основывается на обеспечении парадигмы доверия в форме оценки (активного исследования) данных программных продуктов, которая должна соответствовать определённым критериям безопасности с целью обеспечения безопасности информационной инфраструктуры. Угрозы безопасности и положения политик информационной безопасности формулируются и отражаются в технических заданиях и иной документации на внедряемые программные продукты с описанием необходимых мер обеспечения безопасности.
Изменение окружающей бизнес-среды, выражающееся в усилении давления конкурентов, изменении клиентских предпочтений, возникновении новых технологий, нарастании уровня угроз информационной безопасности, потребовало повышения цифровой зрелости страховой компании, что является необходимым условием для обеспечения способности страховой компании уверенно справляться со стоящими перед ней вызовами и эффективно использовать открывающиеся возможности, чтобы достичь реализации стратегических целей:
– повышение операционной эффективности и оптимизация затрат;
– расширение использования цифровых технологий для сокращения времени вывода новых страховых продуктов на рынок, а также повышения эффективности процессов андеррайтинга и урегулирования убытков;
– построение безопасных дистанционных цифровых каналов продаж с использованием рекомендательной системы на основе предиктивной аналитики и бесшовной интеграции с цифровыми каналами банка и партнёров;
– поиск и создание новых партнёрств для продвижения страховых продуктов.
Для достижения заявленных целей страховой компанией были определены стратегические направления развития цифровой трансформации, в которых, в числе прочего, рассматриваются вопросы обеспечения информационной безопасности.
Первоначальное обследование информационной инфраструктуры страховой компании, проведённое в то же время, показало, что в страховой компании присутствовали серьёзные недостатки:
 в процессах управления процессами обеспечения информационной безопасности,
 существующие средства защиты информации обслуживались плохо либо не обслуживались вовсе;
 в штате страховой компании отсутствовали профильные специалисты по защите информации;
• внутренняя нормативная документация по направлению информационной безопасности не актуализировалась.
В рамках выполнения подготовительного этапа по цифровой трансформации были выполнены мероприятия по оценке уровня зрелости. Был разработан опросный лист, в котором вопросы относительно процессов обеспечения информационной безопасности были разделены на 6 доменов информационной безопасности и 26 направлений информационной безопасности в общей совокупности. По каждому из направлений предлагались ряд вопросов или характеристик критерия на данном уровне зрелости, которые были ранжированы по уровню зрелости. Дополнительно каждой характеристике был присвоен свой удельный вес или доля. Суммирование долей каждой из характеристик прямо влияло на числовое значение уровней зрелости по каждому из направлений и доменов информационной безопасности.
По результатам формируется качественная оценка зрелости процессов обеспечения информационной безопасности страховой компании и её характеристика.
При реализации мероприятий цифровой трансформации, в рамках мероприятий по разработке и актуализации внутренних нормативных документов в области защиты информации, службой информационной безопасности было принято решение изменить классический подход к иерархии распорядительной документации страховой компании, разделив документы на «простые» и «сложные». Такая структура была сформирована с учётом того, что весь объем требований по информационной безопасности и защите информации получается достаточно объёмный и был оценён как избыточный для работников страховой компании, не вовлечённых в реализацию мер защиты информации. Для всех работников страховой компании, в том числе для новых, была предложена политика информационной безопасности, которая включала в себя повседневные меры защиты: антивирусная защита, порядок доступа в сеть Интернет, порядок использования съёмных машинных носителей информации и т.п. В более объёмной Политике защиты информации описывались подробно меры защиты информации, применяемые техническими специалистами.
При реализации технических мероприятий цифровой трансформации были выбраны основные мероприятия такие как:
 Мониторинг и контроль событий информационной безопасности
 Контроль утечек конфиденциальной информации
 Межсетевое экранирование
 Применение средств обнаружения и предотвращения вторжений
 Защита от вредоносных программ
 Управление доступом и идентификацией
 Менеджмент инцидентов ИБ
Данные мероприятия были первоочередными, и их реализация прямо влияла на цифровую трансформацию в целом.
В результате аттестационной работы было определено, что при наличии поддержки руководства, качественном планировании мероприятий можно достаточно эффективно развивать службы информационной безопасности, несмотря на негативные моменты, которые прямо повлияли на планирование и результаты работ трансформации, как например всемирная пандемия 2020 года и её ограничения или технологические ограничения иностранных производителей программного обеспечения и оборудования, возникшие в 2022 году.