Перейти к основному содержанию
Прямой эфир
Главный слайд
Начало статьи
Базовая кибербезопасность: зачем Центробанк вводит новые требования
2018-08-24 11:54:35">
2018-08-24 11:54:35
Озвучить текст
Выделить главное
вкл
выкл

Критерии оценки киберрисков для банков с базовой и универсальной лицензией будут различаться, сообщили «Известиям» в Банке России. При этом отчетность в ФинЦЕРТ о кибератаках будут отправлять все кредитные организации. Кроме того, банки будут предоставлять дополнительную отчетность о реализовавшихся потерях, о соблюдении лимитов потерь и других контрольных показателей уровня операционного и киберриска. В зависимости от величины потерь и нарушений контрольных показателей банкам им будут устанавливаться дополнительные требования к необходимому капиталу, выделяемого ими на покрытие этих рисков, пояснили в регуляторе. Поскольку целью злоумышленников обычно становятся крупные кредитные организации, это не исказит отчетность и не повлияет плохо на клиентов — наоборот, банки смогут переключить свои усилия на улучшение условий по своим продуктам, поясняют эксперты.

 

С 2019 года Банк России введет пропорциональное регулирование: организации разделятся на группы в зависимости от величины капитала. При этом планируется, что для банков с базовой лицензией число контролируемых показателей будет сокращено, заявили в ЦБ. Например, небольшие банки будут сообщать о соотношении пропущенных атак ко всем зафиксированным, а также в ходе проверок ЦБ будет выявлять инциденты, о которых банки не сообщили в ФинЦЕРТ.

Фото: Depositphotos

— Для банков с базовой лицензией может остаться более простой для расчета и контроля критерий эффективности системы управления киберрисками. Это доля пропущенных (реализованных) значимых инцидентов информационной безопасности по отношению ко всем зарегистрированным инцидентам в течение отчетного периода, — сообщили «Известиям» в пресс-службе Банка России.

Справка «Известий»

С 1 января 2019 года российские банки разделятся на категории: кредитные организации с капиталом до 1 млрд рублей получат базовые лицензии, банки с большим объемом собственных средств смогут оформить универсальную лицензию или работать с базовой, пока капитал не вырастет до 3 млрд. В этом случае выбора уже не будет — понадобится универсальная лицензия. Базовая не дает права проводить международные операции, но предусматривает значительные послабления в части отчетности в ЦБ.

По данным регулятора, из 480 банков 188 имеют капитал менее 1 млрд рублей. Таким образом, почти 40% кредитных организаций не будут предоставлять регулятору полные сведения о совершенных киберпреступлениях.

 

Как пояснили в Банке России, более лояльные требования к банкам с базовой лицензией связаны с тем, что для оценки финансовой составляющей потерь от кибератак нужны продвинутые технологические и математические инструменты, которыми небольшой банк с базовой лицензией может не обладать. При этом требование об информировании ФинЦЕРТ обо всех кибератаках на платёжные системы и по операциям переводов денежных средств остается в силе для всех банков, в том числе и с базовой лицензией, поскольку вопросы безопасности функционирования платежных систем и платежной системы Банка России являются критичными и всегда стоят с высоким приоритетом.

Это связано с тем, что любой участник платежной системы - даже самый маленький банк с базовой лицензией - может стать "троянским конем" как для оператора, так и для других участников платежной системы из-за генерируемых через него кибератак злоумышленников, и Банку России нужно иметь механизм своевременного выявления, реагирования и пресечения таких атак, пояснили в пресс-службе регулятора.

В документах, которые банки направляют в ЦБ сегодня, должны фиксироваться все случаи, связанные с нарушениями при переводе денежных средств клиентами: к примеру, кражи CVV-кода и других данных карты при оплате счета в ресторане или случаи скимминга (когда злоумышленники устанавливают на банкоматы специальные считывающие устройства, а затем похищают деньги). Финансовые организации предоставляют ЦБ таблицу, где отражены сам факт инцидента со способом нанесения ущерба, его дата, оператор платежной системы, последствия нарушения, предпринятые действия по устранению его последствий, а также факт обращения в правоохранительные органы. Если нарушений нет, во всех соответствующих графах проставляются нули.

На основе отчетности о кибератаках ЦБ формирует и оценивает наиболее распространенные проблемы в обеспечении безопасности российских банков и в результате разрабатывает нормативные документы и рекомендации. Их исполнение позволяет банкам избегать появления подобных проблем в будущем. Основным источником таких отчетов являются большие банки: чем крупнее инфраструктуры банка, тем привлекательнее он для атакующих, отметил директор Positive Technologies по методологии и стандартизации Дмитрий Кузнецов. Поэтому ЦБ опирается на информацию от крупных банков как на репрезентативную выборку, пояснил эксперт.

Фото: Depositphotos

Новация необходима для того, чтобы не увеличивать нагрузку на небольшие кредитные организации, пояснила управляющий партнер аудиторской компании «2К» Тамара Касьянова. Полные отчеты по кибератакам требуют дополнительных финансовых и людских ресурсов, отметила она. На защиту от кибератак и устранение их последствий российские банки тратят колоссальные бюджеты. Для примера, только два крупнейших участника рынка — Сбербанк и ВТБ — в прошлом году направили на IT порядка 124 млрд рублей, при этом в структуре этих расходов борьба с кибератаками на инфраструктуру кредитных организаций занимает уже порядка 15%.

Управляющий партнер экспертной группы Veta Илья Жарский отметил, что скидок за масштаб банка разработчики решений для киберзащиты не делают, поэтому чем меньше банк и чем ниже его расходы на IT, тем выше в их структуре доля расходов непосредственно на защиту от кибератак. С учетом того, что за первое полугодие количество атак на российские кредитные организации выросло более чем на 30%, сейчас расходы всех без исключения участников банковской системы на защиту растут. Так что отсутствие обязательств по предоставлению информации о числе атак регулятору — это разумно, считает Илья Жарский.

Фото: Depositphotos

Небольшие банки, как правило, работают в регионах. Часто такие организации крепко завязаны на определенную отрасль, например строительство, и зависят от финансового положения своих клиентов. Им нелегко конкурировать с федеральными банковскими сетями, однако зачастую они знают своего клиента лучше и могут выстроить работу с малым бизнесом, в котором не заинтересован крупный банк. Пропорциональное регулирование призвано снизить нагрузку на небольшие кредитные организации и позволить им конкурировать с гигантами отрасли, заняв собственную нишу. Отказ от подробного отчета о кибератаках следует генеральной линии по снижению давления на маленькие банки и может позитивно сказаться на их финансовом положении при условии, что базовые правила безопасности они продолжат соблюдать.