Известия: Базовая кибербезопасность: зачем Центробанк вводит новые требования

Центробанк упростит для банков с базовой лицензией отчетность по возникшим и реализовавшимся киберрискам. Об этом «Известиям» рассказали в пресс-службе регулятора. Сейчас все кредитные организации должны отчитываться в ФинЦЕРТ о кибератаках. Однако с 2019 года Банк России введет пропорциональное регулирование: организации разделятся на группы в зависимости от величины капитала. Небольшие банки будут сообщать только о соотношении пропущенных атак ко всем зафиксированным инцидентам. Поскольку целью злоумышленников обычно становятся крупные кредитные организации, это не исказит отчетность и не повлияет плохо на клиентов — наоборот, банки смогут переключить свои усилия на улучшение условий по своим продуктам, поясняют эксперты.

С 2019 года небольшие банки смогут не предоставлять ЦБ полные отчеты о кибератаках. После вступления в силу пропорционального регулирования подробно сообщать о киберинцидентах будут только организации с универсальной лицензией. Как пояснили в Банке России, для оценки финансовой составляющей потерь от кибератак нужны продвинутые технологические и математические инструменты, которыми небольшой банк с базовой лицензией может не обладать.

— Для банков с базовой лицензией может остаться более простой для расчета и контроля критерий эффективности системы управления киберрисками. Это доля пропущенных (реализованных) значимых инцидентов информационной безопасности по отношению ко всем зарегистрированным инцидентам в течение отчетного периода, — сообщили «Известиям» в пресс-службе Банка России.

В документах, которые банки направляют в ЦБ сегодня, должны фиксироваться все случаи, связанные с нарушениями при переводе денежных средств клиентами: к примеру, кражи CVV-кода и других данных карты при оплате счета в ресторане или случаи скимминга (когда злоумышленники устанавливают на банкоматы специальные считывающие устройства, а затем похищают деньги). Финансовые организации предоставляют ЦБ таблицу, где отражены сам факт инцидента со способом нанесения ущерба, его дата, оператор платежной системы, последствия нарушения, предпринятые действия по устранению его последствий, а также факт обращения в правоохранительные органы. Если нарушений нет, во всех соответствующих графах проставляются нули.

На основе отчетности о кибератаках ЦБ формирует и оценивает наиболее распространенные проблемы в обеспечении безопасности российских банков и в результате разрабатывает нормативные документы и рекомендации. Их исполнение позволяет банкам избегать появления подобных проблем в будущем. Основным источником таких отчетов являются большие банки: чем крупнее инфраструктуры банка, тем привлекательнее он для атакующих, отметил директор Positive Technologies по методологии и стандартизации Дмитрий Кузнецов. Поэтому ЦБ опирается на информацию от крупных банков как на репрезентативную выборку, пояснил эксперт.

Новация необходима для того, чтобы не увеличивать нагрузку на небольшие кредитные организации, пояснила управляющий партнер аудиторской компании «2К» Тамара Касьянова. Полные отчеты по кибератакам требуют дополнительных финансовых и людских ресурсов, отметила она. На защиту от кибератак и устранение их последствий российские банки тратят колоссальные бюджеты. Для примера, только два крупнейших участника рынка — Сбербанк и ВТБ — в прошлом году направили на IT порядка 124 млрд рублей, при этом в структуре этих расходов борьба с кибератаками на инфраструктуру кредитных организаций занимает уже порядка 15%.

Управляющий партнер экспертной группы Veta Илья Жарский отметил, что скидок за масштаб банка разработчики решений для киберзащиты не делают, поэтому чем меньше банк и чем ниже его расходы на IT, тем выше в их структуре доля расходов непосредственно на защиту от кибератак. С учетом того, что за первое полугодие количество атак на российские кредитные организации выросло более чем на 30%, сейчас расходы всех без исключения участников банковской системы на защиту растут. Так что отсутствие обязательств по предоставлению информации о числе атак регулятору — это разумно, считает Илья Жарский.

Небольшие банки, как правило, работают в регионах. Часто такие организации крепко завязаны на определенную отрасль, например строительство, и зависят от финансового положения своих клиентов. Им нелегко конкурировать с федеральными банковскими сетями, однако зачастую они знают своего клиента лучше и могут выстроить работу с малым бизнесом, в котором не заинтересован крупный банк. Пропорциональное регулирование призвано снизить нагрузку на небольшие кредитные организации и позволить им конкурировать с гигантами отрасли, заняв собственную нишу. Отказ от подробного отчета о кибератаках следует генеральной линии по снижению давления на маленькие банки и может позитивно сказаться на их финансовом положении при условии, что базовые правила безопасности они продолжат соблюдать.

Анастасия АЛЕКСЕЕВСКИХ, Татьяна ГЛАДЫШЕВА