РБК: Банки оценили риски от новых международных требований к безопасности
Участники финансового рынка оценили новые требования международной системы SWIFT к безопасности банков. Переход на более строгие стандарты может обернуться большими тратами, техническими сложностями и репутационными рисками, предупреждают они.
До начала процесса оценки банков на соответствие новым стандартам информационной безопасности международной системы SWIFT, которые были разработаны на фоне участившихся хакерских атак на банки, осталось чуть больше месяца. Как показал опрос, проведенный РБК среди руководителей IT-департаментов крупных банков, некоторые из новых требований выполнить будет крайне непросто. Это сопряжено с существенными организационными трудностями, а для отдельных категорий банков — и с материальными затратами, считают опрошенные РБК банкиры.
О скором переходе на новые стандарты безопасности банкирам недавно напомнил руководитель SWIFT по России, СНГ и Монголии Матвей Геринг. «1 апреля мы опубликуем 27 пунктов контроля, из них 16 обязательных и 11 рекомендуемых. До конца года банки должны будут провести самооценку на соответствие этим принципам, — заявил он. — О банках, которые не отвечают этим принципам, мы будем сообщать регуляторам». Речь не только о российских игроках, а обо всех банках, работающих со SWIFT.
Оценку новым стандартам безопасности системы SWIFT российские банки дали по результатам анализа первой редакции новых стандартов, которая была доведена до участников банковского рынка в конце прошлого года.
Пресс-служба SWIFT по России, СНГ и Монголии не ответила на запрос РБК, посланный несколько дней назад. Указанные на сайте компании городские телефоны не отвечали.
SWIFT — единая международная межбанковская система обмена стандартизированной информацией о платежах между банками, необходимой для их быстрого и корректного проведения. Система используется как для внутрироссийских, так и для трансграничных платежей. Это самая крупная межбанковская система передачи финансовой информации: объединяет свыше 11 тыс. финансовых учреждений более чем в 200 странах мира. Она обеспечивает передачу около 2 млрд сообщений в год о платежах на общую сумму порядка $6 трлн.
Ужесточения и проверки
Триггером для ужесточения стандартов безопасности SWIFT стала атака на Банк Бангладеш в феврале прошлого года: тогда хакеры вывели $101 млн, взломав софт, обеспечивающий коммуникации в SWIFT.
В частности, в новом стандарте вводятся дополнительные требования к антивирусному ПО, работам по обеспечению и проверке целостности ПО и баз данных, квалификации персонала и организации его работы, местам хранения оборудования. Устанавливаются также новые меры, направленные на выявление аномальной активности в системе SWIFT, усложняется доступ к учетным записям SWIFT (речь идет, в частности, о введении системы двухфакторной аутентификации) и так далее. «Если раньше упор больше делался на физическую и логическую изоляцию системы SWIFT от других систем, то новые обязательные требования больше направлены на безопасность конечного узла системы на уровне операционной системы и прикладного ПО, а также создание процессов по обнаружению и предотвращению возможных атак», — объясняет замдиректора Digital Compliance Андрей Гайко.
Как указывает представитель одного из небольших российских банков, пожелавший сохранить анонимность, для банков приведение своих систем в соответствие с новым стандартом безопасности будет означать перенастройку IT-систем. При этом чрезмерное затягивание с внедрением чревато остановкой работы со SWIFT. По сведениям источников РБК в банках, с 1 сентября 2018 года SWIFT прекратит поддержку не обновленных систем.
Кроме того, если с апреля по декабрь текущего года SWIFT затребует от банков только самооценку на соответствие новому стандарту, то с 2018 года ассоциация сможет дополнительно запрашивать подтверждение выполнения своих требований через внешний независимый аудит. Его результаты будут доступны для всех участников SWIFT, что должно улучшить для банков оценку рисков контрагентов.
Большие сложности для малых банков
Наименьшие риски в связи с переходом на новые стандарты имеют банки — прямые члены (банки-принципалы) международных платежных систем (Visa, MasterCard и другие), оценивают опрошенные РБК банкиры. Новые стандарты SWIFT во многом пересекаются с действующими стандартами безопасности международных платежных систем. Но банки, которые имеют не прямое, а ассоциированное членство в международных платежных системах (через более крупных игроков, состоящих там напрямую), могут столкнуться с трудностями, говорит директор IT-департамента банка из топ-100. «Для банков-ассоциатов выполнение стандартов безопасности международных платежных систем не требуется, поэтому и требования SWIFT им придется выполнять фактически с нуля», — предупреждает он, добавляя, что речь может в основном идти о небольших и региональных банках.
Региональные и небольшие банки с большой долей вероятности будут испытывать сложности, согласен и Андрей Гайко, — часто именно они не уделяют должного внимания информационной безопасности, так как cчитают, что у них вряд ли произойдут какие-либо инциденты. По его словам, системные администраторы таких банков не следуют каким-либо практикам и не имеют четкого понимания, как защитить информационные ресурсы, и новые требования могут вызвать у них много вопросов даже не с технической точки зрения, а с организационной. «Как показывает практика, наиболее часто возникают сложности с выявлением аномальной активности и установкой обновлений безопасности (одно из обязательных требований SWIFT)», — говорит он. В первом случае администраторы безопасности могут собирать журналы событий со всех систем, но они не всегда могут оценить, какие события в этих журналах говорят о том, что произошло злонамеренное воздействие. Это приводит к тому, что несвоевременно выявляются атаки на системы и становится невозможно предотвратить хищения средств», — рассказывает Гайко.
Проблематично и повышение осведомленности сотрудников по вопросам безопасности (обязательное требование SWIFT). «Несмотря на то что проведение тренингов — распространенная практика, персонал остается слабым звеном. Нередки случаи, когда для сотрудников проводят обучение по парольной политике, но при аудиторской проверке выясняется, что они не могут назвать требования к паролям, а на их рабочих местах обнаруживаются стикеры с записанными на них паролями», — заключает Гайко.
И Visa, и MasterCard отказались предоставить данные о количестве банков, работающих с ними напрямую и имеющих ассоциированное членство в МПС. По словам собеседника РБК на рынке платежных карт, «из всех российских банков (в 2016 году, по данным ЦБ, их насчитывалось 623, к февралю число несколько уменьшилось из-за отзыва лицензий) прямое членство в международных банковских системах имеют примерно 100 банков, не подключено к ним около 70, соответственно, 450 — ассоциаты». Еще один банкир, специализирующийся на карточном бизнесе, оценил число банков под риском примерно в 300. «С учетом того что на рынке осталось около 570 банков, количество банков-принципалов — где-то в районе 70–80, а соотношение принципалов и ассоциатов может быть в диапазоне от 1/5 до 1/7, то, предположительно, количество банков-ассоциатов — 400–450», — подсчитал первый зампредправления Ланта-банка Вячеслав Волков.
Немаловажен и материальный вопрос. По оценкам одного из собеседников РБК в банках, только на установку и обновление современного софта, обеспечение целостности ПО и баз данных, меры, связанные с выявлением аномальной активности, среднего размера банку может понадобиться минимум 10–15 млн руб. — для некоторых игроков эта сумма может оказаться чувствительной. Например, из 10 банков, занимающих с 91-го по 100-е место по размеру активов, по версии «Интерфакс-ЦЭА», четыре банка по итогам года показали отрицательный совокупный финансовый результат, чистая прибыль оставшихся шестерых игроков из этой десятки составила в среднем 782 млн руб.
Рискованный аудит
Намерение SWIFT сообщать информацию о неудовлетворительных результатах проверок в ЦБ вызвало у участников рынка гораздо меньше беспокойства, чем сведения об информировании о реальном положении дел их контрагентов или возможная реакция самого SWIFT (какой она будет при выявлении нарушений, Матвей Геринг в своем выступлении не уточнил).
Заместитель начальника главного управления безопасности и защиты информации ЦБ Артем Сычев в беседе с РБК сообщил: «Все зависит от конкретного случая. Для нас это не повод для проверки, но дополнительный фактор, указывающий на то, что в банке, возможно, необходимо выяснить, как он обеспечивает остальные требования по информационной безопасности».
При этом банкиры не исключают, что в случае негативного заключения внешнего аудитора о соответствии того или иного банка новым стандартам безопасности его контрагенты в крайнем случае могут прекратить операции по проведению платежей с такими игроками. В частности, на такой риск указывает член совета директоров Бинбанка Олег Вьюгин. По его мнению, это может быть дополнительным серьезным стимулом для более тщательной подготовки к внедрению стандартов. Банки, которые собираются и дальше пользоваться SWIFT, не заинтересованы в провале аудиторских проверок, считает и основной бенефициар Московского кредитного банка Роман Авдеев.
Что касается реакции SWIFT, то директор услуг по анализу и контролю рисков аудиторской компании PwC Виктор Морозов не исключает, что SWIFT может ввести и штрафы. Он проводит аналогию со стандартами безопасности Visa и MasterCard. «За их нарушение банки ежемесячно платят €30 тыс. неустойки, пока не приведут свои системы в порядок. Это очень сильный мотивирующий фактор», — говорит Морозов. Директор департамента информационной безопасности Росбанка Михаил Иванов не исключает, что в крайнем случае может дойти до отключения банка от SWIFT.
Екатерина МАРХУЛИЯ