Известия: ЦБ передумал закрывать глаза на мелкие кибератаки

Со следующего года банки ежеквартально будут отчитываться перед Центробанком обо всех кибератаках, включая инциденты, связанные с небольшими суммами. Об этом «Известиям» рассказал источник, близкий к ЦБ. Информацию подтвердили два участника банковского рынка, знакомых с ситуацией. По словам близкого к ЦБ источника, регулятор передумал устанавливать минимальную сумму ущерба от кибератак, которую банки должны отражать в своей отчетности. Ранее обсуждался именно такой формат. По логике регулятора, незафиксированные в отчетах кибератаки на мелкие суммы могут привести к большим потерям в будущем. Эксперты согласились с этим и поддержали новую позицию ЦБ. По их словам, отражение в отчетности всех кибератак на любые суммы позволит воссоздать максимально объективную картину.

С 2013 года все финансовые организации ежемесячно сдают в Центробанк отчеты о проблемах, возникших при переводе денег клиентов. С помощью «Сведений о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств» Банк России аккумулирует статистику по киберпреступлениям. В документах, которые банки направляют в ЦБ сейчас, должны фиксироваться все подобные случаи: к примеру, кражи данных пластиковой карты при оплате счета в ресторане или случаи скимминга (когда злоумышленники устанавливают на банкоматы специальные считывающие устройства, а затем похищают деньги).

Финансовые организации предоставляют ЦБ таблицу, в которой отражены сам факт инцидента со способом нанесения ущерба, его дата, оператор платежной системы, последствия нарушения, предпринятые действия по их устранению, а также факт обращения в правоохранительные органы. Если нарушений нет, во всех соответствующих графах проставляют нули.

Но с 2018 года ЦБ планирует изменить форму этой отчетности, обязав банки раскрывать экономические показатели, связанные с кибератаками. Таким образом, через год финансовые организации будут передавать регулятору только суммы, на которые хакеры покушались в отчетный период, объем хищений со счетов клиентов и информацию о средствах, возвращенных гражданам.

Модернизируя отчетность, регулятор сначала решил установить минимальную сумму размера инцидента, отражаемого в отчетах, — для сбора только статистически значимых данных и снижения затрат банков на анализ и учет незначительных инцидентов, но затем передумал.

— Незафиксированные в отчетах кибератаки на мелкие суммы могут привести к большим потерям в будущем, поэтому ЦБ решил, что банки ежеквартально будут отчитываться обо всех инцидентах, в том числе на небольшие суммы, — пояснил источник.

По словам банкиров, знакомых с ситуацией, новые требования к банкам начнут предъявлять в 2018 году. В пресс-службе ЦБ сообщили, что «вопросы, касающиеся новой формы отчетности, находятся в стадии проработки».

— Если установить даже небольшой порог попадания инцидентов в отчет, понимание характера киберугроз может сильно измениться, — считает руководитель аналитического центра Zecurion Владимир Ульянов. — В отчетности должны быть отражены все данные обо всех инцидентах, а дальше уже регулятор решит, как данные обрабатывать и представлять. Мелкие суммы — это тоже статистически значимые данные. Количество инцидентов, в том числе с небольшими суммами списаний, важно для выявления тенденций и актуальных векторов атак. Обладая полной картиной по инцидентам, несложно исключить из статистики те, которые не удовлетворяют определенным критериям. А вот добавить их уже не получится, если банки не сообщат о некоторых списаниях.

По мнению Владимира Ульянова, для банков отправка полной статистики не будет намного более обременительной, чем с порогом вхождения. А если есть существенная разница — это как раз сигнал о том, что профиль угроз сильно изменяется при введении фильтров, подчеркнул эксперт.

Зампред Локо-банка Андрей Люшин согласен, что игнорирование небольших сумм довольно часто приводило к существенному снижению оценки масштабов кибератаки, в результате чего банки применяли недостаточные меры для решения проблемы.

По данным FinCERT (подразделение ЦБ по борьбе с кибермошенничеством), в 2016 году со счетов компаний хакеры увели около 1,6 млрд рублей. Банки же потеряли более 2 млрд. Руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин уверен, что количество атак на все финансовые системы будет расти как минимум на 30% в течение 2017 года.

Анастасия АЛЕКСЕЕВСКИХ