Базовая кибербезопасность: зачем Центробанк вводит новые требования
Критерии оценки киберрисков для банков с базовой и универсальной лицензией будут различаться, сообщили «Известиям» в Банке России. При этом отчетность в ФинЦЕРТ о кибератаках будут отправлять все кредитные организации. Кроме того, банки будут предоставлять дополнительную отчетность о реализовавшихся потерях, о соблюдении лимитов потерь и других контрольных показателей уровня операционного и киберриска. В зависимости от величины потерь и нарушений контрольных показателей банкам им будут устанавливаться дополнительные требования к необходимому капиталу, выделяемого ими на покрытие этих рисков, пояснили в регуляторе. Поскольку целью злоумышленников обычно становятся крупные кредитные организации, это не исказит отчетность и не повлияет плохо на клиентов — наоборот, банки смогут переключить свои усилия на улучшение условий по своим продуктам, поясняют эксперты.
С 2019 года Банк России введет пропорциональное регулирование: организации разделятся на группы в зависимости от величины капитала. При этом планируется, что для банков с базовой лицензией число контролируемых показателей будет сокращено, заявили в ЦБ. Например, небольшие банки будут сообщать о соотношении пропущенных атак ко всем зафиксированным, а также в ходе проверок ЦБ будет выявлять инциденты, о которых банки не сообщили в ФинЦЕРТ.
— Для банков с базовой лицензией может остаться более простой для расчета и контроля критерий эффективности системы управления киберрисками. Это доля пропущенных (реализованных) значимых инцидентов информационной безопасности по отношению ко всем зарегистрированным инцидентам в течение отчетного периода, — сообщили «Известиям» в пресс-службе Банка России.
С 1 января 2019 года российские банки разделятся на категории: кредитные организации с капиталом до 1 млрд рублей получат базовые лицензии, банки с большим объемом собственных средств смогут оформить универсальную лицензию или работать с базовой, пока капитал не вырастет до 3 млрд. В этом случае выбора уже не будет — понадобится универсальная лицензия. Базовая не дает права проводить международные операции, но предусматривает значительные послабления в части отчетности в ЦБ.
Как пояснили в Банке России, более лояльные требования к банкам с базовой лицензией связаны с тем, что для оценки финансовой составляющей потерь от кибератак нужны продвинутые технологические и математические инструменты, которыми небольшой банк с базовой лицензией может не обладать. При этом требование об информировании ФинЦЕРТ обо всех кибератаках на платёжные системы и по операциям переводов денежных средств остается в силе для всех банков, в том числе и с базовой лицензией, поскольку вопросы безопасности функционирования платежных систем и платежной системы Банка России являются критичными и всегда стоят с высоким приоритетом.
Это связано с тем, что любой участник платежной системы - даже самый маленький банк с базовой лицензией - может стать "троянским конем" как для оператора, так и для других участников платежной системы из-за генерируемых через него кибератак злоумышленников, и Банку России нужно иметь механизм своевременного выявления, реагирования и пресечения таких атак, пояснили в пресс-службе регулятора.
В документах, которые банки направляют в ЦБ сегодня, должны фиксироваться все случаи, связанные с нарушениями при переводе денежных средств клиентами: к примеру, кражи CVV-кода и других данных карты при оплате счета в ресторане или случаи скимминга (когда злоумышленники устанавливают на банкоматы специальные считывающие устройства, а затем похищают деньги). Финансовые организации предоставляют ЦБ таблицу, где отражены сам факт инцидента со способом нанесения ущерба, его дата, оператор платежной системы, последствия нарушения, предпринятые действия по устранению его последствий, а также факт обращения в правоохранительные органы. Если нарушений нет, во всех соответствующих графах проставляются нули.
На основе отчетности о кибератаках ЦБ формирует и оценивает наиболее распространенные проблемы в обеспечении безопасности российских банков и в результате разрабатывает нормативные документы и рекомендации. Их исполнение позволяет банкам избегать появления подобных проблем в будущем. Основным источником таких отчетов являются большие банки: чем крупнее инфраструктуры банка, тем привлекательнее он для атакующих, отметил директор Positive Technologies по методологии и стандартизации Дмитрий Кузнецов. Поэтому ЦБ опирается на информацию от крупных банков как на репрезентативную выборку, пояснил эксперт.
Новация необходима для того, чтобы не увеличивать нагрузку на небольшие кредитные организации, пояснила управляющий партнер аудиторской компании «2К» Тамара Касьянова. Полные отчеты по кибератакам требуют дополнительных финансовых и людских ресурсов, отметила она. На защиту от кибератак и устранение их последствий российские банки тратят колоссальные бюджеты. Для примера, только два крупнейших участника рынка — Сбербанк и ВТБ — в прошлом году направили на IT порядка 124 млрд рублей, при этом в структуре этих расходов борьба с кибератаками на инфраструктуру кредитных организаций занимает уже порядка 15%.
Управляющий партнер экспертной группы Veta Илья Жарский отметил, что скидок за масштаб банка разработчики решений для киберзащиты не делают, поэтому чем меньше банк и чем ниже его расходы на IT, тем выше в их структуре доля расходов непосредственно на защиту от кибератак. С учетом того, что за первое полугодие количество атак на российские кредитные организации выросло более чем на 30%, сейчас расходы всех без исключения участников банковской системы на защиту растут. Так что отсутствие обязательств по предоставлению информации о числе атак регулятору — это разумно, считает Илья Жарский.
Небольшие банки, как правило, работают в регионах. Часто такие организации крепко завязаны на определенную отрасль, например строительство, и зависят от финансового положения своих клиентов. Им нелегко конкурировать с федеральными банковскими сетями, однако зачастую они знают своего клиента лучше и могут выстроить работу с малым бизнесом, в котором не заинтересован крупный банк. Пропорциональное регулирование призвано снизить нагрузку на небольшие кредитные организации и позволить им конкурировать с гигантами отрасли, заняв собственную нишу. Отказ от подробного отчета о кибератаках следует генеральной линии по снижению давления на маленькие банки и может позитивно сказаться на их финансовом положении при условии, что базовые правила безопасности они продолжат соблюдать.
