Банк России усилит контроль за безопасностью в финсекторе

размещено в: Материалы, Новости компании | 0

By on

В 2017 году ЦБ проведет более 100 проверок систем дистанционного банковского обслуживания (ДБО), а также утвердит стандарты кибербезопасности для участников биржевого рынка и создаст центр безопасности для средних и малых банков. Ужесточение требований в сфере информационной безопасности (ИБ) должно основываться на анализе угроз, иначе оно может привести к тому, что банковские сервисы станут менее удобными.

Центральный банк России намерен усилить контроль за безопасностью совершения платежных операций в российских банках. С этой целью в 2017 году он организует более 100 проверок систем дистанционного банковского обслуживания (ДБО), сообщает РБК со ссылкой на заместителя начальника главного управления безопасности и защиты информации Центробанка РФ Артема Сычева. По его словам, первые проверки уже были проведены в феврале 2017 года.

Банки, результаты проверки которых окажутся неудовлетворительными, должны будут либо увеличить капитал, либо доначислить резервы на величину существующего операционного риска в размере среднесуточного остатка по корреспондентскому счету. Точная информация о том, какая из этих мер будет принята, должна появиться в середине 2017 года.

Стандарты кибербезопасности для участников биржевого рынка, в частности для торговых систем, также могут быть утверждены в середине 2017 года. Прорабатывается вопрос о создании на базе ЦБ специальной структуры по защите малых и средних кредитных организаций от хакерских атак – с такой инициативой недавно выступила Ассоциация региональных банков России.

Как ЦБ борется с киберпреступниками

По мнению экспертов банка «ДельтаКредит», существующих сегодня требований в области обеспечения безопасности банковских информационных систем, в том числе и ДБО, вполне достаточно. Прочие банки (всего более 10) отказались оценить инициативу ЦБ РФ. «На данный момент регламентированы фундаментальные области в сфере безопасности, такие как  использование средств подписания и шифрования. В остальном стандарты Банка России в области информационной безопасности (СТО БР ИББС) носят рекомендательный характер, – продолжает Максим Болышев, заместитель директора департамента банковского ПО RS-Bank компании R-Style Softlab. – Несоблюдение выработанных норм безопасности влечет за собой высокие финансовые и репутационные риски для банков, поэтому в целом банковское сообщество следует предписаниям регулятора».

ЦБ не только издает постановления, но и проводит обсуждения и разъяснения, активно помогает банкам в борьбе с мошенничеством, продолжает тему Дмитрий Князев, заместитель директора департамента розничных продуктов компании BSS. «Вспомнить хотя бы FinCert – специально созданный в ЦБ центр для сбора информации об инцидентах ИБ и предоставления рекомендаций банкам», – поясняет эксперт. По его мнению, для противодействия хорошо подготовленным киберпреступникам требуется комплексный подход – организационные меры, обучение персонала для снижения воздействия методов социальной инженерии, антифрод-системы и прочее. «ЦБ либо уже предпринимает, либо наметил правильные шаги в этом направлении, сейчас главное – их последовательная реализация», – уверен он.

Безопасность vs удобство

Ужесточение требований к информационной безопасности должно основываться на анализе угроз и уязвимостей и оценке рисков в каждом конкретном случае, говорит Иван Гузев, директор по ИБ IBS DataFort. «Довольно большая статистика по инцидентам ИБ в области ДБО должна позволить регулятору подготовить адекватные общие требования для всех участников», – подчеркивает он.

По мнению Максима Болышева, ужесточение мер обеспечения безопасности банковских операций способно существенно снизить удобство использования клиентами дистанционных каналов. «Конечно, можно на законодательном уровне обязать финансовые учреждения использовать широкий спектр средств и технологий для повышения безопасности – многозначные пароли подтверждения операций, разовые и кумулятивные лимиты на осуществление операций, необходимость подтверждения операций звонком в колл-центр, использование систем фроданализа (антифродсистем), антивирусов, систем контроля устройств пользователей, отслеживающих удаленное управление устройством или подозрительную активность и так далее. Но есть опасение, что в таком случае мы получим хоть и сверхбезопасную систему, но использование ее будет невозможно – получится сложно, неудобно и дорого», – говорит он. По его словам банковскому сообществу в целом, и Банку России в частности, необходимо уделить больше внимания популяризации грамотности населения в вопросах безопасного использования банковских продуктов и сервисов, особенно с использованием ДБО-каналов.

Напомним, что согласно прогнозам Positive Technologies, в 2017 году количество кибератак на банки увеличится на 30% по сравнению с 2016 годом. В общей сложности, по данным управления «К» МВД России, за последние полтора года удалось предотвратить хищение из российских банков более 3 млрд руб. «Киберпреступность – очень выгодное применение криминальных талантов, – говорит Дмитрий Князев. – Киберпреступники хорошо оснащены и организованы, в таких группах есть ролевое распределение – координаторы, дропперы и прочие специализации. Технологии хищения развиваются и представляют полноценный технологический процесс – от стадии выявления уязвимостей до готовых инструментов и методов хищения».

Наталья Рудычева