BIS Journal №2(33)/2019

2 июля, 2019

Широким фронтом

ЦИФРОВАЯ ТРАНСФОРМАЦИЯ И РИСКИ

Безусловно, цифровая трансформация создает многочисленные преимущества для клиентов финансовых организаций. Увеличивается качество, скорость и доступность взаимодействия клиентов с финансовым сектором, снижается стоимость услуг. Вместе с тем отсутствие должного внимания к безопасности технологий и защищенности созданных на их основе сервисов создает дополнительные риски как для банков, так и для их клиентов.

Неслучайно эксперты Всемирного экономического форума определили кибератаки в качестве базового глобального технологического риска 2019 года (Рис. 1). Очевидно, что наблюдаемый по всему миру рост масштабов компьютерной преступности, прежде всего в кредитно-финансовой сфере, требует скоординированных усилий регуляторов, поднадзорных организаций и потребителей финансовых услуг.

Рис. 1. Глобальный ландшафт рисков

 

До настоящего времени Банк России не фиксировал случаев существенного ущерба системно значимых кредитных организаций в результате кибератак. Однако нам известно об инцидентах в сфере информационной безопасности, которые приводили к нарушению непрерывности предоставления финансовых услуг и как следствие – к росту социальной напряженности. Мы отслеживаем настроения в социальных сетях, и видим, что клиенты чутко и быстро реагируют на любые технологические проблемы банков.

Риску хищения подвержен объем денежных средств, сопоставимый с остатком по корреспондентскому счету кредитной организации в Банке России и суммой прихода по этому счету за день. Для небольших кредитных организаций такой объем средств зачастую сравним с размером их уставного капитала. Поэтому паника и уход клиентов на фоне компьютерных инцидентов могут стать одной из причин прекращения их деятельности.

 

РОЛЬ БАНКА РОССИИ В ОБЛАСТИ ИБ

В этой связи основная роль Банка России в сфере информационной безопасности заключается в обеспечении высокого уровня доверия населения и бизнеса к финансовой системе страны. В 2017 и 2018 годах мы проводили опрос среди клиентов порядка 40 кредитных организаций с целью выяснить уровень их доверия к используемым услугам с точки зрения их информационной безопасности. Если в 2017 году этот показатель составлял чуть более 40%, то в конце прошлого года мы зафиксировали его на уровне 70%.

Вместе с тем, главным критерием, по которому клиенты оценивают надежность услуг и сервисов, является уровень хищений. Основной показатель здесь – доля несанкционированных переводов денежных средств с использованием платежных карт. Наша задача состоит в том, чтобы эта доля в целом по всей банковской системе не превышала пяти тысячных процента (0,005%) или 5 (пяти) копеек на 1000 (одну тысячу) рублей переводов.

В 2018 году доля несанкционированных переводов денежных средств с использованием платежных карт составила 1,8 копейки на 1000 рублей переводов (0,0018%). Это несколько выше, чем годом ранее, что,по нашему мнению, связано с ростом прозрачности данных, которые Банк России получает от кредитных организаций (Рис. 2).

Другими целями нашей деятельности в области информационной безопасности являются:

– ведение мониторинга компьютерных атак, оперативное принятие мер, направленных на сокращение потерь банков и клиентов;

– содействие развитию и внедрению инновационных финансовых технологий, которые позволяют более эффективно контролировать риск реализации киберугроз и снижать расходы на обеспечение должного уровня информационной защиты.

Рис. 2. Цель Банка России в области обеспечения информационной безопасности

 

ПРЕДПОСЫЛКИ ДЛЯ РЕФОРМЫ РЕГУЛИРОВАНИЯ И НАДЗОРА

Уверен, что к настоящему времени сформировалось понимание значения информационной безопасности со стороны участников рынка как для их операционной деятельности, так и для достижения стратегических целей. Конкуренция между банками заставляет повышать удобство и качество финансовых услуг,в том числе, на основе новых финансовых и цифровых технологий. Одновременно расширяются права и интересы потребителей финансовых услуг с точки зрения их защиты от финансовых потерь.

Всё это приводит к тому, что факторы киберриска объективно интегрируются в состав основных рисков финансовых организаций.

Как известно, в середине прошлого года был принят Федеральный закон ФЗ-167 в части внесения изменений в законодательство о противодействии хищению денежных средств.

Данным законом:

– существенно расширены полномочия Банка России по вопросам регулирования информационной безопасности и защиты информации в кредитных и некредитных финансовых организациях;

– изменён порядок взаимодействия регулятора с поднадзорными организациями.

 

Прежде добровольный информационный обмен с ФинЦЕРТ о случаях и попытках несанкционированных переводов денежных средств стал обязательным. Одновременно банки получили легальный инструмент обмена данными для предотвращения хищений.

Наряду с правовой основой мы создали технические условия для упрощения и автоматизации процесса обмена информацией об инцидентах и хищениях. В 2018 году в Банке России начала работу Автоматизированная система обработки инцидентов (АСОИ). Она позволяет:

  • обмениваться информацией об актуальных угрозах и инцидентах, данными о совершении перевода денежных средств без согласия клиента (включая покушения);
  • сообщать в Банк России о планируемых мероприятиях по публичному раскрытию информации об инцидентах.

 

Сегодня информационный обмен через АСОИ ФинЦЕРТ осуществляют более 600 организаций. Среди них:

– 437 банков;

– 39 небанковских кредитных организаций;

– 77 страховых;

– 63 иных организаций.

Отдельно стоит отметить, что на платформе АСОИ создана и введена в тестовую эксплуатацию база данных об операциях по переводу денежных средств без согласия клиента – система «Фид-АнтиФрод». С момента ее запуска мы получили информацию о более 25 000 операций, осуществленных без согласия клиентов.

 

В 2019 году мы планируем:

– полностью автоматизировать информационный обмен через АСОИ;

– запустить ФИД-АнтиФрод в «боевую» эксплуатацию и начать подключать к ней некредитные финансовые организации по мере того, как для них будут вступать в силу требования ФЗ-167.

 

ПЛАНЫ ПО РАЗВИТИЮ НОРМАТИВНОГО РЕГУЛИРОВАНИЯ

Что касается развития методологии обеспечения информационной безопасности, Банк России планирует выпустить нормативные документы, которые направлены:

1) на выявление в сети «Интернет» так называемых «фишинговых» ресурсов и сайтов, связанных с осуществлением незаконной финансовой деятельности.

Оперативное ограничение доступа к ним потребителей финансовых услуг требует закрепления за Банком России полномочий по их внесудебному разделегированию. Соответствующий законопроект принят Государственной Думой в первом чтении. Этот же документ, как мы надеемся, предоставит Банку России право досудебной блокировки сайтов, связанных с распространением вредоносного программного обеспечения.

2) Следующим актуальным вопросом является противодействие мобильному мошенничеству. Банк России участвует в подготовке изменений в ФЗ-115 «О противодействии отмыванию доходов, полученных преступным путем, и финансированию терроризма», предусматривающих создание единого канала обмена данными о мобильных устройствах, абонентах между операторами связи и банками.

3) Требует доработки также механизм использования усиленной квалифицированной электронной подписи. Предполагается выстроить единую систему удостоверяющих центров в кредитно-финансовой сфере, где удостоверяющей центр Банка России станет головным для всего финансового рынка.

4) Еще один блок связан с ожидаемым принятием закона о цифровых финансовых активах. Это потребует соразмерных требований к информационной безопасности и защите информации. Разработка этих требований также будет вестись с участием Банка России.

5) Наконец, о национальном проекте «Цифровая экономика Российской Федерации». Здесь наша задача – координировать выработку подходов к регулированию безопасности применения на финансовом рынке таких технологий, как искусственный интеллект, большие данные, киберфизические системы, системы распределенного реестра и другие.

 

ПОВЫШЕНИЕ ИБ ОРГАНИЗАЦИЙ ФИНАНСОВОЙ СФЕРЫ

Мы исходим из того, что информационная безопасность и киберустойчивость организаций кредитно-финансовой сферы должны быть реализованы на трех технологических уровнях (Рис. 3).

Это:

1) уровень инфраструктуры,

2) уровень прикладного программного обеспечения или уровень приложений,

3) уровень технологий обработки данных.

Развитие киберустойчивости на инфраструктурном уровне требует:

– с одной стороны, формирования комплекса отраслевых стандартов, устанавливающих требования к обеспечению информационной безопасности и управлению киберриском, а также состав и содержание соответствующих технологических, технических и организационных мер;

– с другой стороны, создания системы оценки соответствия информационной безопасности финансовых организаций требованиям национальных стандартов путем проведения внешнего аудита.

 

Под безопасностью на уровне приложений мы понимаем прежде всего:

– отсутствие уязвимостей в программном обеспечении, которые позволяют совершать результативные компьютерные атаки;

– введение обязательного использования прикладного программного обеспечения автоматизированных систем и приложений, сертифицированного в России или протестированного на наличие уязвимостей.

 

На уровне технологий и процессов обработки данных мы ориентируемся:

– на обеспечение целостности и подлинности обрабатываемой информации;

– а также разработку требований к безопасности обработки данных для каждой новой финансовой технологии.

Рис. 3. Основные элементы информационной безопасности

 

РИСК-ПРОФИЛИРОВАНИЕ И РЕФОРМА НАДЗОРНОЙ ДЕЯТЕЛЬНОСТИ

Обеспечение киберустойчивости финансовых организаций невозможно без осуществления контроля и надзора за состоянием их информационной безопасности. Кратко представлю некоторые планы в этой сфере.

1) Прежде всего, надзорная деятельность будет осуществляться на основе риск-ориентированного подхода (Рис. 4). Для этого Банк России будет использовать данные об уровне и качестве управления киберриском в каждой организации кредитно-финансовой сферы.

2) Участие сотрудников Банка России в надзорных мероприятих будет, повозможности, минимизировано.

3) Также планируется использовать для оценки организаций результаты стресс-тестирований, более знакомых как киберучения.

 

Безусловно, формирование системы показателей потребует времени. К 2021 году мы планируем начать получение объективной информации:

– по уровню риска отдельных организаций кредитно-финансовой сферы;

– их готовности противостоять кибератакам с точки зрения обработки киберриска и его финансового покрытия;

– и как следствие уровню готовности кредитно-финансовой сферы противостоять киберугрозам в целом.

 

Параллельно будут разработаны методология финансового покрытия киберриска посредством страхования и установления дополнительных требований к капиталу. Данные по финансовым потерям потребителей позволят нам планировать конкретные мероприятия по защите их прав и законных интересов.

Рис. 4. Риск-ориентированный подход. Формирование системы показателей

 

БАНК РОССИИ – КООРДИНАЦИОННЫЙ ЦЕНТР В ОБЛАСТИ ИБ

Год назад на Уральском форуме я объявил о создании в структуре Банка России Департамента информационной безопасности. С удовлетворением отмечу, что Департамент состоялся и успешно работает. Среди основных направлений деятельности в области информационной безопасности, где требуется организация совместной работы Банка России, экспертного сообщества и участников рынка, хотел бы выделить следующие.

Во-первых, это разработка стандартов в области информационной безопасности и киберустойчивости. Она подразумевает участие представителей Банка России в работе подкомитета № 1 Технического комитета № 122 «Стандарты финансовых (банковских) операций», а также в работе международных организаций.

Вторым направлением является взаимодействие по вопросам обеспечения информационной безопасности в рамках межведомственной рабочей группы, куда входят представители МВД России, ФСТЭК России, ФСБ России, Минкомсвязи России, Росфинмониторинга, эксперты кредитных организаций.

В-третьих, Банк России активно участвует в реализации Национального проекта «Цифровая экономика Российской Федерации». Основными для нас направлениями здесь являются:

– информационная безопасность и киберустойчивость значимых платежных систем (что включает использование российской криптографии);

– формирование подходов к киберустойчивости инновационных технологий;

– подготовка кадров для организаций кредитно-финансовой сферы.

 

КАДРЫ

Что касается четвертого направления – подготовки кадров в сфере информационной безопасности, тут Банк России планирует стать связующим звеном между высшими учебными заведениями и организациями кредитно-финансовой сферы.

 

Это потребует от нас:

– определения потребности в специалистах;

– разработки профессионального стандарта «Специалист в области информационной безопасности организаций кредитно-финансовой сферы»;

– подготовки изменений в действующие образовательные ГОСТы;

– и разработки примерной программы профессиональной переподготовки для тех, кто уже окончил вуз.

Уверен, что все эти меры позволят создать условия для подготовки специалистов в области ИБ, которые действительно нужны рынку.

 

МЕЖДУНАРОДНОЕ ВЗАИМОДЕЙСТВИЕ

Наконец, пятое направление – международное взаимодействие.

Ключевыми площадками взаимодействия с зарубежными экспертами по вопросам кибербезопасности для Банка России являются:

– Международная организация по станадртизации (ISO);

– Международная электротехническая комиссия (IEC) и Международный союз электросвязи (ITU);

– Международная организация комиссий по ценным бумагам (IOSCO);

– Совет по финансовой стабильности (FSB);

– Всемирный экономический форум (WEF).

 

ФинЦЕРТ Банка России заключил соглашения по вопросам обмена информацией о киберугрозах и укрепления кибербезопасности с центральными либо национальными банками Италии, Испании, Турции, и Индии.Такие же соглашения действуют со всеми странами Евразийского Экономического союза.

 

Мы взаимодействуем с коллегами из ЕАЭС также по вопросам формирования центров реагирования на компьютерные инциденты, а также создания среды доверия в рамках единого платежного пространства Союза.Впервые в мероприятиях Уральского форума в этом году принял участие представитель Народного банка Китайской Народной Республики.

Автор: Дмитрий Скобелкин, заместитель председателя Банка России

По материалам выступления на XI Уральском форуме.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

11.10.2024
Очередная медицинская организация США стала объектом интереса хакеров
11.10.2024
Рыбалка вредит морякам. Морской SOC выявил главные угрозы для судоходства
11.10.2024
Регулятор обязал банкиров ускориться
11.10.2024
Краснов: Работа ведомственных антихак-подразделений должным образом не ведётся
11.10.2024
Минцифры отпустило идею создания национального репозитория
10.10.2024
ЦСР: К 2028 году объём российского рынка ИБ достигнет 715 млрд рублей
10.10.2024
22 октября в Москве пройдёт V Конференция по информационной безопасности ПрофИБ
10.10.2024
Это уже слишком. Теперь весь интернет знает, что вы едите «Огненное Воппер Комбо на двоих» в одиночку
10.10.2024
Эксперты UserGate обнаружили критическую уязвимость в Zangi
10.10.2024
«Вне зависимости от мотивации преступников успешная атака на крупный бизнес выглядит привлекательнее всего»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных