Широким фронтом
ЦИФРОВАЯ ТРАНСФОРМАЦИЯ И РИСКИ
Безусловно, цифровая трансформация создает многочисленные преимущества для клиентов финансовых организаций. Увеличивается качество, скорость и доступность взаимодействия клиентов с финансовым сектором, снижается стоимость услуг. Вместе с тем отсутствие должного внимания к безопасности технологий и защищенности созданных на их основе сервисов создает дополнительные риски как для банков, так и для их клиентов.
Неслучайно эксперты Всемирного экономического форума определили кибератаки в качестве базового глобального технологического риска 2019 года (Рис. 1). Очевидно, что наблюдаемый по всему миру рост масштабов компьютерной преступности, прежде всего в кредитно-финансовой сфере, требует скоординированных усилий регуляторов, поднадзорных организаций и потребителей финансовых услуг.
Рис. 1. Глобальный ландшафт рисков
До настоящего времени Банк России не фиксировал случаев существенного ущерба системно значимых кредитных организаций в результате кибератак. Однако нам известно об инцидентах в сфере информационной безопасности, которые приводили к нарушению непрерывности предоставления финансовых услуг и как следствие – к росту социальной напряженности. Мы отслеживаем настроения в социальных сетях, и видим, что клиенты чутко и быстро реагируют на любые технологические проблемы банков.
Риску хищения подвержен объем денежных средств, сопоставимый с остатком по корреспондентскому счету кредитной организации в Банке России и суммой прихода по этому счету за день. Для небольших кредитных организаций такой объем средств зачастую сравним с размером их уставного капитала. Поэтому паника и уход клиентов на фоне компьютерных инцидентов могут стать одной из причин прекращения их деятельности.
РОЛЬ БАНКА РОССИИ В ОБЛАСТИ ИБ
В этой связи основная роль Банка России в сфере информационной безопасности заключается в обеспечении высокого уровня доверия населения и бизнеса к финансовой системе страны. В 2017 и 2018 годах мы проводили опрос среди клиентов порядка 40 кредитных организаций с целью выяснить уровень их доверия к используемым услугам с точки зрения их информационной безопасности. Если в 2017 году этот показатель составлял чуть более 40%, то в конце прошлого года мы зафиксировали его на уровне 70%.
Вместе с тем, главным критерием, по которому клиенты оценивают надежность услуг и сервисов, является уровень хищений. Основной показатель здесь – доля несанкционированных переводов денежных средств с использованием платежных карт. Наша задача состоит в том, чтобы эта доля в целом по всей банковской системе не превышала пяти тысячных процента (0,005%) или 5 (пяти) копеек на 1000 (одну тысячу) рублей переводов.
В 2018 году доля несанкционированных переводов денежных средств с использованием платежных карт составила 1,8 копейки на 1000 рублей переводов (0,0018%). Это несколько выше, чем годом ранее, что,по нашему мнению, связано с ростом прозрачности данных, которые Банк России получает от кредитных организаций (Рис. 2).
Другими целями нашей деятельности в области информационной безопасности являются:
– ведение мониторинга компьютерных атак, оперативное принятие мер, направленных на сокращение потерь банков и клиентов;
– содействие развитию и внедрению инновационных финансовых технологий, которые позволяют более эффективно контролировать риск реализации киберугроз и снижать расходы на обеспечение должного уровня информационной защиты.
Рис. 2. Цель Банка России в области обеспечения информационной безопасности
ПРЕДПОСЫЛКИ ДЛЯ РЕФОРМЫ РЕГУЛИРОВАНИЯ И НАДЗОРА
Уверен, что к настоящему времени сформировалось понимание значения информационной безопасности со стороны участников рынка как для их операционной деятельности, так и для достижения стратегических целей. Конкуренция между банками заставляет повышать удобство и качество финансовых услуг,в том числе, на основе новых финансовых и цифровых технологий. Одновременно расширяются права и интересы потребителей финансовых услуг с точки зрения их защиты от финансовых потерь.
Всё это приводит к тому, что факторы киберриска объективно интегрируются в состав основных рисков финансовых организаций.
Как известно, в середине прошлого года был принят Федеральный закон ФЗ-167 в части внесения изменений в законодательство о противодействии хищению денежных средств.
Данным законом:
– существенно расширены полномочия Банка России по вопросам регулирования информационной безопасности и защиты информации в кредитных и некредитных финансовых организациях;
– изменён порядок взаимодействия регулятора с поднадзорными организациями.
Прежде добровольный информационный обмен с ФинЦЕРТ о случаях и попытках несанкционированных переводов денежных средств стал обязательным. Одновременно банки получили легальный инструмент обмена данными для предотвращения хищений.
Наряду с правовой основой мы создали технические условия для упрощения и автоматизации процесса обмена информацией об инцидентах и хищениях. В 2018 году в Банке России начала работу Автоматизированная система обработки инцидентов (АСОИ). Она позволяет:
- обмениваться информацией об актуальных угрозах и инцидентах, данными о совершении перевода денежных средств без согласия клиента (включая покушения);
- сообщать в Банк России о планируемых мероприятиях по публичному раскрытию информации об инцидентах.
Сегодня информационный обмен через АСОИ ФинЦЕРТ осуществляют более 600 организаций. Среди них:
– 437 банков;
– 39 небанковских кредитных организаций;
– 77 страховых;
– 63 иных организаций.
Отдельно стоит отметить, что на платформе АСОИ создана и введена в тестовую эксплуатацию база данных об операциях по переводу денежных средств без согласия клиента – система «Фид-АнтиФрод». С момента ее запуска мы получили информацию о более 25 000 операций, осуществленных без согласия клиентов.
В 2019 году мы планируем:
– полностью автоматизировать информационный обмен через АСОИ;
– запустить ФИД-АнтиФрод в «боевую» эксплуатацию и начать подключать к ней некредитные финансовые организации по мере того, как для них будут вступать в силу требования ФЗ-167.
ПЛАНЫ ПО РАЗВИТИЮ НОРМАТИВНОГО РЕГУЛИРОВАНИЯ
Что касается развития методологии обеспечения информационной безопасности, Банк России планирует выпустить нормативные документы, которые направлены:
1) на выявление в сети «Интернет» так называемых «фишинговых» ресурсов и сайтов, связанных с осуществлением незаконной финансовой деятельности.
Оперативное ограничение доступа к ним потребителей финансовых услуг требует закрепления за Банком России полномочий по их внесудебному разделегированию. Соответствующий законопроект принят Государственной Думой в первом чтении. Этот же документ, как мы надеемся, предоставит Банку России право досудебной блокировки сайтов, связанных с распространением вредоносного программного обеспечения.
2) Следующим актуальным вопросом является противодействие мобильному мошенничеству. Банк России участвует в подготовке изменений в ФЗ-115 «О противодействии отмыванию доходов, полученных преступным путем, и финансированию терроризма», предусматривающих создание единого канала обмена данными о мобильных устройствах, абонентах между операторами связи и банками.
3) Требует доработки также механизм использования усиленной квалифицированной электронной подписи. Предполагается выстроить единую систему удостоверяющих центров в кредитно-финансовой сфере, где удостоверяющей центр Банка России станет головным для всего финансового рынка.
4) Еще один блок связан с ожидаемым принятием закона о цифровых финансовых активах. Это потребует соразмерных требований к информационной безопасности и защите информации. Разработка этих требований также будет вестись с участием Банка России.
5) Наконец, о национальном проекте «Цифровая экономика Российской Федерации». Здесь наша задача – координировать выработку подходов к регулированию безопасности применения на финансовом рынке таких технологий, как искусственный интеллект, большие данные, киберфизические системы, системы распределенного реестра и другие.
ПОВЫШЕНИЕ ИБ ОРГАНИЗАЦИЙ ФИНАНСОВОЙ СФЕРЫ
Мы исходим из того, что информационная безопасность и киберустойчивость организаций кредитно-финансовой сферы должны быть реализованы на трех технологических уровнях (Рис. 3).
Это:
1) уровень инфраструктуры,
2) уровень прикладного программного обеспечения или уровень приложений,
3) уровень технологий обработки данных.
Развитие киберустойчивости на инфраструктурном уровне требует:
– с одной стороны, формирования комплекса отраслевых стандартов, устанавливающих требования к обеспечению информационной безопасности и управлению киберриском, а также состав и содержание соответствующих технологических, технических и организационных мер;
– с другой стороны, создания системы оценки соответствия информационной безопасности финансовых организаций требованиям национальных стандартов путем проведения внешнего аудита.
Под безопасностью на уровне приложений мы понимаем прежде всего:
– отсутствие уязвимостей в программном обеспечении, которые позволяют совершать результативные компьютерные атаки;
– введение обязательного использования прикладного программного обеспечения автоматизированных систем и приложений, сертифицированного в России или протестированного на наличие уязвимостей.
На уровне технологий и процессов обработки данных мы ориентируемся:
– на обеспечение целостности и подлинности обрабатываемой информации;
– а также разработку требований к безопасности обработки данных для каждой новой финансовой технологии.
Рис. 3. Основные элементы информационной безопасности
РИСК-ПРОФИЛИРОВАНИЕ И РЕФОРМА НАДЗОРНОЙ ДЕЯТЕЛЬНОСТИ
Обеспечение киберустойчивости финансовых организаций невозможно без осуществления контроля и надзора за состоянием их информационной безопасности. Кратко представлю некоторые планы в этой сфере.
1) Прежде всего, надзорная деятельность будет осуществляться на основе риск-ориентированного подхода (Рис. 4). Для этого Банк России будет использовать данные об уровне и качестве управления киберриском в каждой организации кредитно-финансовой сферы.
2) Участие сотрудников Банка России в надзорных мероприятих будет, повозможности, минимизировано.
3) Также планируется использовать для оценки организаций результаты стресс-тестирований, более знакомых как киберучения.
Безусловно, формирование системы показателей потребует времени. К 2021 году мы планируем начать получение объективной информации:
– по уровню риска отдельных организаций кредитно-финансовой сферы;
– их готовности противостоять кибератакам с точки зрения обработки киберриска и его финансового покрытия;
– и как следствие уровню готовности кредитно-финансовой сферы противостоять киберугрозам в целом.
Параллельно будут разработаны методология финансового покрытия киберриска посредством страхования и установления дополнительных требований к капиталу. Данные по финансовым потерям потребителей позволят нам планировать конкретные мероприятия по защите их прав и законных интересов.
Рис. 4. Риск-ориентированный подход. Формирование системы показателей
БАНК РОССИИ – КООРДИНАЦИОННЫЙ ЦЕНТР В ОБЛАСТИ ИБ
Год назад на Уральском форуме я объявил о создании в структуре Банка России Департамента информационной безопасности. С удовлетворением отмечу, что Департамент состоялся и успешно работает. Среди основных направлений деятельности в области информационной безопасности, где требуется организация совместной работы Банка России, экспертного сообщества и участников рынка, хотел бы выделить следующие.
Во-первых, это разработка стандартов в области информационной безопасности и киберустойчивости. Она подразумевает участие представителей Банка России в работе подкомитета № 1 Технического комитета № 122 «Стандарты финансовых (банковских) операций», а также в работе международных организаций.
Вторым направлением является взаимодействие по вопросам обеспечения информационной безопасности в рамках межведомственной рабочей группы, куда входят представители МВД России, ФСТЭК России, ФСБ России, Минкомсвязи России, Росфинмониторинга, эксперты кредитных организаций.
В-третьих, Банк России активно участвует в реализации Национального проекта «Цифровая экономика Российской Федерации». Основными для нас направлениями здесь являются:
– информационная безопасность и киберустойчивость значимых платежных систем (что включает использование российской криптографии);
– формирование подходов к киберустойчивости инновационных технологий;
– подготовка кадров для организаций кредитно-финансовой сферы.
КАДРЫ
Что касается четвертого направления – подготовки кадров в сфере информационной безопасности, тут Банк России планирует стать связующим звеном между высшими учебными заведениями и организациями кредитно-финансовой сферы.
Это потребует от нас:
– определения потребности в специалистах;
– разработки профессионального стандарта «Специалист в области информационной безопасности организаций кредитно-финансовой сферы»;
– подготовки изменений в действующие образовательные ГОСТы;
– и разработки примерной программы профессиональной переподготовки для тех, кто уже окончил вуз.
Уверен, что все эти меры позволят создать условия для подготовки специалистов в области ИБ, которые действительно нужны рынку.
МЕЖДУНАРОДНОЕ ВЗАИМОДЕЙСТВИЕ
Наконец, пятое направление – международное взаимодействие.
Ключевыми площадками взаимодействия с зарубежными экспертами по вопросам кибербезопасности для Банка России являются:
– Международная организация по станадртизации (ISO);
– Международная электротехническая комиссия (IEC) и Международный союз электросвязи (ITU);
– Международная организация комиссий по ценным бумагам (IOSCO);
– Совет по финансовой стабильности (FSB);
– Всемирный экономический форум (WEF).
ФинЦЕРТ Банка России заключил соглашения по вопросам обмена информацией о киберугрозах и укрепления кибербезопасности с центральными либо национальными банками Италии, Испании, Турции, и Индии.Такие же соглашения действуют со всеми странами Евразийского Экономического союза.
Мы взаимодействуем с коллегами из ЕАЭС также по вопросам формирования центров реагирования на компьютерные инциденты, а также создания среды доверия в рамках единого платежного пространства Союза.Впервые в мероприятиях Уральского форума в этом году принял участие представитель Народного банка Китайской Народной Республики.
Автор: Дмитрий Скобелкин, заместитель председателя Банка России
По материалам выступления на XI Уральском форуме.