БИЗНЕС-ТРЕНДЫ
Кибербезопасность
в российских банках
В условиях цифровой трансформации банковского сектора
на первое место выходят вопросы информационной безопасности. На уральском форуме «Кибербезопасность в финансах», который прошел в феврале, заместитель председателя Банка России Герман Зубарев выступил с докладом на эту тему.
на первое место выходят вопросы информационной безопасности. На уральском форуме «Кибербезопасность в финансах», который прошел в феврале, заместитель председателя Банка России Герман Зубарев выступил с докладом на эту тему.
SHUTTERSTOCK/FOTODOM
Герман Зубарев
заместитель председателя Банка России
Спикер отметил, что в прошлом году кратно выросло число кибератак на финансовую систему страны. Банковской отрасли необходимо оперативно решать вопросы импортозамещения, внедряя качественные российские решения.
Регулятор заинтересован в стабильной и эффективной работе банков, поэтому намерен обсуждать с участниками финансового рынка разные идеи, начиная от страхования киберрисков и заканчивая обеспечением технологической независимости отрасли.
ЦБ обозначил три приоритетные цели в сфере информационной безопасности (ИБ) финансового сектора:
- защита прав потребителей и повышение их доверия к цифровым технологиям;
- безопасность платежных технологий и технологический суверенитет;
- контроль операционных рисков.
Для каждого направления разработан набор конкретных мероприятий, соблюдающих баланс интересов граждан, бизнеса и государства.
В 2022 году объем операций без согласия клиентов увеличился по сравнению с 2021 годом на 4,29%. в то же время благодаря усилиям банков по противодействию мошенничеству количество таких операций снизилось на 15,31%
Защита клиентов
Прежде всего необходимо противостоять кибермошенничеству. Основным инструментом злоумышленников остается социальная инженерия, с помощью которой, по данным Центробанка, в прошлом году было совершено более половины банковских операций без согласия клиентов. Объем потерь по сравнению с 2021 годом увеличился на 4,29% и составил чуть больше 14 млрд руб.
Исходя из этого, Банк России считает необходимым повышать качество антифрод-процедур, налаживать мониторинг операций, чтобы выявлять аномалии поведения клиентов, отключать электронные средства платежа дропперам. Кроме того, важно организовать эффективный информационный обмен с МВД. Уже осенью 2023 года МВД станет участником автоматизированной системы ФинЦЕРТ, где аккумулируются сведения о кибератаках и данные об операциях без согласия. Так правоохранительные органы смогут оперативно получать информацию о мошеннических действиях. Это повысит скорость и качество расследования дел о кибермошенничестве.
Исходя из этого, Банк России считает необходимым повышать качество антифрод-процедур, налаживать мониторинг операций, чтобы выявлять аномалии поведения клиентов, отключать электронные средства платежа дропперам. Кроме того, важно организовать эффективный информационный обмен с МВД. Уже осенью 2023 года МВД станет участником автоматизированной системы ФинЦЕРТ, где аккумулируются сведения о кибератаках и данные об операциях без согласия. Так правоохранительные органы смогут оперативно получать информацию о мошеннических действиях. Это повысит скорость и качество расследования дел о кибермошенничестве.
Безопасность цифрового рубля
Банк России анонсировал тестирование цифрового рубля уже весной 2023 года. Основное внимание с точки зрения обеспечения информационной безопасности будет сфокусировано:
- на выработке требований к защите информации, предъявляемых к участникам платформы цифрового рубля;
- на создании правовой, организационной и технологической основ в части вопросов ИБ;
- на развитии антифрод-механизмов с учетом специфики операций в цифровых рублях.
Техническая инфраструктура ФинЦЕРТ также будет совершенствоваться, чтобы своевременно предоставлять банкам информацию по тактике и технике совершения компьютерных атак.
Граждане смогут подавать заявления о краже через «Госуслуги» и онлайн-сервисы банков. А чтобы снизить риски мошенничества при оформлении онлайн-продуктов, будет законодательно закреплена возможность для клиентов устанавливать самозапрет на получение кредитов.
Еще одно значимое направление работы — повышение финансовой киберграмотности. Банк России продолжит проводить информационнопросветительские и образовательные мероприятия с применением современных технологий и форматов взаимодействия. Особое внимание будет уделяться социально уязвимым категориям населения. Регулятор ожидает, что и банки станут активнее информировать своих клиентов о том, как распознать мошенников.
Герман Зубарев: «Защита клиентов должна стать неотъемлемой частью бизнеспроцессов финансовых организаций».
Граждане смогут подавать заявления о краже через «Госуслуги» и онлайн-сервисы банков. А чтобы снизить риски мошенничества при оформлении онлайн-продуктов, будет законодательно закреплена возможность для клиентов устанавливать самозапрет на получение кредитов.
Еще одно значимое направление работы — повышение финансовой киберграмотности. Банк России продолжит проводить информационнопросветительские и образовательные мероприятия с применением современных технологий и форматов взаимодействия. Особое внимание будет уделяться социально уязвимым категориям населения. Регулятор ожидает, что и банки станут активнее информировать своих клиентов о том, как распознать мошенников.
Герман Зубарев: «Защита клиентов должна стать неотъемлемой частью бизнеспроцессов финансовых организаций».
- до 469МЛРД РУБ.
должен вырасти отечественный рынок кибербезопасности к 2026 году, по прогнозам центра стратегических разработок
Безопасность платежей
Зампредседателя Банка России обратил внимание на то, что активное развитие цифровых технологий значительно изменило потребности и ожидания получателей финансовых услуг. Клиенты становятся более требовательными, их интересует возможность получить широкий спектр услуг дистанционно. При этом они отдают предпочтение простым, удобным и безопасным сервисам.
В то же время при ускоренном развитии технологий возрастают риски кибератак на клиентов и банки, а также мошенничества на финансовом рынке. Задача отрасли, уверены в Центробанке, — найти баланс между защищенностью информационных технологий и удобством их использования пользователями. Необходимо взвешенно оценить риски и бесшовно интегрировать методы и средства защиты информации в клиентский путь.
Регулятор намерен сформулировать нормативные требования к информационной безопасности высокотехнологичных проектов, таких как цифровой профиль, открытые API, единая биометрическая система. Также Банк России планирует закрепить стандарты ИБ, чтобы обеспечить непрерывность и доступность платежных сервисов и снизить потери участников финансового рынка от мошенничества. Эти стандарты будут способствовать развитию платежной системы Банка России, СБП, СПФС (отечественной системы передачи финансовых сообщений), цифрового рубля.
В то же время при ускоренном развитии технологий возрастают риски кибератак на клиентов и банки, а также мошенничества на финансовом рынке. Задача отрасли, уверены в Центробанке, — найти баланс между защищенностью информационных технологий и удобством их использования пользователями. Необходимо взвешенно оценить риски и бесшовно интегрировать методы и средства защиты информации в клиентский путь.
Регулятор намерен сформулировать нормативные требования к информационной безопасности высокотехнологичных проектов, таких как цифровой профиль, открытые API, единая биометрическая система. Также Банк России планирует закрепить стандарты ИБ, чтобы обеспечить непрерывность и доступность платежных сервисов и снизить потери участников финансового рынка от мошенничества. Эти стандарты будут способствовать развитию платежной системы Банка России, СБП, СПФС (отечественной системы передачи финансовых сообщений), цифрового рубля.
В 2022 году Банк России направил операторам связи 756 072 номера телефона, используемых злоумышленниками для хищения средств у граждан. Также был ограничен доступ к 10 716 фишинговым интернет-ресурсам, что более чем в три раза превышает показатель 2021 года
Отдельно Герман Зубарев остановился на экспериментальных правовых режимах и регулятивной песочнице. Банк России продолжит исследовать на предмет киберустойчивости инновационные финансовые продукты, предложенные участниками рынка, в регулятивной песочнице. Апробация будет проводиться с учетом комплексного анализа рисков и формирования моделей угроз, возникающих при использовании таких продуктов. По результатам рассмотрения финансовых продуктов и их пилотирования в экспериментальных правовых режимах Банк России будет предлагать внести изменения в законодательство.
Все решения должны способствовать достижению реального технологического суверенитета с учетом санкционных рисков. Важную роль в этом процессе играет отраслевой центр компетенций. Он определяет приоритеты в вопросах замены иностранного программного и аппаратного обеспечения, тестирует и оценивает зрелость российских решений, формирует единый запрос от отрасли на разработку необходимых отечественных технологий.
Герман Зубарев: «Мы считаем, что Банк России должен участвовать в разработке требований информационной безопасности к субъектам критической информационной инфраструктуры из финансового сектора».
Все решения должны способствовать достижению реального технологического суверенитета с учетом санкционных рисков. Важную роль в этом процессе играет отраслевой центр компетенций. Он определяет приоритеты в вопросах замены иностранного программного и аппаратного обеспечения, тестирует и оценивает зрелость российских решений, формирует единый запрос от отрасли на разработку необходимых отечественных технологий.
Герман Зубарев: «Мы считаем, что Банк России должен участвовать в разработке требований информационной безопасности к субъектам критической информационной инфраструктуры из финансового сектора».
Проекты по безопасному внедрению инноваций
Регулятор сформирует требования к информационной безопасности новых проектов и будет проводить мониторинг фактического уровня их защищенности. Среди этих проектов:
- развитие новых способов идентификации и аутентификации, в том числе удаленной идентификации для резидентов и нерезидентов;
- цифровые финансовые активы;
- повышение доступности электронной подписи для массового сегмента;
- развитие взаимодействия финансовых организаций с органами власти, включая доступ к государственным информационным системам.
Требования, методология и практические инструменты информационной безопасности будут разрабатываться во взаимодействии с органами власти и участниками рынка.
Контроль операционных рисков
Для операционной надежности (то есть непрерывности предоставления услуг) и контроля рисков информационной безопасности Банк России планирует реализовать ряд проектов в области RegTech и SupTech.
Регулятор считает важным совершенствовать систему внешнего аудита информационной безопасности. Необходимы и дополнительные правовые механизмы, позволяющие повысить качество оценки, и формирование требований к достоверности результатов внешнего аудита.
Повысить качество мониторинга и анализа операционных рисков помогут данные об инцидентах информационной безопасности, расчеты риск-профиля финансовых организаций, результаты киберучений, а также данные из форм отчетности.
Банк России продолжит стресс-тестирования по информационной безопасности и операционной надежности в рамках киберучений. Это позволит оценить операционные риски банков и установить контроль за качеством предоставляемых клиентам ИТ-сервисов.
По мнению регулятора, аутсорсинг информационных технологий и облачных сервисов нужен, но требования к ИБ при этом должны соблюдать обе стороны: и заказчик, и поставщик.
Герман Зубарев: «Мы планируем сформировать правовые условия для размещения, хранения и обработки сведений облачными провайдерами, а также определить их правовой статус, то есть распространить на них требования по защите банковской и других тайн».
Регулятор считает важным совершенствовать систему внешнего аудита информационной безопасности. Необходимы и дополнительные правовые механизмы, позволяющие повысить качество оценки, и формирование требований к достоверности результатов внешнего аудита.
Повысить качество мониторинга и анализа операционных рисков помогут данные об инцидентах информационной безопасности, расчеты риск-профиля финансовых организаций, результаты киберучений, а также данные из форм отчетности.
Банк России продолжит стресс-тестирования по информационной безопасности и операционной надежности в рамках киберучений. Это позволит оценить операционные риски банков и установить контроль за качеством предоставляемых клиентам ИТ-сервисов.
По мнению регулятора, аутсорсинг информационных технологий и облачных сервисов нужен, но требования к ИБ при этом должны соблюдать обе стороны: и заказчик, и поставщик.
Герман Зубарев: «Мы планируем сформировать правовые условия для размещения, хранения и обработки сведений облачными провайдерами, а также определить их правовой статус, то есть распространить на них требования по защите банковской и других тайн».
Эльвира Набиуллина,
председатель Банка России
“
Обеспечение информационной безопасности становится все более и более значимым приоритетом в работе ЦБ. Почему? Во-первых, мы видим, что финансовый сектор становится все высокотехнологичнее, что приводит к появлению специфических киберрисков. А во‑вторых, банки активно проникают в различные индустрии, формируя вокруг себя экосистемы. В итоге повседневная жизнь человека зависит лишь от нескольких приложений. В этой ситуации и Банк России, и коммерческие банки обязаны по-новому защищать персональные данные граждан, а также их деньги.
Мы, как регулятор, крайне заинтересованы в выработке и обсуждении новых идей и подходов.
Мы, как регулятор, крайне заинтересованы в выработке и обсуждении новых идей и подходов.
Читайте также