Российский рынок информационной безопасности банков растет динамичными темпами. С каждым годом количество кибермошенников и ИБ-угроз увеличивается, что приводит к соответствующему росту спроса на продукты и услуги, позволяющие противостоять хакерским атакам. Определенным драйвером роста данного сегмента рынка стал выход нормативно-правовых документов, определяющих требования и рекомендации по защите информации. Усилия финансового сообщества направлены в том числе на минимизацию человеческого фактора, поскольку эксперты уверены, что именно он был, есть и будет самым слабым звеном в ИБ.

Проблемы информационной безопасности в банковской сфере на протяжении нескольких лет не теряют своей злободневности и актуальности. В настоящее время можно выделить несколько видов наиболее опасных угроз. Во-первых, это вредоносные коды и различные типы атак с использованием фишинга в корпоративной почте. Во-вторых, существуют угрозы кибератак на организацию, уровень защищенности от которых оставляет желать лучшего, поскольку реагирование на угрозы ИБ происходит несвоевременно, нет контроля сессий привилегированных пользователей. В-третьих, использование мобильных устройств в корпоративных целях также несет определенные риски, например, утечек конфиденциальной информации.

Список угроз настолько велик, что его можно было бы продолжать и продолжать. Но, наверное, более правильно уделить внимание мерам борьбы с ними, как техническим, так и организационным. Одной из таких организационных мер стало создание внутри Банка России в 2015 году FinCERT – структуры департамента информационной безопасности ЦБ РФ, главной задачей которой является противодействие злоумышленникам путем взаимного информирования и оповещения участников банковского сообщества об уязвимостях, угрозах и рисках, с которыми каждому из них приходится сталкиваться.

Согласно последней статистике, на 2018 год в рамках FinCERT взаимодействуют более 600 банков. 

Регулятор сообщил, что по состоянию на 20 сентября 2018 года он заблокировал свыше 2,1 тыс. доменов. На самом деле количество доменов, подлежащих блокировке/разделегированию, которые выявляет FinCERT и информацию о которых он получает от банков, больше. По сведениям Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России, разделегированию в конечном итоге подлежат примерно три из четырех доменов.

В FinCERT отмечают, что за последние два года наблюдается тренд на нецелевые атаки, поскольку изучение объекта атаки очень затратно для преступников. Ими используются стандартные процедуры, и производится массовая рассылка. Так, на кредитно-финансовые организации зарегистрировано 530 нецелевых и 160 целевых атаки. Некоторые банки по разным причинам подвергаются таким атакам по несколько раз в течение непродолжительного времени.

По данным FinCERT, более 80% участников кредитно-финансовой сфе­ры в разрезе банков уже подключены к платформе Банка России по обработке инцидентов (АСОИ FinCERT). Есть ряд организаций, которые по каким-то причинам до сих пор не направили в FinCERT информацию о тех, кто ответственен за информационный обмен, имеется несколько банков, которые уже получили учетные данные от FinCERT для входа в АСОИ, но по тем или иными причинам не посещают личный кабинет.
C 26 сентября 2018 года начался процесс отчетности и надзорного реагирования, и основным интерфейсом взаимодействия будет АСОИ FinCERT. 

Учет киберрисков в капитале

Важной мерой по защите банков от угроз ИБ является регулирование киберрисков в капитале банков с 1 января 2019 года. О планах предпринять такие шаги регулятор заявил в феврале текущего года. 

«Мы планируем публиковать это (документацию о регулировании киберрисков в капитале банков. – Прим. ред.) в первом полугодии, до 1 июля 2018 года. И планируем ввести соответствующее регулирование с 1 января 2019 года», – сообщил Начальник управления департамента банковского регулирования ЦБ РФ Михаил Бухтин.

С 2020 года банки начнут оценку этих рисков в рамках ВПОДК (внутренних процедур оценки достаточности капитала банков) на основе данных, полученных по итогам 2019 года. К банкам будут предъявляться дополнительные требования по нормативу достаточности капитала. Он будет повышаться на 1-2-3%, указал Михаил Бухтин.

«Банки, которые подвергаются атакам, могут потерять весь капитал, поэтому тот механизм, который коллеги предлагают, является достаточно либеральным», – добавил Заместитель начальника главного управления безопасности и защиты информации ЦБ Артем Сычев, комментируя проект нового регулирования операционных рисков. 

Действительно, банки сталкиваются с серьезными проблемами, связанными с реализацией операционных рисков различной природы, среди которых все больший вес набирают как раз киберриски. Участившиеся случаи хакерских атак на ИT-платформы 
банков влекут за собой убытки, как минимум потерю выручки за период такой атаки. Ряд финансово-кредитных организаций страхуют риски электронных и компьютерных преступлений в рамках договора комплексного банковского страхования от преступлений. Если говорить о мировых объемах данного сегмента страхового рынка, то, по оценке Allied Market Research, к 2022 году глобальный рынок страхования киберрисков может достичь 14 млрд долларов. 

Операционный риск (ОР) уже, согласно требованиям Базеля, входит в знаменатели формул для расчета нормативов достаточности капитала банка наряду с кредитным и рыночным риском. Очевидно, что текущий подход к расчету величины ОР претерпит изменения и станет формализован в части учета киберриска. Участникам рынка будет предложен подход для определения его величины, и банки должны будут реализовать его в своих внутренних учетных системах при формировании отчетности и расчете нормативов достаточности. В свою очередь, это приведет к необходимости наращивать капитальную базу кредитных организаций: уже озвучено, что новация приведет к дополнительным требованиям по нормативу достаточности, который будет повышаться на величину от одного процентного пункта.

Специалисты в области ИБ в большинстве своем не ждут значительных изменений в этой сфере в связи с введением дополнительного регулирования, поскольку уже сейчас руководители всех крупных банков понимают опасность рисков, связанных с киберугрозами, и поэтому в банках уделяется должное внимание обеспечению ИБ. Дополнительное регулирование, конечно, в какой-то степени усилит внимание руководства организаций к этой проблеме. Также в результате регулирования, вероятно, некоторые аспекты деятельности по обеспечению ИБ будут больше формализованы, появится дополнительная отчетность.

Закономерно возникает вопрос, насколько жесткими могут быть эти требования? Конечно, ответить на него может только их разработчик, поскольку документы еще не представлены рынку. Некоторые эксперты полагают, что на первом этапе требования будут относительно либеральными и ужесточаться они будут постепенно. Другие эксперты считают, что вряд ли они будут либеральными, поскольку сейчас ситуация с киберугрозами достаточно серьезна. При этом высказываются опасения, что чрезвычайно строгие подходы при их неукоснительном соблюдении могут отрицательно воздействовать на банковский бизнес.

Человек не машина

В статье о рисках ИБ нельзя обойти молчанием пресловутый человеческий фактор, который портит жизнь всем без исключения – и банкам, и их клиентам.

Объективная реальность состоит в том, что полностью автоматических систем информационной безопасности не существует, все они автоматизированные, то есть все они в той или иной мере предполагают участие человека. Правильное построение и дальнейшее управление системами ИБ является исключительно прерогативой персонала, и поэтому даже самые совершенные ИТ-решения и самые идеально спроектированные ИТ-системы совершенно не являются гарантом высокого уровня информационной безопасности в банке.

По данным исследований, свыше 80% нарушений информационной безопасности вызвано сотрудниками самой организации. Банковские эксперты в области ИБ уверены, что не следует надеяться на здравый смысл персонала, а нужно целенаправленно повышать осведомленность сотрудников по вопросам информационной безопасности. Именно это является необходимым условием для нормального функционирования системы управления ИБ в банке.