Аналитика и комментарии

13 июня 2018

Не думай об ИБ ты свысока…

Банк России планирует регулировать киберриски в капитале банков. Такая инициатива может быть введена с 1 января 2019 года. При разработке требований к управлению рисками ИБ Центробанк намерен учитывать как российские, так и Базельские стандарты. Побудительные мотивы для принятия регулятором такого решения очевидны: хакерские атаки на банки становятся все более частыми и все более разрушительными, и просто «отмахиваться» от инцидентов в сфере ИБ, как это было раньше, уже не получается.

Либеральные требования будут ужесточаться постепенно

О том, что Банк России планирует внедрить регулирование киберрисков в капитале банков с 1 января 2019 года, а с 2020 года банки начнут уже отчитываться по этой графе, регулятор заявил еще в феврале текущего года.

«Мы планируем публиковать проект регулирования киберрисков в капитале банков в первом полугодии, до 1 июля 2018 года. И собираемся ввести само регулирование с 1 января 2019 года», – сообщил начальник управления департамента банковского регулирования ЦБ РФ Михаил Бухтин.

С 2020 года банки начнут оценку этих рисков в рамках ВПОДК (внутренних процедур оценки достаточности капитала банков) на основе данных, полученных по итогам 2019 года. К банкам будут предъявляться дополнительные требования по нормативу достаточности капитала. Он будет повышаться на 1-2-3 %, указал Михаил Бухтин.

«Банки, которые подвергаются атакам, могут потерять весь капитал, поэтому тот механизм, который предлагают коллеги, является достаточно либеральным», – добавил заместитель начальника главного управления безопасности и защиты информации ЦБ РФ Артем Сычев, комментируя проект нового регулирования операционных рисков. 

 «Мы не ожидаем значительных изменений в сфере ИБ в связи с введением дополнительного регулирования, – комментирует проблему директор департамента информационной безопасности банка «Открытие» Владимир Журавлев. – Сейчас руководители всех крупных банков уже понимают риски, связанные с киберугрозами, и поэтому в банках уделяется достаточно много внимания обеспечению ИБ. Дополнительное регулирование в какой-то степени усилит это внимание. Также в результате регулирования, вероятно, некоторые аспекты деятельности по обеспечению ИБ будут больше формализованы, появится дополнительная отчетность и т.п.».

По мнению члена правления, заместителя начальника управления автоматизации и информационных технологий АО «Кузнецкбизнесбанк» Игоря Вахрушева, в сфере ИБ возрастет актуальность программных продуктов, способных не только собирать данные мониторинга, строить актуальную картину угроз и автоматически противодействовать возникающим атакам, но и выполнять комплаенс-функции. В том числе будет высока значимость ИТ-решений, позволяющих получать на выходе отчетность с показателями согласно требованиям Центрального Банка и новых ГОСТов.

«Таких продуктов и сейчас на рынке не так много, их стоимость высока. Прогнозируется дальнейшее увеличение их цены, что негативно повлияет на средние и малые банки, не обладающие значительными бюджетами, – подчеркивает эксперт. – Кроме того, новые инициативы ЦБ РФ породят новые нормативные документы, которые необходимо будет изучить и соблюдать. В очередной раз сотрудники ИБ кредитных организаций будут выбирать между «бумажной» и реальной безопасностью».

Закономерно возникает вопрос, насколько жесткими могут быть эти требования. Конечно, ответить на него может только их разработчик, поскольку документы еще не представлены рынку. Владимир Журавлев (банк «Открытие») предполагает, что на первом этапе требования будут относительно либеральными и ужесточаться они будут постепенно.

Игорь Вахрушев (Кузнецкбизнесбанк) считает, что вряд ли требования будут либеральными, поскольку сейчас ситуация с киберугрозами достаточно серьезна. «Жесткость должны проявлять службы ИБ банков, для чего их необходимо (возможно, используя положения и инструкции ЦБ РФ) наделить большей внутренней независимостью в принятии решений и расширенными полномочиями», – полагает эксперт.

Чрезвычайно строгие подходы при их неукоснительном соблюдении могут отрицательно воздействовать на бизнес, который ратует за инновации, а они немыслимы без информационных технологий, подчеркивает специалист Кузнецкбизнесбанка.

Киберриски набирают вес

Банки сталкиваются с серьезными проблемами, связанными с реализацией операционных рисков различной природы, среди которых все больший вес набирают киберриски, отмечает руководитель департамента финансовых рейтингов Национального Рейтингового Агентства (НРА) Карина Артемьева. Участившиеся случаи хакерских атак на ИT-платформы банков влекут за собой убытки (как минимум потерю выручки за период такой атаки). 

Ряд кредитных организаций страхуют риски электронных и компьютерных преступлений в рамках договора комплексного банковского страхования от преступлений. Если говорить о мировых объемах данного сегмента страхового рынка, то, по оценке компании Allied Market Research, к 2022 году глобальный рынок страхования киберрисков может достичь 14 млрд долларов. «Операционный риск (ОР) уже, согласно требованиям Базеля, входит в знаменатели формул для расчета нормативов достаточности капитала банка наряду с кредитным и рыночным риском. Очевидно, что текущий подход к расчету величины ОР претерпит изменения и станет формализован в части учета киберрисков, – отмечает эксперт НРА. – Участникам рынка будет предложен подход для определения величины такого риска, и банки должны будут реализовать его в своих внутренних учетных системах при формировании отчетности и расчете нормативов достаточности. В свою очередь, это приведет к необходимости наращивать капитальную базу кредитных организаций: уже озвучено, что новация приведет к дополнительным требованиям по нормативу достаточности, который будет повышаться на величину от 1 процентного пункта и более».

Учет международного опыта

По заявлению представителей Банка России, при разработке требований к управлению рисками информационной безопасности ЦБ РФ намерен учитывать как российские, так и Базельские стандарты, поскольку и те, и другие являются эффективными. Просто первые при этом рассматриваются как более конкретизированные и более учитывающие российскую специфику ведения банковского бизнеса.
«Базель II появился в 2004 году, Базель III – в 2010 году. Насколько эти стандарты соответствуют взрывному росту киберугроз? Являются ли они универсальными, даст ли их надлежащее выполнение стопроцентную гарантию защищенности? Защитит ли работа «по стандарту» от внезапного и неизвестного на сегодня метода взлома?», – задается вопросами Игорь Вахрушев (Кузнецкбизнесбанк). И сам же на них отвечает: «Любой стандарт вряд ли может быть стопроцентно эффективен в изменчивом мире. Ведь, например, тогда бы не было хищения с использованием SWIFT в крупном индийском банке, который наверняка документально следовал Базельским стандартам».

Тем не менее стоит учитывать, что Банк России, опираясь на Базельские стандарты, наверняка привнесет свой опыт и учтет текущую ситуацию при формировании новых требований, а это положительно скажется на общем состоянии ИБ в отрасли, считает эксперт Кузнецкбизнесбанка.

По словам бизнес-консультанта Cisco Алексея Лукацкого, при разработке собственных стандартов Банк России взял за основу требования Базельского комитета (Базель II и Базель III), где предусматривается, что при расчете капитала, который должен покрывать различные риски (в данном случае операционные), необходимо учитывать и влияние вопросов информационной безопасности, поскольку одним из видов операционного риска является несовершенство или отсутствие системы защиты информации. «Логика и Базельского комитета, и Центрального банка России здесь очень просты, – уверен эксперт. – Если безопасность работает плохо, то, соответственно, повышаются риски потери или хищения денег, и необходимо увеличивать размер капитала на покрытие этих рисков. Если с безопасностью все в порядке, то эти риски ниже, и капитал, резервируемый на их покрытие, тоже должен быть ниже. Эту логику решили облечь в некий документ, который позволит теперь четко увязать бизнес-показатели с безопасностью».

Логика заработала

Следует отметить, что до недавнего момента среди всего множества рисков, которые возникают в процессе деятельности финансовой организации, риски несовершенства либо отсутствия системы защиты информации были не самыми значимыми. Есть различные риски – ликвидности, кредитный, страновый, регуляторный (последний особенно силен в России). И до рисков информационной безопасности, которые входят в операционные риски, у многих банков просто не доходили руки, указывает Алексей Лукацкий (Cisco). 

Сейчас, поскольку размер денежных хищений посредством кибертехнологий стал существенно возрастать и представить современный банкинг без информационных технологий невозможно, значение таких рисков возросло. Поэтому Центральный банк таким образом пытается привлечь внимание банковских работников, отличающихся высокой степенью консерватизма, к проблеме киберрисков. Ведь топ-менеджмент любой финансовой организации прекрасно понимает, что деньги, которые изымаются из бизнеса и кладутся в резерв на покрытие рисков, не работают, и общие финансовые показатели организации из-за этого неизбежно ухудшаются. Для того чтобы уменьшить объем средств, которые необходимо изъять на резервирование рисков, нужно заниматься вопросами информационной безопасности на самом высоком и очень серьезном уровне.

«Подобная прямая взаимосвязь позволяет Центральному банку поднять статус ИБ финансовой организации на уровень топ-менеджмента, – считает Алексей Лукацкий. – А топ-менеджменту это поможет понять, что если раньше он смотрел на безопасность как на некий налог либо как на требование регулятора, оторванное от бизнеса, то теперь после введения этих норм он будет воспринимать информационную безопасность уже по-другому. Есть надежда, что это изменит отношение менеджмента к тому, что делают сотрудники служб ИБ. Если подобная практика 
будет внедрена, то взгляд на безопасность поменяется со всех сторон. Это станет хорошим примером того, как увязать безопасность и требования бизнеса и повысить статус ИБ 
в организации».

Чтобы руководство помнило об ИБ

Действительно, проблема привлечения внимания руководства банков на уровне правления к проблемам информационной безопасности остается актуальной.

«Только очень беззаботный банк может не уделять должного внимания состоянию ИБ, – уверен Игорь Вахрушев (Кузнецкбизнесбанк). – Требования к оценке достаточности капитала в зависимости от проявления риска информационной безопасности как одной из составляющей операционного риска, безусловно, повысит статус вопросов ИБ. Это случится быстрее, если службы управления рисками и комплаенс-подразделения банков, со своей стороны, тщательно изучат новации ЦБ в сфере киберугроз и будут активно вовлечены в процесс».

«После ряда крупных инцидентов ИБ, произошедших за последние два-три года в банковской сфере, руководители банков уделяют достаточно серьезное внимание вопросам ИБ, – считает Владимир Журавлев (банк «Открытие»). – Проблемы в продвижении каких-то решений по обеспечению ИБ возникают не из-за недостаточного внимания руководства, а из-за сложности обоснования этих решений с экономической точки зрения».

«Существует единственный вариант, который позволяет привлечь внимание любого бизнесмена к проблемам ИБ, – это говорить на его языке и показывать, как безопасность влияет на существующие бизнес-показатели организации», – уверен Алексей Лукацкий (Cisco). Например, если речь идет о финансовом директоре, то необходимо показывать, что безопасность нужна не только в соответствии с требованиями регулятора (то есть это не только борьба с хакерами), но еще и способ сэкономить деньги организации, поскольку оборудование, которое предлагают производители средств защиты, можно приобретать посредством различных схем кредитования или лизинга. В этом случае финансово-кредитная организация не несет никаких капитальных затрат, все они являются операционными.

Если разговор происходит с HR-директором, то акцентировать внимание тоже нужно не на требованиях регулятора как таковых, а на том, что повышается осведомленность персонала, прошедшего соответствующее обучение. Кроме того, с помощью технологий можно отслеживать процесс увольнения и поведение уже уволенного сотрудника (на предмет несовершения им действий, способных нанести вред его бывшему работодателю в лице банковской организации). Также для HR-специалистов важным «полем» работы является удержание сотрудников, и в этом контексте им тоже могут оказать поддержку безопасники. В частности, сотрудники ИБ, используя такие инструменты, как DLP-решения, технологии мониторинга информационных потоков, системы контроля веб-доступа, могут регулярно подготавливать сводку о том, что те или иные сотрудники участили хождение по сайтам для поиска работы, рассылают резюме и занимаются другой подобной деятельностью. В зависимости от решения руководства специалист кадровой службы может начать искать замену таким сотрудникам или же, наоборот, может провести с ними беседу с целью убедить их остаться. Тем самым штатная единица не будет «простаивать», и компания не потеряет на этом деньги. 

Если мы говорим о главном юристе, который входит в топ-менеджмент, то понятно, что в данном случае уместно делать акцент на выполнении требований законодательства о лицензировании деятельности и тем самым не подводить председателя правления банка под уголовную статью за незаконное предпринимательство, под которым понимается отсутствие лицензии на деятельность в области шифрования. А такие прецеденты в российской практике были. Также ИБ позволяет организации выполнять контрактные обязательства при взаимодействии с клиентами, защищать персональные данные, на что государство тоже обращает внимание.

Руководителя розничного блока можно убедить в важности ИБ, рассказав о том, что безопасность может повысить лояльность клиентов, снизить текучку клиентов, например, обеспечивая доступность веб-сайта и неподверженность его DDOS-атакам. Сайт у банка выполняет функцию системы ДБО, интернет-банкинга, и, соответственно, чем больше он простаивает или подвергается атакам, тем чаще клиенты уходят из банка. Если улучшается надежность банковского сайта, системы ДБО, то повышается лояльность клиентов, и тем самым увеличивается стоимость клиента для банка, он начинает совершать больше транзакций, и это позволяет зарабатывать банку больше денег.

Если мы говорим про взаимодействие с ИТ, то безопасность также может обеспечивать бесперебойную работу инфраструктуры банка, его сайта с помощью решений по борьбе с DDOS-атаками и т.д.
В общении с директором по производственным операциям следует говорить о возможности внедрения различных более эффективных механизмов, позволяющих уменьшить время на расследование инцидентов и тем самым уменьшить ущерб для организации. Можно также внедрить технологии борьбы со спамом. На первый взгляд, кажется, что спам – это мелочь, но если посчитать, сколько времени среднестатистический работник банка тратит на его чтение или как минимум на открытие спамерских сообщений, то мы получим впечатляющие цифры. Среднее время чтения спамерского сообщения составляет от 7 до 10 секунд, в зависимости от квалификации пользователя. А на сегодняшний день объем спама в почте составляет примерно около 80%. В итоге объем потерянного времени не так уж мал. С помощью технологий безопасности можно уменьшить объем спама и тем самым повысить продуктивность работников.

Если мы говорим о технологиях идентификации и аутентификации пользователей, то с помощью безопасности можно отказаться от привычных паролей в пользу иных систем, будь то двухфакторная аутентификация по телефону либо биометрическая аутентификация через камеру ноутбука или компьютер, что также позволяет существенно сэкономить время на вход в системы. Многие не обращают внимания на эту мелочь, но если посчитать, сколько раз мы входим в систему после блокировки экрана, сколько раз мы в разные системы вводим логин и пароль (а иногда ошибаемся, вводя их неправильно), то увидим, что это очень большие затраты времени, которые можно существенно уменьшить, внедрив соответствующие технологии безопасности. А время, как известно, – это деньги. Поэтому безопасность может напрямую влиять на бизнес-показатели организации. Что уж говорить о тех ситуациях, когда ИБ напрямую помогает предотвратить хищения средств со счетов финансовой организации или ее клиентов. 

Вывод очевиден: роль ИБ в любом случае будет повышаться как в глазах топ-менеджеров в банках, так и в более долгосрочной перспективе у банковских клиентов. Ведь информация о компьютерных преступлениях, о хакерских атаках давно уже является открытой, и не будет ничего удивительного в том, что пользователи финансовых услуг начнут ее учитывать при выборе или смене обслуживающего банка.     

Поделиться:
 

Возврат к списку