Аналитика и комментарии
Вадим УВАРОВ, Банк России: «Мы стали свидетелями кратного роста кибератак на банки»
Вадим УВАРОВ, директор Департамента информационной безопасности Банка России в интервью Национальному банковскому журналу специально для проекта «Защита информации. Уязвимости» ответил на актуальные вопросы, которые волнуют профессиональное сообщество и рядовых потребителей финансовых услуг.
NBJ: Вадим Александрович, расскажите, пожалуйста, как происходило формирование основных направлений развития информационной безопасности кредитно-финансовой сферы на 2023–2025 годы? Какие факторы вы принимали во внимание прежде всего?
В. УВАРОВ: Основные направления отражают стратегическое видение Банка России о развитии информационной безопасности как для финансовых организаций, так и для всей кредитно-финансовой сферы в целом. После обсуждения документа с отраслью мы определили приоритетные цели на ближайшие три года. Это защита прав потребителей финансовых услуг, безопасность цифровых и платёжных технологий и обеспечение технологического суверенитета, а также контроль рисков информационной безопасности для непрерывного оказания финансовых услуг.
При формировании документа Банк России учитывал текущее состояние информационной безопасности финансовой сферы, а также новые обстоятельства и кибергурозы 2022 года. Мы стали свидетелями кратного роста кибератак на банки, столкнулись с уходом с рынка иностранных поставщиков оборудования и ПО и, как следствие, актуальными вопросами в нашей повестке стали импортозамещение и обеспечение технологической независимости. Принимали во внимание и проблему хищений денег у граждан мошенниками.
Для нас также было принципиально важно учесть опыт реализации основных направлений развития информационной безопасности на 2019–2021 годы и обеспечить взаимную увязку с другими стратегическими документами, в том числе Доктриной информационной безопасности и Основными направлениями развития финансового рынка.
NBJ: Говоря о защите прав потребителей финансовых услуг, какие направления развития вы видите в числе приоритетных? Что вызывает наибольшее беспокойство и почему?
В. УВАРОВ: Одной из наиболее чувствительных остается проблема использования кибермошенниками приёмов и методов социальной инженерии. Активность злоумышленников не снижается. Они совершенствуют методы психологического воздействия на потенциальную жертву, подстраивают сценарии хищения средств под актуальную новостную повестку. На уловки мошенников попадаются люди абсолютно разного возраста, образования и уровня благосостояния.
Поэтому Банк России планирует уделить особое внимание развитию механизмов сохранения средств граждан, а также возврата уже похищенных денег. В первую очередь, это повышение качества антифрод-процедур в банках, отключение электронных средств платежа лицам, использующим чужие счета для вывода и снятия похищенных денег. Мы продолжим продвигать инициативу по введению обязанности банка возвращать клиентам деньги, если банк не выполнил необходимые антифрод-процедуры.
Другое важное направление работы по противодействию мошенникам – организация эффективного информационного обмена с МВД России. Осенью 2023 года министерство станет участником автоматизированной системы ФинЦЕРТ Банка России. В ней содержатся данные об операциях без согласия клиентов. Информационное взаимодействие позволит правоохранительным органам в оперативном режиме получать сведения о мошеннических операциях и будет способствовать повышению скорости расследования дел о киберпреступлениях.
NBJ: Как вы считаете, повысился ли уровень финансовой киберграмотности россиян, или он по-прежнему оставляет желать лучшего? Какие меры считаете эффективными в этой связи?
В. УВАРОВ: В 2022 году мы опросили почти 290 тыс. человек на тему удовлетворённости уровнем безопасности финансовых услуг. Результаты опроса свидетельствуют, что доля респондентов, которые столкнулись с мошенниками и смогли им противостоять, составила 31,8 %. Большинство опрошенных среди основных источников информации о рисках кибермошенничества отметили телевидение, видеоролики в интернете и транспорте, брошюры. Кроме того, 28,5 % респондентов сообщили, что узнали о способах защиты от мошенников из печатных СМИ, а также видели листовки и плакаты.
На мой взгляд, чем активнее доводить до граждан информацию о возможных рисках, тем выше вероятность, что они смогут противостоять злоумышленникам. Здесь нам всем нужно объединять свои усилия, чтобы достигнуть максимального охвата аудитории. Поэтому Банк России продолжит сотрудничать с федеральными и региональными органами власти и использовать всевозможные каналы коммуникации с потребителями финансовых услуг. Важно распространять информационно-просветительские материалы на объектах транспортной и социальной инфраструктуры, а также содействовать освещению тематики финансовой киберграмотности в СМИ. Также мы будем взаимодействовать с банками, чтобы и они активнее информировали клиентов о том, как распознать мошенников и сохранить свои деньги.
Как я уже сказал, злоумышленники оперативно меняют свои сценарии обмана, которые становятся всё более продуманными и изощрёнными. В прошлом году на сайте Банка России появился раздел «Противодействие мошенническим практикам», в котором мы публикуем наиболее распространённые мошеннические схемы, а также рекомендации по защите от злоумышленников.
NBJ: Как, с помощью каких методов можно создать условия для безопасного внедрения цифровых и платёжных технологий и обеспечения технологического суверенитета?
В. УВАРОВ: В современных условиях широкого спектра дистанционных финансовых услуг, удобных и быстрых сервисов, а также активного развития цифровых технологий ключевое значение для клиентов финансовых организаций приобретает пользовательский опыт.
Наша задача – найти баланс между защищённостью технологий и удобством их использования конечными пользователями. Важно оценить риски информационной безопасности, а также бесшовно интегрировать методы и средства защиты информации в клиентский путь.
Например, возможность дистанционной идентификации клиентов уже является неотъемлемой частью современных цифровых и платёжных технологий. Мы стараемся совершенствовать процедуры удалённой идентификации для дистанционного предоставления финансовых услуг, а также создать механизмы обмена необходимыми для этого данными. Они есть в государственных информационных системах и цифровом профиле гражданина или юридического лица. При этом для соблюдения баланса между защищённостью и удобством создаются правовые и технологические основы равноудалённой инфраструктуры и безбарьерного доступа к идентификационным данным для всех финансовых организаций независимо от масштаба их деятельности, а также механизмы по совершенствованию требований к защите данных потребителей финансовых услуг. В частности, в работе по этому направлению созданы и развиваются Единая биометрическая система, цифровой профиль, система быстрых платежей
и маркетплейсы.
С 1 октября 2023 года вступит в силу стандарт правил информационного обмена о кибератаках и инцидентах информационной безопасности в финансовой сфере. Документ предусматривает, что банки будут передавать в ФинЦЕРТ развёрнутую информацию о подозрительных транзакциях. Это позволит отслеживать более полные сведения (например, сведения об устройстве, с которого совершена операция, номер SIM-карты) обо всех участниках мошеннических переводов и подозрительных транзакциях, а не только о конечном получателе денег.
Сегодня при реализации любых технологических решений необходимо учитывать вопросы независимости от иностранных поставщиков. И здесь требуется сформировать правовые условия применения исключительно отечественных решений в области информационных технологий в соответствии с Указом
Президента РФ.
Важными условиями для обеспечения технологического суверенитета являются координация деятельности отрасли и идентификация перечня используемых объектов информатизации с точки зрения рисков операционной надёжности, влияющих на бизнес-процессы организации. Сейчас эта деятельность осуществляется в рамках отраслевого комитета «Финансы», созданного при Банке России для обеспечения технологической независимости значимых объектов критической информационной инфраструктуры (КИИ) финансовых организаций от иностранных технологий.
NBJ: Насколько важным является интеграция вопросов операционной надёжности в управление операционным риском? Как это поможет повысить уровень информационной безопасности?
В. УВАРОВ: В 2022 году Банк России определил понятие операционной надёжности банков и выделил риск нарушения непрерывности деятельности в отдельный подвид операционного риска. В ситуации с непрекращающимися атаками на банки и деньги граждан особо важными стали вопросы контроля и мониторинга за текущим состоянием операционной надёжности и своевременного реагирования при наличии существенных рисков. Банкам необходимо организовать систему контроля за ними, многоуровневую систему защиты, а также максимально вовлечь в эту деятельность руководство организации. Кроме того, немаловажным является реализация превентивных мер, направленных на снижение вероятности реализации рисков, а также снижение тяжести последствий в случае их реализации. Выполнение соответствующих мероприятий способствует повышению уровня обеспечения операционной надёжности в случае реализации информационных угроз.
NBJ: Почему вы считаете важным развивать аутсорсинг информационной безопасности?
В. УВАРОВ: Финансовые организации сегодня работают в условиях нарушений глобальных цепочек поставок ИT-оборудования и ПО. Поэтому аутсорсинг информационных технологий и облачных сервисов является важным вопросом обеспечения информационной безопасности для финансового рынка. Банк России, учитывая потребности финансового рынка, уделяет ему особое внимание. Мы постоянно обсуждаем с отраслью этот вопрос и в настоящее время вместе работаем над тем, чтобы создать правовые условия для аутсорсинга ИТ и использования облачных услуг финансовыми организациями. При нашем участии разработан законопроект, который находится на этапе межведомственного согласования. Он в том числе направлен на снятие правовых ограничений по режиму обработки сведений, составляющих отдельные виды тайн, включая банковскую тайну.
NBJ: Есть ли какие-то количественные и качественные показатели, по достижению которых можно сказать, что уровень информационной безопасности в стране высокий?
В. УВАРОВ: Относительно количественных показателей оценки сразу отмечу, что в 2022 году доля объёма операций без согласия клиентов не превысила наши пороговые значения. В основных направлениях развития информационной безопасности кредитно-финансовой сферы на период до 2025 года мы предусмотрели набор индикаторов. Они позволят оценивать деятельность, которая касается обеспечения безопасности финансовых услуг для граждан, проведения мероприятий по информационной безопасности, необходимых для внедрения цифровых и платёжных технологий, а также непрерывности оказания услуг кредитно-финансовыми организациями.
Кроме того, мы постоянно мониторим ситуацию с динамикой операций без согласия клиентов и ежеквартально публикуем соответствующие отчёты. В ближайшее время будет опубликована отчётность за I квартал 2023 года. Банк России изменил подходы к её формированию, и теперь мы видим объём денег, хищение которых было предотвращено банками, а также количество таких случаев. Для нас это инструмент оценки показателей операционной надёжности банков, в том числе оценки работы антифрод-систем в банках.
Беседовала: Оксана Дяченко
Материал также опубликован в печатной версии Национального банковского журнала (май 2023)