Банк России массово проверит, как банки защищены от взлома. Организациям с уязвимыми системами защиты от хакеров придется увеличивать капитал или нести расходы по резервированию этих рисков, настаивают в ЦБ.
Банк России в 2017 году проведет более ста проверок кредитных организаций на предмет качества защиты систем дистанционного банковского обслуживания (ДБО), рассказал заместитель начальника главного управления безопасности и защиты информации ЦБ Артем Сычев в интервью РБК. Регулятор таким образом хочет узнать о реальном состоянии защиты систем мобильного и онлайн-банкинга от взлома, а также о безопасности проведения платежных операций клиентами банков.
«В этом году в тематику традиционных инспекционных проверок кредитных организаций включили вопросы состояния систем защиты информации при совершении платежных операций. Цель проверок — изучение реального состояния в сфере применения банками технологий информационной безопасности», — уточнил Сычев. Первые проверки, по его словам, начались в феврале.
Таким образом, ЦБ перешел от намерений провести тотальные ревизии банков на предмет защищенности от киберугроз, о которых РБК сообщал в декабре прошлого года, к практическим действиям.
Будут и санкции
В отношении банков, результаты ревизии которых окажутся неудовлетворительными, Банк России намерен принять меры. Сейчас ЦБ рассматривает два варианта: либо потребовать от них увеличить капитал, либо обязать их доначислить резервы на величину существующего операционного риска (в который включен риск мошенничества. — РБК). Резервы планируется обязать формировать в размере среднесуточного остатка по корреспондентскому счету, объяснил Сычев. Какая из этих мер будет принята, пока не решено, ЦБ должен определиться по данному вопросу в середине года, пишет rbc.ru.
«Вот и считайте, что для банка будет выгоднее: либо замораживать деньги, либо потратить более разумную сумму все-таки прямо на увеличение защиты денег клиентов», — заключил Сычев.
У ЦБ есть возможность установить индивидуальные надбавки к нормативам (а именно к нормативу достаточности капитала), подчеркивают банкиры. «Регулятор может сделать это в рамках проверки качества банковских систем управления рисками. Если риски недооценены и капитал под них недорезервирован, минимальные требования к достаточности капитала (8%) могут быть повышены. Размер индивидуальных надбавок может составить до 3 п.п. (до 11%)», — поясняет руководитель службы риск-менеджмента банка «Уралсиб» Наталья Тутова.
Подробнее о кибератаках на российские банки и мерах по их предотвращению читайте в интервью замначальника главного управления безопасности и защиты информации ЦБ РФ Артема Сычева РБК
Дорого, но важно
Опрошенные РБК банкиры с опасением относятся к любому ужесточению требований к капиталу. Комментировать предстоящее ужесточение опрошенные РБК участники рынка согласились только неофициально.
Например, сотрудник IT-департамента банка из топ-30 по размеру активов полагает, что оба варианта можно использовать разве что в качестве наказания за ненадлежащее обеспечение информационной безопасности.
«Обсуждаемые меры, скорее всего, проредят банки, вызвав уход с рынка отдельных игроков, — говорит он. — Другим они могут ударить по карману».
Впрочем, некоторые банкиры считают, что у ЦБ есть основания для ужесточений. Руководитель банка из топ-100 по размеру активов предполагает, что мера, предусматривающая увеличение норматива достаточности капитала, либо хеджирование рисков за счет резервов может быть ответом на нежелание банков выполнять требования ЦБ по обеспечению безопасности своих систем и прислушиваться к соответствующим рекомендациям. «В свое время Центробанк разработал несколько четких методик по обеспечению безопасности. Не все банки, мягко говоря, взяли их на вооружение, особенно небольшие, потому что это очень дорого. И чем дальше, тем дороже. Если у банка много филиалов, речь может идти о сотнях миллионов рублей», — объясняет он проблему.
По его словам, сформировалась следующая картина: с одной стороны, ЦБ приводит примеры хакерских атак и выносит рекомендации, а с другой, несмотря на эти рекомендации, атаки все же происходят, поскольку рекомендации не выполняются. «На самом деле ужесточение Центробанком требований к капиталу или резервам — понятный и достаточно мощный инструмент давления на все банки», — поясняет собеседник РБК.
Рост атак и проверок
В России кибератаки на банки участились еще в 2013 году и это растущий тренд, утверждают эксперты российской компании Group-IB (занимается исследованием киберпреступлений и мошенничеств с использованием высоких технологий. — РБК) в своем исследовании, опубликованном в октябре прошлого года. Если с июля 2014 года по июнь 2015-го хакеры вывели из российских банков 638 млн руб., то с июля 2015 по июнь 2016-го уже 2,5 млрд руб., говорится в исследовании.
По последним данным Банка России (представлены 8 февраля Центром мониторинга и реагирования на кибератаки в финансовой сфере (FinCERT), с октября 2015 года по март 2016-го хакеры похитили у банков 1,3 млрд руб. (хищение еще 1,6 млрд удалось предотвратить, причем 0,6 млрд хакеры пытались похитить с корреспондентских счетов).
По мнению топ-менеджера банка из топ-50, официальная статистика не отражает реальной картины и, чувствуя, что ситуация «в жизни» гораздо хуже, ЦБ решился на ужесточение мер.