ЦБ ужесточит требования к банкам из-за хакеров

ЦБ ужесточит требования к банкам из-за хакеров

ЦБ ужесточит требования к банкам из-за хакеров

Банк России массово проверит, как банки защищены от взлома. Организациям с уязвимыми системами защиты от хакеров придется увеличивать капитал или нести расходы по резервированию этих рисков, настаивают в ЦБ.

Банк России в 2017 году проведет более ста проверок кредитных организаций на предмет качества защиты систем дистанционного банковского обслуживания (ДБО), рассказал заместитель начальника главного управления безопасности и защиты информации ЦБ Артем Сычев в интервью РБК. Регулятор таким образом хочет узнать о реальном состоянии защиты систем мобильного и онлайн-банкинга от взлома, а также о безопасности проведения платежных операций клиентами банков.

«В этом году в тематику традиционных инспекционных проверок кредитных организаций включили вопросы состояния систем защиты информации при совершении платежных операций. Цель проверок — изучение реального состояния в сфере применения банками технологий информационной безопасности», — уточнил Сычев. Первые проверки, по его словам, начались в феврале.

Таким образом, ЦБ перешел от намерений провести тотальные ревизии банков на предмет защищенности от киберугроз, о которых РБК сообщал в декабре прошлого года, к практическим действиям.

Будут и санкции

В отношении банков, результаты ревизии которых окажутся неудовлетворительными, Банк России намерен принять меры. Сейчас ЦБ рассматривает два варианта: либо потребовать от них увеличить капитал, либо обязать их доначислить резервы на величину существующего операционного риска (в который включен риск мошенничества. — РБК). Резервы планируется обязать формировать в размере среднесуточного остатка по корреспондентскому счету, объяснил Сычев. Какая из этих мер будет принята, пока не решено, ЦБ должен определиться по данному вопросу в середине года, пишет rbc.ru.

«Вот и считайте, что для банка будет выгоднее: либо замораживать деньги, либо потратить более разумную сумму все-таки прямо на увеличение защиты денег клиентов», — заключил Сычев.

У ЦБ есть возможность установить индивидуальные надбавки к нормативам (а именно к нормативу достаточности капитала), подчеркивают банкиры. «Регулятор может сделать это в рамках проверки качества банковских систем управления рисками. Если риски недооценены и капитал под них недорезервирован, минимальные требования к достаточности капитала (8%) могут быть повышены. Размер индивидуальных надбавок может составить до 3 п.п. (до 11%)», — поясняет руководитель службы риск-менеджмента банка «Уралсиб» Наталья Тутова.

Подробнее о кибератаках на российские банки и мерах по их предотвращению читайте в интервью замначальника главного управления безопасности и защиты информации ЦБ РФ Артема Сычева РБК

Дорого, но важно

Опрошенные РБК банкиры с опасением относятся к любому ужесточению требований к капиталу. Комментировать предстоящее ужесточение опрошенные РБК участники рынка согласились только неофициально.

Например, сотрудник IT-департамента банка из топ-30 по размеру активов полагает, что оба варианта можно использовать разве что в качестве наказания за ненадлежащее обеспечение информационной безопасности.

«Обсуждаемые меры, скорее всего, проредят банки, вызвав уход с рынка отдельных игроков, — говорит он. — Другим они могут ударить по карману».

Впрочем, некоторые банкиры считают, что у ЦБ есть основания для ужесточений. Руководитель банка из топ-100 по размеру активов предполагает, что мера, предусматривающая увеличение норматива достаточности капитала, либо хеджирование рисков за счет резервов может быть ответом на нежелание банков выполнять требования ЦБ по обеспечению безопасности своих систем и прислушиваться к соответствующим рекомендациям. «В свое время Центробанк разработал несколько четких методик по обеспечению безопасности. Не все банки, мягко говоря, взяли их на вооружение, особенно небольшие, потому что это очень дорого. И чем дальше, тем дороже. Если у банка много филиалов, речь может идти о сотнях миллионов рублей», — объясняет он проблему.

По его словам, сформировалась следующая картина: с одной стороны, ЦБ приводит примеры хакерских атак и выносит рекомендации, а с другой, несмотря на эти рекомендации, атаки все же происходят, поскольку рекомендации не выполняются. «На самом деле ужесточение Центробанком требований к капиталу или резервам — понятный и достаточно мощный инструмент давления на все банки», — поясняет собеседник РБК.

Рост атак и проверок

В России кибератаки на банки участились еще в 2013 году и это растущий тренд, утверждают эксперты российской компании Group-IB (занимается исследованием киберпреступлений и мошенничеств с использованием высоких технологий. — РБК) в своем исследовании, опубликованном в октябре прошлого года. Если с июля 2014 года по июнь 2015-го хакеры вывели из российских банков 638 млн руб., то с июля 2015 по июнь 2016-го уже 2,5 млрд руб., говорится в исследовании.

По последним данным Банка России (представлены 8 февраля Центром мониторинга и реагирования на кибератаки в финансовой сфере (FinCERT), с октября 2015 года по март 2016-го хакеры похитили у банков 1,3 млрд руб. (хищение еще 1,6 млрд удалось предотвратить, причем 0,6 млрд хакеры пытались похитить с корреспондентских счетов).

По мнению топ-менеджера банка из топ-50, официальная статистика не отражает реальной картины и, чувствуя, что ситуация «в жизни» гораздо хуже, ЦБ решился на ужесточение мер.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Александр Осипов занял пост директора по продуктовому портфелю RED Security

RED Security объявила о назначении Александра Осипова директором по продуктовому портфелю компании. Александр Осипов обладает более чем 10-летним опытом работы в отрасли информационных технологий и кибербезопасности.

До прихода в RED Security он пять лет возглавлял направление облачных и инфраструктурных решений оператора «Мегафон».

Александр Осипов начал карьеру в ИТ в 2013 году. Он начал с позиции менеджера по маркетингу российского провайдера облачных сервисов NGENIX. Затем участвовал в запуске и развитии ИТ- и ИБ-сервисов NGENIX.

В 2017 году Александр перешел в «Мегафон», где начал заниматься развитием платформенных решений для корпоративного бизнеса. В «Мегафоне» Осипов начинал с должности специалиста по продуктам в сфере сетевых технологий и кибербезопасности, а покинул компанию директором по облачным и инфраструктурным решениям.

В этой роли Александр отвечал за продуктовую стратегию «Мегафона» в сегментах облачных продуктов, сервисов кибербезопасности, сетевых и IoT-решений для коммерческого и государственного сектора.

Под руководством Александра Осипова в «Мегафоне» были успешно запущены и выведены на как минимум безубыточность платформа «МегаФон Облако», сервисы центра мониторинга и реагирования на кибератаки (SOC), управляемые сервисы кибербезопасности (MSS) и другие решения компании сферы ИТ и ИБ. Эти сервисы были отмечены отраслевыми премиями, включая Digital Leaders Award и «Большая цифра».

В RED Security Александр Осипов будет отвечать за управление портфелем продуктов, технологическое сопровождение и развитие сервисов, причем как новых решений, так и модернизация уже имеющихся в соответствии с требованиями рынка.

«Александр обладает многолетним опытом управления продуктовым портфелем по кибербезопасности в крупнейших российских компаниях. Он ориентируется на создание комплексного предложения в сфере защиты от киберугроз, опираясь при этом как на мировые технологические тренды, так и на актуальные потребности российских заказчиков из корпоративного сегмента. Мы рады приветствовать Александра в нашей команде и уверены, что его опыт поможет компании реализовать стратегию по формированию открытой экосистемы ИБ-решений и экспертизы для надёжной защиты бизнеса. Кроме того, успех направлений кибербезопасности, за которые Александр отвечал в других компаниях, подтверждает, что он сможет достичь амбициозных целей RED Security по достижению высочайшего уровня наших сервисов», – подчеркнул Иван Вассунов, генеральный директор компании RED Security.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru