ЦБ намерен обязать банки сообщать в FinCert обо всех хакерских атаках (как удачных, так и неудачных). Стимулировать банкиров будут не штрафами или проверками, а нагрузкой на капитал. Тем, у кого борьба с хакерами устроена недостаточно хорошо, грозят резервы на операционные риски в повышенном размере.
Вчера на форуме Finopolis заместитель начальника Главного управления безопасности и защиты информации Банка России Артем Сычев сообщил о мерах, принимаемых ЦБ в целях повышения кибербезопасности в банковской сфере. В частности, регулятором разработан проект документа, который обяжет банки сообщать ЦБ обо всех хакерских атаках. Документ на данный момент находится на регистрации в Минюсте. На сегодняшний день, по словам Артема Сычева, сообщение об атаках — дело добровольное, и далеко не все банки сообщают об атаках в FinCert. По данным Банка России предотвращенный объем хищений от кибератак на банки составляет 5 млрд руб., потери банков от кибератак за тот же период — 2 млрд руб.
Неуведомление FinCert об атаках скоро перестанет быть для банков безболезненным. "Сейчас вместе с блоком банковского надзора обсуждаются варианты реагирования на неудовлетворительную работу банков по урегулированию операционного риска,— пояснил "Ъ" Артем Сычев.— В каком формате и как это будет реализовано, скорее всего, будет понятно где-то в середине следующего года". В свою очередь, зампред ЦБ Василий Поздышев сообщил в рамках форума, что банковские резервы и, соответственно, нагрузка на капитал будут напрямую зависеть от рисков информационной безопасности. "Есть разговор о досоздании резервов, но для того, чтобы принять решение о требовании по досозданию резервов, нужно риск не только идентифицировать, но и оценить. А это серьезная методологическая проблема — каким образом в каждом конкретном банке оценить риски кибербезопасности",— отметил он. По словам Артема Сычева, "совершенно точно" можно сказать, что объем риска, связанного с информационной безопасностью, сейчас более или менее понятен: это средний остаток по корреспондентскому счету банка плюс среднедневной приход по корреспондентскому счету. Исходя из этой суммы, имеет смысл делать расчеты по дальнейшим санкциям, применяемым к банкам, пояснил господин Сычев. Кроме того, по словам Василия Поздышева, российские банки с 2018 года, а системно значимые кредитные организации — с 2017-го будут включать в расчет нормативов достаточности капитала надбавку по рискам информационной безопасности.
Участники рынка к предлагаемым нововведениям отнеслись настороженно. "Для нас данная новация — просто кот в мешке,— отмечает начальник управления информационной безопасности Златкомбанка Александр Виноградов.— Очевидно, что ЦБ обновляет положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств". С промежуточными вариантами FinCert знакомил ИТ-специалистов банков, однако итоговый вариант никто не видел, добавляет он.