Минюст зарегистрировал документ, вводящий новые требования по кибербезопасности для банков. В рамках него появится ряд обязательных процедур, например аудит информационной безопасности, пентесты (тест на возможность проникновения), требование к сертификации использованного программного оборудования. Выполнение этих требований дорого обойдется не только банкам, но и их клиентам. Но самый главный вопрос — по срокам введения оперативного информирования ЦБ об инцидентах в режиме 24/7 — так и остался открытым.
Фото: Евгений Павленко, Коммерсантъ
Давно ожидаемые рынком поправки в положение ЦБ 382-П, в котором определены требования к защите информации при переводах денежных средств, обрели финальный вид и зарегистрированы Минюстом. Территориальные подразделения ЦБ 26 июня направили этот документ банкам, “Ъ” удалось с ним ознакомиться.
Документ вводит целый ряд новых обязательных требований к защите информации. Среди них, например, применение в банках программного обеспечения, сертифицированного ФСТЭК. По словам консультанта по безопасности Cisco Алексея Лукацкого, часто разработчики программ для банков пренебрегают сертификацией, в итоге в программах выявляются уязвимости, которые используют хакеры: «ЦБ неоднократно указывал разработчикам на эту проблему, но рычагов влияния на них у регулятора нет, и потому было принято решение побудить банки отказаться от несертифицированного ПО».
Аналог сертификации — проведение анализа уязвимостей в соответствии с ГОСТом, что так же непросто, и его могут позволить себе лишь банки с сильными специалистами по ИБ, указывают эксперты. По мнению господина Лукацкого, в результате большинство игроков будут переходить на готовые решения. В 2017 году 68% из обследованных компанией банков использовали самописные программы, говорит директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов.
Кроме того, у банков появится обязанность проводить ежегодные пентесты, а дважды в год — внешний аудит кибербезопасности. Сейчас банки могут ограничиваться собственной оценкой, все остальное исключительно добровольно.
И для банков, и для их клиентов важной новацией будет требование по внедрению «раздельных информационно-коммуникационных технологий» при проведении платежей через интернет или с использованием систем «банк—клиент». «Сейчас в компаниях та же платежка создается на компьютере бухгалтера и с него же отправляется в банк,— поясняет Алексей Лукацкий.— По новому требованию предлагается, что один компьютер готовит платежку, другой отправляет». То есть должна быть реализована соответствующая технология, опять же внесение изменений в АБС, и в те «банк-клиенты», что стоят у клиентов.
Это положение вступает в силу с отсрочкой, с 1 января 2020 года, и потому у банков и клиентов будет возможность подготовиться. В тех случаях, когда выполнить указанное требования невозможно, банк должен будет установить клиенту ограничения — на максимальную сумму перевода, список возможных получателей средств, временной период, когда могут проходить платежи, а также перечень устройств, с которых могут отравляться платежи. Тем самым клиент будет защищен от несанкционированных списаний. Ограничения банк сможет установить и по просьбе самого клиента.
Главная проблема, которую видят в выполнении новых требований банки,— рост расходов. Кроме того, по словам главы управления информационной безопасности ОТП-банка Сергея Чернокозинского, придется «скорректировать бизнес-процессы и отчетность». Однако в ЦБ уверены, что расходы не будут чрезмерными. «Экономические последствия введения новых требований обсуждались с профессиональным сообществом, было достигнуто взаимопонимание,— заверили в пресс-службе регулятора.— Расходы будут пропорциональны бизнес-моделям конкретных банков».
Однако один из наиболее важных для участников рынка вопросов реформы системы информационной безопасности в банковском секторе так и остался без ответа: не определены сроки реагирования на инциденты. Обсуждая грядущие поправки, регулятор не раз говорил о необходимости чрезвычайно оперативного реагирования на инциденты, работе в режиме 24/7, однако вопрос остался за рамками документа. По словам собеседника “Ъ”, знакомого с позицией ЦБ, регулятор готовит отдельный документ, который появится в ближайшее время.
Оружие массового заражения
Хакерские атаки распространяются по банковской системе со скоростью спама