Решение вопроса кибербезопасности небольших банков сдвинулось с мертвой точки. Банки с базовой лицензией обсудили проблему непосредственно с главой ЦБ Эльвирой Набиуллиной. Сами защитить себя от киберугроз небольшие банки не могут, а услуги ключевых игроков рынка IT-безопасности для них дороги. В такой ситуации банки становятся легкой добычей хакеров, которые проникают через них в сети крупных игроков. Решить проблему может появление специальной аутсорсинговой компании под патронажем ЦБ, но пока не решено, будет она создана с нуля или за основу возьмут одну из действующих платформ.
Фото: Евгений Павленко, Коммерсантъ / купить фото
Как рассказал “Ъ” глава комитета Госдумы по финансовому рынку Анатолий Аксаков, 18 февраля на встрече банкиров с главой ЦБ Эльвирой Набиуллиной обсуждалось, в том числе обслуживание банков с базовой лицензией (с небольшим капиталом, на данный момент — 149 банков) в IT-сфере, особенно в части кибербезопасности, при помощи аутсорсинговой компании.
«Такой аутсорсинговый институт неплохо было бы создать, поскольку IT — капиталоемкая вещь»,— пояснил господин Аксаков. По его словам, небольшие банки не могут самостоятельно обеспечить должный уровень безопасности, а привлечение на аутсорсинг ключевых компаний на этом рынке обходится слишком дорого. «Некоторые компании, готовые работать с небольшими банками, сначала вовлекают их в свою цифровую архитектуру, а потом начинают давить тарифами,— пояснил он.— А отвязаться от этой архитектуры сложно».
Эльвира Набиуллина, глава Банка России, 31 января 2019 года
Мы видим, что многие, особенно небольшие, банки относятся к кибербезопасности как к второстепенной проблеме
Другая проблема связана с тем, что новый институт должен вызывать доверие у рынка. Не каждый банк готов предоставить свои данные конкуренту, что, например, удерживает некоторых от сотрудничества с компанией Bi.zone, которая принадлежит Сбербанку. Ранее господин Аксаков выступал с идеей создания новой аутсорсинговой компании непосредственно Банком России. Однако, по его словам, эта идея не нашла поддержки.
Сейчас одна из возможных опций — создание соответствующего института на базе уже действующих компаний, которые готовы предложить свою платформу, уточняет господин Аксаков. Выбор такой компании должен осуществляться по итогам конкурса, а сама компания должна находиться под патронажем ЦБ.
Вопрос более чем актуален. Высокая уязвимость небольших банков — проблема всего финансового сектора, потому что через мелкие банки хакеры могут проникнуть в сети крупных игроков (см. “Ъ” от 12 февраля 2019 года). По данным ЦБ, в первом полугодии 2018 года число целевых атак хакеров на российские банки выросло по сравнению с аналогичным периодом прошлого года в 1,8 раза — до 72 атак. «Вопрос защиты небольших банков, у которых нет существенных бюджетов на информбезопасность, стоит очень остро»,— указывает директор по маркетингу компании «Ростелеком-Solar» Валентин Крохин.
Проект продолжает инициативу ЦБ по созданию стандарта, определяющего процесс обеспечения информационной безопасности для финансовых организаций при использовании услуг аутсорсинга, считает господин Крохин. Впрочем, по мнению директора по развитию компании «Информзащита» Михаила Савельева, на рынке уже сформировалась достаточная конкуренция в сфере IT-услуг. «На мой взгляд, появление нового специализированного игрока точно не пойдет на пользу,— говорит он.— Практика создания таких компаний показывает, что они начинают оперативно искать экспертов соответствующей квалификации в штат. Учитывая сжатые сроки, это делается по принципу переманивания кадров из других компаний на большую зарплату». Таким образом, поясняет эксперт, стоимость специалистов искусственно взвинчивается, что отражается на конечной цене решений и проектов по всему рынку.
Стража со взломом
Почему мощная защита банковского сектора от хакерских атак мало помогает гражданам