Оплатите, распишитесь
Участникам платежного рынка придется потратиться на новые требования ЦБ
Банк России ужесточает требования к кибербезопасности для организаций, участвующих в переводе денежных средств. Только за первый квартал злоумышленники вывели со счетов граждан и компаний почти 7 млрд руб. В частности, вводится обязательное использование более высокого уровня криптозащиты и усиленной электронной подписи. Также банкам придется внедрять средства криптозащиты для подтверждения операций по биометрии. Однако гораздо большие затраты ждут других участников платежного рынка, для которых раньше требования по кибербезопасности были существенно мягче.
Под новые требования ЦБ к кибербезопасности переводов попали тысячи компаний
Фото: Виктор Коротаев, Коммерсантъ
Под новые требования ЦБ к кибербезопасности переводов попали тысячи компаний
Фото: Виктор Коротаев, Коммерсантъ
Банк России планирует значительно ужесточить требования к обеспечению защиты информации при осуществлении переводов денежных средств. Это следует из опубликованных 9 июля изменений в указание ЦБ №821-П. В частности, документом вводится обязательное использование криптографии класса не ниже КС1 (начальный уровень криптографической защиты) и усиленной электронной подписи, а также вводятся требования для трансграничных переводов. До сих пор банки и другие участники платежного рынка должны были соответствовать оценочному уровню доверия (ОУД4), установленному ГОСТом и показывающему текущий уровень защищенности программного обеспечения.
Также в положении ЦБ планируется расширить сферу регулирования обеспечения защиты информации за счет операций с биометрией и уточнив участие филиалов иностранных банков, а также операторов электронных платформ. Кроме того, уточняется время предоставления отчетности по инцидентам: сейчас оно формулируется как «своевременно», в новом варианте банкам дается 3 часа на информирование и до 30 дней — на расследование инцидента.
По данным Банка России, в первом квартале 2025 года было совершено 296,6 тыс. несанкционированных списаний средств со счетов граждан и компаний на общую сумму 6,9 млрд руб. При этом регулятор отмечает, что злоумышленниками было проведено 714 фишинговых атак, 70 DDoS-атак и 9 атак с использованием вредоносного программного обеспечения.
Эксперты отмечают, что изменения ужесточают требования к защите информации, особенно в части использования средств криптографической защиты информации, сертификации ПО и трансграничных переводов. По их мнению, акцент сделан на стандартизации процессов оценки защиты и на контроле со стороны Банка России.
Наиболее существенными для финсектора изменениями, на взгляд экспертов, являются новые требования к обеспечению целостности электронных сообщений и информации, связанной с биометрическими данными, для которых требуется применение усиленной электронной подписи.
По словам директора по работе с финансовым сектором компании SafeTech Ирины Чуриковой, требуется применение механизмов и протоколов, обеспечивающих защиту электронных сообщений и биометрических данных от искажения, фальсификации, переадресации и несанкционированного доступа. Также, по ее словам, важным является требование, согласно которому для регистрации действий с защищаемой информацией операторы обязаны синхронизировать время на объектах информационной инфраструктуры не реже одного раза в 24 часа с использованием ГЛОНАСС. «Допустимое расхождение времени не должно превышать 3 секунд для критических участков и 5 секунд для остальных»,— отмечает госпожа Чурикова.
Кроме того, участники рынка отмечают введение требований, касающихся защиты персональных данных, которые при передаче по каналам связи должны шифроваться российской криптографией. По словам директора департамента кибербезопасности Абсолют-банка Руслана Ложкина, имеется в виду подтверждение клиента в виде второго фактора, которым может быть биометрия. «Сама биометрия никуда не передается, только ее цифровой отпечаток, который нужно обязательно шифровать криптографией»,— пояснил он. При этом, по его словам, крупные банки этот функционал реализуют сами, мелкие и средние банки чаще пользуются сторонними сервисами. «Остается небольшой сегмент банков из числа средних, которые имеют свой интернет-банк и которым придется доработать необходимый функционал»,— считает господин Ложкин. Собеседник “Ъ” на ИБ-рынке считает, что стоимость исполнения требований ЦБ зависит от масштаба сети организации. Для среднего сегмента это примерно 20 млн руб., оценивает он.
Вместе с тем документ конкретизирует, каких организаций, работающих на платежном рынке, касаются требования по защите информации.
В частности, к ним относят банковских платежных агентов, операторов услуг информационного обмена и услуг платежной инфраструктуры, филиалы иностранного банка и других. В обзоре операций, совершенных без согласия клиентов за 2024 год, Банк России отмечал, что «с ростом количества компьютерных инцидентов у организаций финансовой сферы, вызванных компрометацией подрядных организаций, появилась необходимость превентивного реагирования на такие угрозы». Глава комитета по ИБ Ассоциации российских банков Андрей Федорец указывает, что «ранее часть организаций, не являющихся банками, но участвующих в платежных взаимодействиях, не были явно определены по требованиям, теперь от них потребуется введение всего комплекса мер по ИБ». По его словам, это существенный сегмент рынка и это потребует финансовых затрат, найма персонала и, видимо, существенного снижения маржинальности, так как вряд ли рынок примет увеличение тарифов. Господин Федорец обращает внимание, что оценка соответствия требованиям — это комплекс мероприятий, которые проводят специализированные организации, и стоит она от миллиона рублей, а организаций, попадающих под новые требования, тысячи.