Безопасности предписали проверки
ЦБ счел уровень защищенности аудиторских организаций недостаточным
Банк России оценил защищенность аудиторских организаций, проверяющих общественно значимые организации финансового рынка (ОЗО ФР), как слишком низкую. Регулятор рекомендовал им запланировать и обеспечить мероприятия по снижению рисков утечек. По словам экспертов, это критически важно, поскольку аудиторы работают с большим объемом чувствительных данных клиентов. Впрочем, надлежащий уровень информационной безопасности смогут обеспечить не все.
Фото: Олег Харсеев, Коммерсантъ
Фото: Олег Харсеев, Коммерсантъ
ЦБ считает риск утечек информации из аудиторских организаций высоким, следует из письма регулятора, разосланного аудиторским компаниям из реестра проверяющих ОЗО ФР (с ним ознакомился “Ъ”). «Принимая во внимание факт обработки и хранения... чувствительной информации, утечка которой способна оказать негативное влияние на деятельность в сфере финансовых рынков, а также в связи с повышенным количеством атак, направленных на информационную инфраструктуру Российской Федерации со стороны недружественных стран, ДИБ (департамент информационной безопасности.— “Ъ”) рекомендует запланировать и обеспечить выполнение мероприятий (из числа нереализованных.— “Ъ”)»,— указывается в письме. Подготовительный план участники рынка должны направить в ДИБ ЦБ не позднее 1 сентября.
Ранее, по данным письма, ЦБ проводил опрос среди участников рынка о мерах, которые принимают аудиторы для снижения рисков утечек. Из опроса (с ним ознакомился “Ъ”) следует, что аудиторы должны выполнять ГОСТы, которые обычно выполняют банки, в частности ГОСТ 57580.1-2017, устанавливающий базовый перечень мер по защите информации в финсекторе, говорят аудиторы.
По словам специалистов по информационной безопасности, требования ЦБ крайне актуальны.
Законодательство об аудиторской деятельности обязывает аудиторов собирать и хранить большие массивы конфиденциальной информации о своих клиентах, говорит управляющий партнер Департамента аудиторских услуг компании ДРТ Владимир Бирюков. Зачастую эта информация является чувствительной, обращает внимание гендиректор SafeTech Lab Александр Санин.
В зависимости от области аудита это могут быть данные об ИТ-инфраструктуре, используемом ПО, бизнес-процессах, финансовая информация, указывает господин Санин. В частности, аудиторы работают с персональными данными клиентов, сведениями о выполненных операциях, финансовыми и налоговыми документами, информацией, составляющей коммерческую тайну, уточняет ведущий аналитик отдела мониторинга информационной безопасности (ИБ) «Спикател» Алексей Козлов.
Утечка таких данных может стать основанием для шантажа, инсайдерской торговли, недобросовестной конкуренции — все зависит от воображения и желаний злоумышленников и масштаба компании, данные которой могут утечь, указывает гендиректор компании «Эксперт Бизнес-Решения» Павел Митрофанов. Утечка данных может привести к дальнейшему мошенничеству с использованием социнженерии или несанкционированному доступу к другим системам, что означает прямые финансовые потери и репутационные риски, поясняет господин Козлов.
Кроме того, по оценкам господина Козлова, рост атак на поставщиков для финсектора в первом полугодии может достигать 20–30% в сравнении с аналогичным периодом прошлого года, что однозначно требует усиления мер защиты. Атакуя подрядчиков и поставщиков, киберпреступники стремятся внедрить вредоносный код в цепочки поставок ИТ-решений, получить доступ к инфраструктуре компании через доступные доверенному партнеру ресурсы или нанести ущерб основной цели, вызвав сбои у поставщика услуг, указывается в отчете Positive Technologies.
Вместе с тем построение инфраструктуры для защиты может обойтись крайне дорого.
Полный комплекс мер включает технологии (системы мониторинга, защиты, резервного копирования, шифрования), процессы (политики, регламенты, контроль доступа), людей (обучение сотрудников, наем специалистов по ИБ), указывает управляющий партнер группы компаний «Мариллион» Полина Виксне. По оценкам руководителя направления технической экспертизы компании «Информзащита» Марата Цихмистрова, это может обойтись в десятки и даже сотни миллионов рублей.
По мнению господина Бирюкова, повышение требований со стороны Банка России сделает очевидным, что поддерживать высокое качество и необходимый уровень ИБ, а также обеспечивать независимость смогут только аудиторские компании с годовой выручкой как минимум 1 млрд руб. По итогам контрольных мероприятий в случае нарушения требований Банк России вправе принимать меры надзорного реагирования в соответствии с действующим законодательством, заверили в ЦБ.