Рост цифровых технологий опережает регулирование
ГЛАВНОЕ – ЗАЩИТА КЛИЕНТОВ
Сегодня мы обсуждаем кибербезопасность в цифровой экономике, ищем подходы к решению глобальных проблем, можем обменяться успешным опытом и наметить планы по повышению безопасности отечественной финансовой сферы. Ассоциация банков России разделяет всеобщую обеспокоенность этой темой, признает ее важность и актуальность. Содействие внедрению цифровых технологий и информационная безопасность являются одними из приоритетных направлений деятельности Ассоциации. У нас активно работает Комитет по информационной безопасности, в рамках которого происходит обмен мнениями и опытом, выработка позиции Ассоциации по ключевым в этой сфере вопросам.
Колоссальные усилия в области обеспечения информационной безопасности предпринимает Банк России. Благодарю Дмитрия Германовича (Скобелкина – ред.) за понятные и актуальные задачи, которые регулятор поставил перед собой и кредитными организациями для повышения устойчивости и надежности их работы. Необходимо помнить, что банкам надо, в первую очередь, защитить клиентов, физических и юридических лиц, а не просто формально исполнять нормативные требования. В этой связи приятно отметить, что на российском рынке, в том числе в нашей Ассоциации, есть банки, которые идут в ногу со временем, а порой даже опережают его, формируя новые направления в области кибербезопасности.
НЕПРОСТОЙ ПЕРИОД
При этом банковский сектор в последние годы переживает непростой период. Высокие риски, стагнация конкуренции, волатильность на рынке, низкая рентабельность – все это негативно сказывается на развитии бизнеса. Чтобы поддержать развитие банковской отрасли важно обеспечить становление киберфинансового пространства, построение инфраструктуры цифровых финансов. Развитие цифровых технологий изменит конкурентную среду, будет способствовать повышению конкурентных возможностей кредитных организаций различной величины и формы собственности, откроет ранее недоступные для них ниши, создаст удобную и безопасную экосистему для клиентов и новые возможности для игроков на финансовом рынке.
НЕ ДОПУСТИТЬ МОНОПОЛИЗАЦИИ И ДИСКРИМИНАЦИИ
В то же время затраты на внедрение технологий непомерно велики для большинства банков. В текущих условиях особенно заинтересованы в уменьшении издержек банки с базовой лицензией. В силу этого технологические сервисы, скорее всего, будут запускаться на платформах крупных игроков. Важно не допустить монополизации киберфинансового пространства. И это должно стать одной из главных задач регулятора по поддержанию конкурентной среды.
Необходимо реализовать на практике систему мер по обеспечению недискриминационного доступа кредитных организаций к информации и открытым интерфейсам. Нужно продолжить работу, направленную на расширение состава и актуализацию сведений в Системе межведомственного электронного взаимодействия. Создать доступную для всех банков единую базу залогов и закладных, ускорить пилотный запуск концепции цифрового профиля, разработанную Ростелекомом.
При реализации технологичных программ и проектов, в которых задействован Банк России, необходимо учитывать особенности банков с базовой лицензией, малых и региональных банков, углублять пропорциональное регулирование, находить и поддерживать реализацию облачных решений.
Так, по инициативе Ассоциации в Банке России, создана рабочая группа для проработки вопросов создания единой информационной платформы для содействия управлению кредитным риском. Банки, в том числе с базовой лицензией, нуждаются в централизованной базе, включающей информацию по заемщикам Банка России, ФНС, ПФР и других источников. На первом этапе будет предоставляться информация для оценки финансового положения и расчета минимальных резервов на возможные потери. Далее планируется размещать универсальные модели для оценки кредитного риска, одобренные Банком России. Их применение будет способствовать снижению издержек и даст возможность стандартизировать программное обеспечение.
ПЕРСПЕКТИВНОСТЬ REGTECH
Представители кредитных организаций отмечали перспективность технологии RegTech, в первую очередь, цифровизацию и стандартизацию взаимодействия с регулятором. Ассоциация выражает надежду, что обсуждение этой технологии будет продолжено в рамках формирования соответствующей дорожной карты.
ПРО БИОМЕТРИЮ
С запуском удаленной биометрической идентификации значительно выровнялись конкурентные условия на рынке. Однако низкие темпы наполнения базы биометрическими шаблонами не позволяют кредитным организациям с небольшой филиальной сетью полноценно воспользоваться всеми возможностями Единой биометрической системы. Необходимо активизировать сбор и передачу биометрии, разработать систему мотивации, рассмотреть вопрос о наделении полномочиями по сбору биометрических шаблонов многофункциональные центры (МФЦ).
О КИБЕРРИСКАХ
На фоне развития технологий, привносящих все больше удобства и пользы в жизнь клиентов, усиливаются и риски, связанные с их внедрением. Одним из ключевых становится киберриск. На протяжении последних нескольких лет наблюдается интенсивный рост киберпреступности во всем мире, мошеннические атаки приобретают все более масштабный характер. Урон, который наносят кибератаки мировой экономике, колоссален и оценивается свыше 1 трлн долларов. Ландшафт киберугроз с каждым днем становится все разнообразнее и обширнее. При этом основной целью атак остается незаконное обогащение. Поэтому каждая вторая атака приходится на финансовый сектор. Так, в России за 2017 год у российских банков украли порядка 1 миллиарда рублей.
Ассоциация приветствует шаги, направленные на рост защищенности банковского сектора страны и клиентов кредитных организаций. При этом члены нашей Ассоциации, особенно небольшие банки, сообщают о неуклонном росте и ужесточении регуляторных требований по информационной безопасности. Их выполнение становится все более сложной задачей, имеющиеся на рынке решения являются дорогими.
ПРО НЕБОЛЬШИЕ БАНКИ
В небольших кредитных организациях зачастую ограничены бюджеты на информационную безопасность. В некоторых регионах чувствуется нехватка специалистов высокой квалификации в сфере кибербезопасности. По оценкам, банки с базовой лицензией получают прибыль в среднем 5 млн руб. в год (по данным на 01.01.2019). На этом фоне ущерб от атаки может стать критическим для дальнейшей деятельности банка. Но и затраты на повышение уровня кибербезопасности непосильны для небольших банков. Это комплексная проблема, требующая дешевых пакетных решений и введения ответственности для собственников и руководства за низкий уровень кибербезопасности.
Полагаем, что при подготовке Банком России документов, затрагивающих построение информационной безопасности, необходимо находить решения, которые помогут малым и региональным банкам обеспечить безопасность своих клиентов при приемлемом уровне затрат. Банку России следует активней дифференцировать требования к безопасности, так как риски, характерные для крупной финансовой организации, сильно отличаются от присущих небольшому банку. Регулятор может взять на себя ведущую роль в повышении кибербезопасности банков и способствовать не только совершенствованию нормативной и методологической базы, но и осуществлять технические консультации, быть поставщиком информации о потенциальных киберугрозах, помогать банкам с выбором и внедрением средств защиты, инициировать процедуру возмещения налогов по инвестициям в информационную безопасность и т.п.
ПРО ЕДИНЫЙ СТАНДАРТ КИБЕРБЕЗОПАСНОСТИ
В частности, кредитные организации просят выстроить единый стандарт по кибербезопасности во всех реализуемых программах и проектах в рамках «Цифровой экономики». Это позволит банкам единожды закупить необходимое оборудование, обучить персонал и использовать их для целей обеспечения информационной безопасности всех проектов. Сейчас такого единого подхода не выработано, что несет в себе риски дополнительных затрат по приобретению по сути дублирующего друг друга оборудования на разные проекты для соблюдения прописанных в них норм безопасности.
О СОЦИАЛЬНОЙ ИНЖЕНЕРИИ И КИБЕРГРАМОТНОСТИ
Однако причиной уязвимости к атакам является не только слабая информационная безопасность, но и низкий уровень киберграмотности персонала и клиентов банка. По статистике, сейчас более 80% успешных атак происходит с помощью методов социальной инженерии. Самым популярным методом сегодня являются фишинговые рассылки. По информации экспертов, около 18% сотрудников переходят по ссылкам из фишингового письма, и примерно 9% вводят учетные данные на сайте. Другой эффективный метод– вишинг или телефонный фишинг. Телефонный звонок, как правило, вызывает большее доверие, чем электронная почта, поэтому результативность голосовых атак на 20% выше, чем при фишинговой рассылке.
Единственным продуктивным способом противостояния кибермошенникам является повышение киберграмотности сотрудников и клиентов кредитной организации. Для этих целей Банк России может формировать и реализовывать обучающие программы, подготавливать методологические рекомендации по организации процесса повышения их осведомленности. Не следует также пренебрегать программными решениями, способными снизить риск утечки информации и последующей атаки.
ПЛАТФОРМА ОБМЕНА ДАННЫМИ
Рост кибербпреступлений обеспечивается эффективной и оперативной работой группировок мошенников, опережающей на шаг реакцию мирового сообщества. Признавая необходимость консолидации в вопросе информационной безопасности, Ассоциация банков России запустила платформу обмена данными. Платформа позволяет участникам автоматически в режиме on-line получать верифицированную и релевантную информацию. Преимуществами платформы является агрегация источников данных об угрозах (ФинЦЕРТ Банка России, операторы связи, BI.ZONE), выгрузка только полезной информации для защиты банка и автоматизация процесса применения этой информации. Функционал платформы может быть использован даже в небольших банках.
По итогам пилотирования в проект вовлечено 36 организаций, из них 29 – банки из 11 регионов России, их общая доля в активах банковской системы превышает 50%. С 2019 года платформа запущена в промышленную эксплуатацию, расширен ее функционал и дополнены источники данных.
КИБЕРБЕЗОПАСНОСТЬ КАК ОБЩЕСТВЕННОЕ БЛАГО
В завершение хочу отметить, что в условиях развития цифровых технологий, перехода к цифровой экономике, актуальность вопросов обеспечения информационной безопасности сложно переоценить. Риски, связанные с ростом киберугроз, требуют оперативного и своевременного мониторинга, обнаружения и эффективного реагирования. На наш взгляд, сфера кибербезопасности в банковской системе должна стать областью объединения усилий, своеобразным «общественным благом», которое создается с помощью компетентных структур и потребляется в равной степени всеми участниками рынка.
Развитие цифровых технологий опережает регулирование, поэтому работы предстоит много: и законодателям, и регулятору, и банкам. Предстоит как разработать «с нуля», так и доработать много законодательных и нормативных актов, которые позволят реализовать намеченные планы. При этом важно обеспечить надлежащую степень их предварительной проработки, высокий уровень экспертизы, активно привлекать банки к обсуждению всех инициатив.
Источник: Георгий Лунтовский, президент Ассоциации российских банков
.jpeg)
.jpg)
.png)