Согласно данным Комитета по финансовым рынкам и кредитным организациям Торгово-промышленной палаты РФ, за период с июня 2015-го по май 2016 года российские банки потеряли от действий киберпреступников 1,37 млрд руб. (кражу еще 1,5 млрд удалось предотвратить). Пострадали даже такие флагманы, как Сбербанк. Удручающая статистика вынудила регулятора предпринять меры реагирования – с 1 января 2018 года в России вступает в действие новый национальный стандарт «Безопасность финансовых (банковских) операций». Соответствующий приказ был опубликован на сайте Банка России 8 августа. Своевременность и транспарентность этого шага регулятора обсудили участники мероприятия Cyber Security Day, организованного ИД «КоммерсантЪ».
Заместитель начальника ГУБиЗИ Банка России Артем Сычев сообщил, что национальный стандарт разрабатывался с привлечением широкого круга специалистов из кредитных организаций, поэтому многим участникам рынка хорошо знакомы его положения. Сам факт появления первого национального стандарта по ИТ-безопасности финансовых операций (в дополнение к действующим стандартам информационной безопасности Банка России) он назвал «существенным прорывом».
«Сегодня наши нормативные документы изобилуют техническими деталями, которые сложно выполнить в то время, когда банковские технологии бегут вперед. Мы постарались немножко смягчить эту проблему, перенеся технические детали на уровень стандартизации», — заявил он.
Представитель Банка России подчеркнул, что политика регулятора нацелена на разделение технических и организационных требований к участникам финансовой деятельности: технические будут сконцентрированы в стандарте, а организационные — в нормативных отраслевых документах. При этом в самом стандарте нет жестких установок, касающихся реализации технологий защиты, – указан только набор этих технологий. Например, разработчики защитных средств предлагают сегодня множество вариантов реализации многофакторной аутентификации. Стандарт не закрепляет конкретного из них, предоставляя организациям свободу выбора, но предписывает, чтобы такая аутентификация осуществлялась.
Будет ли новый стандарт обязательным к исполнению? Сычев так отвечает на этот вопрос: «Текущее законодательство позволяет регулятору устанавливать в нормативном документе нормативную ссылку на государственный стандарт, и в этом смысле выполнение требования, на которое установлена нормативная ссылка, является обязательным».
Некоторые эксперты, поддерживая принятие стандарта в принципе, критикуют его нынешнюю редакцию и рассчитывают на дальнейшую коррекцию. Их главный аргумент: стандарт не полностью учитывает актуальные тенденции финансового рынка, обусловленные цифровой трансформацией под влиянием новых технологий – блокчейна, криптовалют и деятельности финтехов.
Среди тех, кто голосовал против утверждения текущей версии стандарта, — директор по информационной безопасности Московской биржи Сергей Демидов. По его мнению, заложенные в стандарте требования не в полной мере учитывают практику биржевой деятельности и интересы ее участников, прежде всего брокеров. Кроме того, стандарт не охватывает всего ландшафта финансового рынка, находящегося на пороге очередной технической революции, и поэтому он не сможет нивелировать риски и угрозы, с которыми придется столкнуться в перспективе.
Дмитрий Мананников, независимый эксперт в области информационной безопасности, полагает, что стандартизация — в принципе неэффективный путь противодействия атакам хакеров. С его точки зрения, разработчики ИТ-решений для бизнеса, очень быстро развивая свои продукты в технологическом отношении, оставляют в них при этом множество брешей и уязвимостей. Это открывает простор для злоумышленников, которым гораздо проще совершенствовать средства нападения, чем бизнесу — средства защиты от них. Стандартизация обязывает компании сертифицировать инструменты безопасности, на это тратятся время и ресурсы, которые можно направить на реальное усиление защиты, отметил эксперт. Хакерам же, как известно, ничего сертифицировать не нужно, и они без длительных согласований находят инвестиции в механизмы взлома.
Однако Сычев убежден: принятие стандарта сыграет позитивную роль в обеспечении безопасности финансовых учреждений. Упомянув о недавних крупных хищениях хакерами средств у банков, он указал, что их специалисты по ИТ-безопасности до нападения оценивали свои системы защиты как очень эффективные. Теперь очевидно, что это была завышенная оценка, и изменить ее к реальности поможет стандарт, обязывающий постоянно совершенствовать технологии и организацию защиты, в том числе повышая осведомленность персонала о потенциальных угрозах.
В организациях должны регулярно проводиться работы по выявлению угроз и уязвимостей. Это даст уверенность в том, что инциденты если и не будут исключены, то их количество и сопутствующий ущерб удастся минимизировать, полагают в Банке России.
В конце концов, требования по информационной безопасности – не самоцель для регулятора финансового рынка, и их нужно рассматривать как неотъемлемый инструмент управления операционными рисками в целом. Ратуя за новый стандарт, Банк России призывает участников финансового рынка научиться правильно оценивать эти риски и эффективно управлять ими в интересах своих клиентов. Этому будет способствовать принятие нескольких новых стандартов в области информационной безопасности, отметил Сычев. В частности, сейчас идет разработка стандартов, связанных с аутсорсингом в этой сфере и оценкой соответствия систем информационной безопасности требованиям регулятора.