Финансовая сфера

Банковское обозрение


14.04.2021 FinRegulationFinSecurityFinTechАналитика
О проблемах лучше знать заранее

История с исключительно инспекционным надзором ИБ исчерпала себя. Поэтому появление гибридных подходов к надзору у Банка России — это отрадно! Но времени категорически не хватает…


Ассоциация пользователей стандартов по информационной безопасности (АБИСС) провела для кредитных и некредитных финансовых организаций закрытую секцию по вопросам обеспечения информационной безопасности финансовых организаций на площадке ежегодной конференции «РусКрипто’2021», посвященной актуальным вопросам криптографии и ИБ. Александр Дудка, начальник отдела проверок Управления надзора и наблюдения Банка России, выступил с докладом, в котором рассказал о новшествах в области надзора ИБ в финансовых организациях. Артем Сычев, первый заместитель директора департамента информационной безопасности (ДИБ) Банка России, позже ответил на ряд вопросов из зала. Основные тезисы их выступлений приводим ниже.

Александр Дудка (Банк России). Фото: РусКрипто

Александр Дудка (Банк России). Фото: РусКрипто

Эта история заканчивается

Изначально в ДИБ Банка России надзор зародился как отдел проверок. В 2019 году он провел 171 проверку, в 2020 году в силу пандемии — 87. В прошлом году плановые проверки пришлось «замораживать», и открывались только наиболее важные из них, требующие физического выхода сотрудников в подотчетную организацию.

Долгое время инспекционного надзора было достаточно: есть требования и есть проверка этих требований. Но эта история заканчивается, причем все понимают — видоизменять ее нужно как можно скорее.

Любой банкир осведомлен, что существует классический банковский надзор, заключающийся не только в инспекционных проверках. Важную роль в нем играет риск-профиль кредитной организации. Существует множество методик его построения. Самая известная из них базируется на Указании Банка России от 3 апреля 2017 года № 4336-У «Об оценке экономического положения банков» и основана на анализе ряда финансовых показателей. В случае ухудшения качества риск-профиля банк несет экономические и юридические издержки. Например, ему может быть перекрыт доступ к рефинансированию со стороны ЦБ. 

А ИБ исторически находилась «где-то сбоку». Существовал набор требований со стороны ЦБ, и их выполнение необходимо было периодически проверять. Этого, как уже отмечалось, было достаточно до тех пор, пока не началась цифровая трансформация бизнеса.

Александр Дудка задал вопрос и сам же ответил на него: «Кто у нас сейчас лидеры на банковском рынке? Это уже фактически IT-компании, причем довольно крупные и динамично развивающиеся. И это только начало! Суть экономических операций — кредиты, вклады и так далее — уходит в эту сферу. С точки зрения регулятора, прямо сейчас происходит трансформация источников денежных рисков». 

Этот процесс можно проиллюстрировать свежей практической историей, как из одного из банков злоумышленники вывели крупные суммы. Используя уязвимости ПО и «железа», которое использовалось в банке, хакеры внедрились в IT-инфраструктуру и «пасли» этот банк несколько месяцев. При этом никто ничего не замечал. А потом случился вывод миллионов рублей.

«Противники сейчас, к сожалению, работают эффективнее, чем регулятор, чем надзор.И это — общемировой тренд. Поэтому всем очевидно, что необходимо торопиться. Поэтому у нас для проведения трансформации надзора осталось максимум полтора-два года», — прокомментировал Александр Дудка.

Суть реформ

Уже некоторое время Департамент IT проводит масштабную трансформацию надзорной работы: от инспекционных проверок к созданию всеобъемлющего полноценного надзора, основой которого станет риск-профиль ИБ поднадзорной организации. В перспективе он будет интегрирован в риск-профиль оценки экономического положения и будет влиять на экономику банка.

По словам представителя ЦБ, методика расчета риск-профиля сформирована. Она пока непубличная и апробируется при участии отдельных коммерческих организаций. Но уже понятно, что для получения полноценного риск-профиля его необходимо постоянно актуализировать, едва ли не в режиме онлайн. Очевидно, для этого инспекционных проверок раз в три года не хватит.

В итоге Банк России анонсировал мегапроект в области ИБ — формирование второй ветви надзора в области кибербезопасности финансовой сферы. Валерий Тумин, консультант отдела дистанционного надзора и наблюдения, представлял на сессии это подразделение ЦБ. Для чего это? Цель проверяющих сейчас — не в том, чтобы набрать какое-то количество нарушений, а ответить на вопрос: «И что?». У одного банка выявлено, например, два нарушения, а у другого — 53. и выясняется, что у первого денег под угрозой гораздо больше, хотя он на бумаге сравнительно «белый и пушистый».

Большинство проверок показало, что организации уже в значительной степени изучили стандартные требования ЦБ и формально к ним готовы. Другое дело, что выполняют они их, как правило, действительно формально. Те же заинтересованные в реальном исполнении нормативов банки отличаются продвинутым уровнем корпоративного управления. Если собственники и топ-менеджеры осознают цифровизацию как факт, то они выстраивают процесс управления банка правильно.

ДИБ стремится к построению проверок не столько на сверке с требованиями, сколько на исследовании автоматизированных бизнес-процессов и применяемых при этом технологий. В итоге вывод проверок должен быть «про деньги и про риски клиентов». Согласно 86-ФЗ от 2002 года «О Центральном банке Российской Федерации», Банк России осуществляет надзор в целях обеспечения защиты интересов кредиторов и вкладчиков, поэтому они — основной объект защиты ЦБ. Собственники при этом рискуют своими деньгами.

Но при этом сами требования регулятора «неизбежны», никто их не отменит, и их никогда не перестанут проверять. Они должны сохраниться как инструмент юридического взаимодействия, т.е. для реализации функций «кнута». В разных государствах существуют свои парадигмы юридического построения общества. В России, как и в большинстве развитых стран, работает принцип: «Все, что не запрещено, то разрешено». Чтобы кого-то обязать что-то выполнить, необходимо ввести какие-то требования и что-то четко запретить. Соответственно нормативные требования в виде ГОСТов, рекомендаций и т.д. нужны именно для этого.

Опираясь на эти документы, будущий надзор в области ИБ должен выявлять риски в автоматизированных процессах и показывать их организации. По сути, она сама заинтересована в их устранении. Если нет — будут применяться соответствующие инструменты через механизм формальных требований. Поэтому сейчас в актах проверки появились не только записи о нарушениях, но и рекомендации. В них проверяющие обращают внимание должных лиц на то, где есть потенциальные риски.

Деловые игры регулятора

Одним из ноу-хау отдела дистанционного надзора в ходе пандемии и сокращения количества выездных проверок стали киберучения. Суть механизма — проводимое дистанционно стресс-тестирование, но с прицелом на безопасность.

В прошлом году 22 крупнейшие финансовые организаций страны добровольно присоединились к участию в такой деловой игре. Учения начинались неожиданно для исполнителей со стороны банков, но с ведома руководства банков и руководителей их служб ИБ. Для самого ЦБ это тоже был стресс-тест.

Отрабатывались два сценария. Во-первых, проникновение вредоносного ПО в организацию, которая должна была своевременно провести процедуры по его локализации и блокировке, а также минимизации последствий. Во-вторых, наличие внутреннего злоумышленника, искажающего или формирующего ложный платежный документ, после чего происходит массовое списание с корсчетов банка немалых денег. Здесь требовалось своевременно обеспечить блокировку корсчета, а также электронного обмена между банком и ЦБ. В том числе это был стресс-тест и для обычных дежурных смен ФинЦЕРТ Банка России — специализированного центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере. Здесь отрабатывалось то, как он среди большого потока сообщений об инцидентах способен выявить именно эти события и отработать ситуацию с банком.

Большинство из проведенных 22 киберучений подтвердили, что банки много внимания уделяют отражению внешних угроз и халатно исполняют собственные внутренние процедуры обеспечения ИБ. Видно, что борьба с инсайдерами не всем привычна.

В 2021 году планируется расширение этой практики на 70–80 организаций. Апробированные два сценария учений будут применяться не только для отдельных банков, но и для участников финансовых объединений или экосистем. Этот формат станет постоянным элементом надзора. Как часто учения будут проходить, пока обсуждается.

Выводы и ответы на вопросы

Основная цель всех мероприятий — выстроить в сфере ИБ надзор, основанный на риск-профиле, на понимании процессов и особенностей технологических участков. При этом количество нарушений, требований и т.д. — это не цель регулятора, а инструмент влияния и доведения до сведений информации о выявленных рисках, деньгах под угрозой, игнорирование которой будет отрицательно влиять на экономику организаций.  

Также был поднят вопрос о роли внешних аудиторов в процессе надзора ИБ. В частности, в диалоге с регулятором прозвучал вопрос: «Может ли Банк России в рамках надзорной деятельности переоценивать какой-то объем проведенной аудиторами работы»?

По словам Александра Дудки, теоретически может — в рамках понятия «проверяемый период», например от конца предыдущей проверки до текущего момента. Сейчас это примерно три года. Если аудит будет выстроен, как в финансах (раз в год, по аналогии с налоговым), то теоретически в рамках проверки ЦБ требуется отсмотреть три этих годовых аудита. Но если нам придется перепроверять то же самое, то нет смысла в аудите. Значит, стоит подумать о каком-то выборочном формате и системе сдержек и противовесов, «кнуте и прянике» для аудиторов и банков.

Необходимо фиксировать какие-то недостатки, где аудиторская компания была неправа, и это к чему-то привело. Это нужно привязывать к реальным инцидентам, связанным с потерей денег клиентами или утечкой персональных данных. Существует понятие «угроза кредиторам и вкладчикам», согласно ФЗ-86. Какой-то аналогичный подход можно рассмотреть и области ИБ. Соответственно необходимо фиксировать количество таких случаев, и, может быть, это будет «кнутом» по отношению к аудиторской компании и мотивирует работать добросовестно.

Следует остановиться на вопросе из зала, касающегося целей инициативы по самооценке банками киберустойчивости, появившейся в конце 2020 года в связи с реформой надзора.

Артем Сычев разложил все по полочкам: «Данная самооценка — это первый этап, необходимый для уточнения: с каких позиций банк стартует. А дальше прилагается все остальное — консультативный надзор, киберучения и в конечной точке — пересчет всего, что формирует риск-профиль. А уж он приводит к пониманию потенциальных потерь, которые могут случиться у финансовой организации, что отражается на оценке устойчивости банка. О проблемах лучше всего знать заранее. А для этого нужно измерить то, с чего стартовали».






Сейчас на главной

ПЕРЕЙТИ НА ГЛАВНУЮ