На пленарном заседании «Кибербезопасность в цифровой экономике» XI Уральского форума «Информационная безопасность финансовой сферы» представители регулятора, законодательной власти и финансового рынка обсудили специфику цифровой трансформации в финансовой сфере, генерируемые ей риски и необходимость изменения бизнес-моделей и мышления.

Заместитель председателя Банка России Дмитрий Скобелкин изложил точку зрения регулятора на основные направления развития информационной безопасности. Он отметил, что цифровая трансформация создает многочисленные преимущества для клиентов финансовых организаций, однако за рост качества, скорости, доступности взаимодействия и снижение стоимости услуг приходится платить дополнительными рисками. Сославшись на экспертов Всемирного экономического форума в Давосе, определивших кибератаки как базовый глобальный технологический риск 2019 года, спикер напомнил, что сегодня необходимы скоординированные действия регулятора, поднадзорных организаций и потребителей финансовых услуг.

Дмитрий Скобелкин, (Банк России) Фото: Уральское ГУ ЦБ РФ

Дмитрий Скобелкин сообщил, что Банком России до сих пор не были зафиксированы случаи получения существенного ущерба системно-значимыми кредитными организациями в результате кибератак. Однако известны инциденты в сфере информационной безопасности, которые приводили к нарушению непрерывности предоставления финансовых услуг и как следствие к росту социальной напряженности и оттоку клиентов. «Мы отслеживаем настроения в социальных сетях и видим, что клиенты чутко и быстро реагируют на любые технологические проблемы банков», — отметил Скобелкин.

Немаловажно, что риску хищений подвержен объем денежных средств, сопоставимый со средним дневным остатком по корреспондентскому счету кредитной организации в Банке России, суммированным со средним дневным приходом по соответствующему корреспондентскому счету. Для небольших кредитных организаций такой объем средств зачастую сравним с размером уставного капитала, «поэтому паника и уход клиентов на фоне компьютерных инцидентов могут стать одной из причин прекращения деятельности кредитной организации».

Дмитрий Скобелкин: Мы отслеживаем настроения в социальных сетях и видим, что клиенты чутко и быстро реагируют на любые технологические проблемы банков

Зампред ЦБ РФ сослался на результаты опросов 2017-2018 годов, проводившихся среди клиентов банков в целях выяснения уровня доверия населения к используемым услугам с точки зрения их информационной безопасности. Если в 2017 году этот показатель составлял чуть более 40%, то в конце прошлого года был зафиксирован уровень 70%. «Вместе с тем, — подчеркнул Дмитирий Скобелкин, — главным критерием, по которому клиенты оценивают надежность банковских услуг и сервисов, является уровень хищений». Основной показатель в этом случае представляет собой долю несанкционированных переводов денежных средств с использованием платежных карт. Задача Банка России состоит в том, чтобы эта доля в целом по банковской системе не превышала 0,005% или 5 коп. на 1 тыс. рублей переводов. В 2018 году показатель составил 1,8 коп. на 1 тыс. рублей, это несколько выше, чем годом ранее, когда он был равен 1,6 коп. Регулятор связывает ухудшение показателя с ростом прозрачности данных, которые Банк России получает от кредитных организаций.

Конкуренция между банками заставляет повышать удобство и качество финансовых услуг, одновременно расширяются риски клиентов с точки зрения возможных потерь, поэтому «фактор киберриска объективно интегрируется в состав основных рисков финансовых организаций». Благодаря принятому в сентябре прошлого года Закону № 167-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средст» Банк России получил больше полномочий. Прежний добровольный информационный обмен с ФинЦЕРТ стал обязательным. Сегодня к Автоматизированной системе обработки инцидентов ФинЦЕРТ подключены более 600 организаций. Среди них 437 банков, 39 НКО, 77 страховых организаций и 63 иные организаций.

По словам Дмитрия Скобелкина, риск-ориентированный подход должен быть реализован на трех технологических уровнях: уровне инфраструктуры, уровне прикладного программного обеспечения, или уровне приложений, и уровне технологий процессов обработки данных.

Зампред ЦБ напомнил, что год назад он объявил в том же зале о создании в Банке России нового профильного департамента, и теперь можно констатировать, что «он состоялся». Позже, на пресс-подходе, он прямо сказал, что, несмотря на оптимизацию расходов, экономить на кибербезопасности регулятор не планирует.

Игорь Ляпунов, (Ростелеком) Фото: Уральское ГУ ЦБ РФ

По завершении ключевого доклада модератор, вице-президент Ростелекома Игорь Ляпунов, подчеркнул, что кибербезопасность в кредитно-финансовой сфере обеспечивает наиболее профессиональное сообщество, оказавшееся «на острие атак» первых реальных угроз и в силу этого поставляющее идеи и технологические решения для других отраслей. По его мнению, некогда поддерживающая функция со временем стала конкурентным преимуществом. По сути, она превратилась в бизнес-драйвер.

Нужны идеи

Представитель Совета Федерации Людмила Бокова заявила, что участникам Форума следует принять активное участие в законотворчестве в качестве экспертов, «выступить с идеями и предложениями в подготовке законопроектов».

В отношении предотвращения целевых атак на финансовый рынок, по мнению Людмилы Боковой, можно говорить об улучшении ситуации. «Согласно статистике, за восемь месяцев 2018 года доля успешных (в кавычках, конечно же) атак снижается, как и ущерб от них — сказала она. Вместе с тем цифровая уязвимость банковской сферы еще весьма ощутима. По оценкам экспертов, «за последнюю пару лет атаки в кредитно-финансовой сфере России нанесли ущерб в размере 3 млрд рублей, что определяет необходимость поиска новых решений в области киберустойчивости как финансового сектора, так в целом по стране».

Людмила Бокова (Совет Федерации) Фото: Уральское ГУ ЦБ РФ

Представитель Совета Федерации остановилась на национальных проектах с одобренными паспортами, в том числе на проекте «Цифровая экономика», в рамках которого предусмотрена реализация шести федеральных проектов. Один из них — проект «Информационная безопасность» — заслуживает особого внимания. Он предусматривает в качестве приоритетного направления разработку отечественного программного обеспечения и увеличение его доли на рынке. В частности, долю российского программного продукта в государственных структурах планируется увеличить к 2024 году до 90%, а в государственных компаниях довести не менее чем до 70%. Также на информационную безопасность в ближайшие шесть лет планируется выделить более 30 млрд рублей. В Совете Федерации считают, что «цифровая экономика должна базироваться на российском программном обеспечении и, где это возможно, на отечественной элементной базе».

Объединить усилия

Президент Ассоциации банков России (АБР) Георгий Лунтовский обратил внимание участников Форума на то, как серьезно изменился формат мероприятия, где теперь «обсуждаются не только вопросы, связанные с информационной безопасностью, но и вопросы функционирования собственно финансовой системы, вопросы функционирования платежной системы, вопросы перевода на цифровые технологии банковского надзора». Президент АБР упомянул, что в Форуме принимают участие представители 101 банка против около 80 в прошлом году.

«Развитие цифровых технологий изменяет и уже изменило конкурентную среду», — отметил Георгий Лунтовский, ссылаясь на снижение издержек коммерческих банков, предоставление новых конкурентных возможностей в первую очередь небольшим и средним банкам. В то же время затраты на внедрение цифровых технологий для большинства кредитных организаций остаются значительными, особенно для банков с базовой лицензией, которые в текущей ситуации крайне заинтересованы в снижении издержек. «На мой взгляд, важно не допустить монополизации киберпространства», — заявил глава Ассоциации. Он считает опасность такой реальной, что на плечи регулятора и законодателей ложится проблема поддержания конкурентной среды.

Фото: Уральское ГУ ЦБ РФ

Как сообщил Георгий Лунтовский, урон, который наносят кибератаки мировой экономике, оценивается суммой выше 1 трлн долларов, при этом ландшафт киберугроз становится все разнообразнее и обширнее. Вместе с тем банки жалуются, что им сложно выполнять регуляторные требования, в регионах не хватает специалистов. Есть понимание, что ущерб от кибератаки может стать критическим, но и затраты очень тяжелы, особенно для небольших банков с базовой лицензией, в том числе региональных. Приходится признать, что зачастую расходы по обеспечению кибербезопасности планируются по остаточному принципу. В Ассоциации считают, что Банку России надо активнее дифференцировать требования безопасности, поскольку риски, характерные для крупной финансовой организации, иные, как и последствия реализации этих рисков для экономики в целом.

Кроме того, Георгий Лунтовский выразил опасения в связи с низким уровнем кибербезопасности сотрудников и клиентов банка и упомянул, что, по статистике, более 80% успешных атак реализуется с помощью методов социальной инженерии. Самым популярным методом сегодня являются фишинговые рассылки. По информации экспертов, около 18% сотрудников переходят на ссылки из фишингового письма и примерно и 9% вводят учетные данные на сайте. Другой эффективный метод — это телефонный фишинг, результативность таких атак, по оценкам экспертов, еще выше, напомнил спикер. В заключение он отметил, что риски, связанные с ростом киберугроз, требуют оперативного и своевременного мониторинга, обнаружения и оперативного реагирования.

На языке бизнес-процессов

«Без смены бизнес-моделей не обойтись в противостоянии цифровой лихорадке», — считает исполнительный директор Ассоциации российских банков Валерий Шипилов. Наблюдаемые процессы, по его мнению, связаны с постоянным появлением новых информационных технологий, бизнес-моделей применения IT (называемых цифровыми, чтобы отличить их от уже традиционных), интернет-устройств, нового поколения продвинутых, «квалифицированных» пользователей, ориентированных на своевременное получение широкого спектра качественных услуг, доступных «здесь и сейчас».

По мнению Валерия Шипилова, одновендорные системы уходят в прошлое из-за их тяжеловесности и неспособности к быстрым изменениям. Кроме того, трансформация информационной архитектуры предполагает разделение технологий банка на фронт-офис и бэк-офис. Цифровая трансформация предполагает переход от документоцентричности к дата-центричности. Сейчас большинство банков ориентировано на финансовые документы — платежные поручения, кредитные договоры, гарантии. Основной актив цифровой организации — это ее данные. Дата-центричность предполагает учет не только численных данных, но также их семантического смысла, что предполагает единство формы и содержания. Финансовая цифровая услуга должна начинаться со стадии проектирования и оставаться цифровой от начала до конца.

Фото: Уральское ГУ ЦБ РФ

Открываются возможности прогнозирования поведения клиента, выявления клиентских потребностей и предпочтений. Банки должны приспосабливаться к изменениям внешней среды, вливаясь в финансовые экосистемы, делая своих клиентов их частью, заявил Валерий Шипилов. Принадлежность одной экосистеме предполагает наличие информационного обмена. Клиенты оставляют цифровые следы, и банки при принятии решений должны опираться на информацию, которая генерируется поведением клиента. Возникает необходимость в цифровой финансовой платформе, создание которой под силу не каждому банку. Нужны серьезная консолидация и в конечном счете изменение мышления.

Для продуктов информационных технологий необходимо определить функции безопасности. Шипилов убежден, что обеспечить безопасность IT-сервисов и доверие к ним должен тот, кто эти сервисы разрабатывает.

Валерий Шипилов: Банки должны приспосабливаться к изменениям внешней среды, вливаясь в финансовые экосистемы, делая своих клиентов их частью

Первый вице-президент Национальной ассоциации участников фондового рынка (НАУФОР) Алексей Артамонов в начале своего доклада об информационной безопасности в условиях цифровизации услуг некредитных финансовых организаций также отметил смену бизнес-модели. «Конечно, это привело к колоссальной нагрузке на бэк-офис, — подчеркнул он. — К такому объему данных большинство участников было не готово три года назад, потому что многие процедуры проводились либо вручную, либо с участием человека».

По мнению Алексея Артамонова, до сих пор риски некредитных финансовых организаций были значительно ниже банковских.

В свою очередь, модератор высказал предположение, что динамика ставок по депозитам будет способствовать росту интереса к рынку ценных бумаг, который также подвержен киберугрозам, поэтому возникновение нового направления регулирования и обеспечения безопасности операций с ценными бумагами будет одним из серьезных дополнительных драйверов для развития рынка.