Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
Проходящий в Екатеринбурге Уральский форум «Кибербезопасность в финансах — 2024» стартовал с панельной дискуссии с участием председателя Банка России «Противодействие кибермошенничеству: ключевые вызовы и решения»
Эльвира Набиуллина, председатель Банка России, открывая деловую часть Форума, отметила: «Второй год подряд по наполненности зала видно, что Форум вызывает все больший и больший интерес участвующих в нем специалистов абсолютно разных направлений. Почему? Потому что тема кибербезопасности — это не узкопрофильная проблема, и решать нам надо одновременно несколько сложных задач».
Участники Форума. Фото: Youtube-канал Банка России
По мнению спикера, Форум должен дать ответы на четыре ключевых вопроса. Во-первых, как включить ИБ во все ключевые бизнес-процессы финансовых институтов? Во-вторых, требуется мобилизовать ресурсы для продолжения перехода на безопасный отечественный софт. В-третьих, необходимо найти пути решения дефицита и даже порой кадрового голода в сфере кибербезопасности. Наконец, как убедить людей заниматься финансовой грамотностью, чтобы они не попадали на удочку мошенников и социальных инженеров?
Эльвира Набиуллина (Банк России). Фото: Youtube-канал Банка России
Что касается конкретных цифр, то согласно вышедшему накануне документу Банка России «Обзор операций, совершенных без согласия клиентов финансовых организаций», в 2023 году мошенники похитили 15,8 млрд рублей со счетов клиентов банков, чьи потери увеличились на 11,5% за год. Ситуация регулятору представляется недопустимой, поэтому работы сообществу в 2024 году предстоит немало.
Занявший кресло модератора Анатолий Аксаков, председатель Комитета Госдумы по финансовому рынку, в первую очередь отметил, что безопасность людей зависит от уровня их финансовой грамотности, о чем много говорилось на прошлогоднем Уральском форуме.
Анатолий Аксаков (Госдума). Фото: Youtube-канал Банка России
Во исполнение полученных тогда наказов совместно Министерством образования Чувашии был запущен курс финансового образования в старших классах средних школ. В дальнейших планах — охват всех учащихся, вплоть до воспитанников детских садов. Возможно, этот пилотный проект будет масштабирован и на другие регионы России, что позволит частично снизить остроту проблемы. А пока финансовая безопасность граждан находится в руках законодателей, регуляторов и участников финансового рынка, главным образом банкиров и топ-менеджеров.
В связи с этим наиболее острым оказалось обсуждение проекта федерального закона, который вводит специальные требования к квалификации и деловой репутации зампредов финансовых организаций, ответственных за обеспечение информационной безопасности. Согласно законопроекту, предполагается повысить уровень персональной ответственности за нарушения в защите информации, повлекшие за собой утечку ПДн или банковской тайны.
«Хотел бы спросить у банкиров, как они относятся к этому», — поднял градус дискуссии Анатолий Аксаков. Заместитель председателя правления Сбербанка Станислав Кузнецовотреагировал спокойно: «Меня эта новость не встревожила. Это правильный подход — руководитель должен отвечать за то, что он делает. У нас эта практика уже используется, включая первое лицо и руководителей дочерних компаний».
Анатолий Аксаков (Госдума), Станислав Кузнецов (СберБанк), Эльвира Набиуллина (Банк России). Фото: Youtube-канал Банка России
В Сбербанке считают, что очень важно исходить из точных данных, аналитики и достоверности информации, чтобы высокий уровень ответственности первых лиц не перетек в попытки дискредитации, сведения счетов или в банальный вброс информации при помощи компиляции данных о якобы свежих утечках ПДн. Кроме того, ИБ не бывает без тесного взаимодействия с IT и наличия правильной IT-архитектуры.
Оцениваем девиантное поведение
Анатолий Аксаков был настойчив: «Часто говорят, что руководители все делают правильно, а вот на местах работники кредитных организаций помогают злоумышленникам либо сами таковыми являются. Какой выход из ситуации вы видите?».
Станислав Кузнецов парировал: «Существует много инструментов, которые мы разработали у себя в банке, включая аналитику девиантного поведения сотрудников, чтобы заблаговременно предугадывать те или иные риски, связанные с человеческим фактором. Если раньше осуществлялся подсчет тех лиц, которые были наказаны или привлечены к ответственности, то сейчас мы имеем совсем другие измерения, оценивающие эффект от заблаговременной профилактики».
Заместитель президента, председателя правления Банка ВТБ Вадим Кулик дал модератору одновременно и шуточный, и серьезный ответ: «Тут не знаешь, какая ответственность наступит первой — то ли за импортозамещение, то ли за данные. Причем наступит она в отношении все тех же самых граждан. Персональная ответственность зампредов за ИБ должна быть точно, но все те кейсы, которые мы знаем, связаны с рядовым персоналом, с их мошенническими схемами. Не все из этих схем предиктивная аналитика сегодня способна выявить».
Вадим Кулик (ВТБ). Фото: Youtube-канал Банка России
В ВТБ признают, что имеется три законченных уголовных дела по участию сотрудников банка в сговоре в целях хищения ПДн. И во всех трех случаях суд признал их виновными, однако назначил им наказание в виде некрупных судебных штрафов без возникновения уголовной ответственности. Все легко отделались. Поэтому без решения проблемы ИБ в комплексе, включая неотвратимость и суровость наказания, только персональной ответственности топ-менеджеров недостаточно для выравнивания ситуации.
«В банках достаточно давно выстроены процедуры при приеме на работу каждого сотрудника. Наверное, у банков одно из самых больших количеств заверений, которые подписывают сотрудники, а также ИБ-курсов, которые они проходят. А все потому, что финансисты работают по большому счету исключительно с данными. Соглашусь, что сейчас на первый план выходит профилактика правонарушений. Ведь люди в банке, которые первыми подвергаются атакам, это те сотрудники, которые никогда не сталкивались с ответственностью. А она может быть внедрена только сверху вниз. Поэтому — да, мы за внедрение персональной ответственности», — добавил заместитель председателя Промсвязьбанка Константин Басманов.
Константин Басманов (Промсвязьбанк). Фото: Youtube-канал Банка России
«Я от этого предложения законодателей, как и Станислав Кузнецов, не расстроилась и не переживаю. Сотрудники Банка России не являются исключением из этого законопроекта. Правда, мы практически не работаем с ПДн. Тем не менее для всех членов совета директоров на 2024 год установлены KPI по сокращению потерь от кибермошенничества», — подвела промежуточный итог Эльвира Набиуллина.
Что успели и что не успели обсудить?
Как ни старался модератор выдерживать регламент, ряд важнейших проблем был обсужден не в полном объеме, например регуляторика в области ИИ. Тем не менее участники дискуссии успели привести важные данные по другим темам.
Например, Станислав Кузнецов сообщил: «30% всех мошеннических звонков переходит в кредитное мошенничество. Поэтому, не дожидаясь вступления в силу соответствующего закона, мы ввели в СберБанке однодневный период охлаждения. И практически в 100% случаев эта мера привела к тому, что жертва поняла, что ее “разводят”. Это, безусловно, успех!».
Одной из острейших проблем межбанковского антифрода являются сложности с обменом информацией о мошенниках. До сих пор нет централизованной платформы для этой цели. Почему же не работает в этом случае БКИ? А потому, что у Бюро норматив на предоставление информации — трое суток, в то время как кредиты одобряют за минуты, а период охлаждения — не более двух суток. В том числе поэтому нет единого информационного пространства, работающего в режиме реального времени.
Что касается дропперов, то самым радикальным оказался вариант использования опыта белорусских коллег, которые без раздумий сажают этих людей за решетку на срок до 10 лет. Кроме того, действия дропперов должны стать экономически невыгодными, впрочем, это относится ко всем кибермошенникам.
Первые государственные банки располагались в бывших частных домах и даже на монастырском подворье, а первое здание, построенное специально для банка, появилось в 1783 году по Указу императрицы Екатерины II о строительстве в Санкт-Петербурге Ассигнационного банка