Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
Второй день работы Уральского форума «Кибербезопасность в финансах» начался с ключевого доклада «Основные направления развития информационной безопасности в кредитно-финансовой сфере», с которым выступил Герман Зубарев, заместитель председателя Банка России
Эльвира Набиуллина, председатель Банка России, предваряя выступление своего заместителя, отметила: «Обеспечение ИБ становится все более и более значимым приоритетом в работе ЦБ. Почему? Во-первых, мы все видим, что финансовый сектор становится все высокотехнологичнее, что приводит к появлению специфических киберрисков. А во-вторых, банки активно проникают в различные индустрии, формируя вокруг себя экосистемы. В итоге повседневная жизнь человека зависит лишь от нескольких приложений. В этой ситуации и Банк России, и коммерческие банки обязаны по-новому защищать персональные данные граждан, а также их деньги».
В связи с этим Банк России в 2023 году проводит Уральский форум в обновленном, расширенном формате, но пытается при этом сохранить сложившиеся за долгие годы традиции неформального обсуждения самых острых вопросов.
«Мы, как регулятор, крайне заинтересованы в выработке и обсуждении новых идей и подходов, начиная от страхования киберрисков, подготовки кадров и заканчивая проблематикой проведения аудита ИБ, а также обеспечения технологической независимости отрасли в условиях санкций. Но начинать нашу работу необходимо с расстановки приоритетов», — считает Эльвира Набиуллина.
Герман Зубарев начал выступление с анонса основных направлений развития ИБ в отрасли на ближайшие три года. Этот документ содержит в себе стратегическое видение целей и задач ИБ в финансовых организациях, которым всем банкам необходимо уделять повышенное внимание. По словам докладчика, работа над текстом документа продолжалась около года с привлечением представителей экспертного сообщества.
Герман Зубарев (Банк России). Фото: Банк России
Актуальность документа обусловлена также уходом с нашего рынка иностранных поставщиков ПО и производителей аппаратных платформ. Особенностью является и то, что основные направления в области ИБ тесно увязаны и взаимосвязаны с другими стратегическими документами Банка России, так как комплексный подход к проблеме представляется наиболее эффективным.
Итак, на ближайшие три года, по рекомендации экспертов регулятора, определены три ключевые цели:
Под каждым направлением скрывается обширный набор мероприятий, общим приоритетом которых является обеспечение законных интересов граждан при сохранении финансовой и операционной стабильности отрасли в целом.
В своей первой рекомендации ЦБ исходит из того, что борьба с мошенничеством по-прежнему крайне актуальна. При этом основным инструментом злоумышленников остается использование социальной инженерии. С ее помощью в 2022 году было совершено более половины мошеннических операций без согласия клиентов.
«Мы считаем, что необходимо совершенствовать механизм возврата похищенных денег, поэтому нам требуется повышать качество функционирования антифрод-процедур, выявлять аномалии в поведении клиентов, отключать электронные средства платежа брокерам, а также ввести в обязанность возвращать клиенту деньги, если банк не выполнил обязательные антифрод-процедуры», — заявил Герман Зубарев.
Предполагается, что в целях повышения скорости реагирования правоохранителей по фактам мошенничества у граждан будет возможность подачи соответствующего заявления с использованием портала госуслуг или онлайн-сервисов банков. Топ-менеджеры кредитных организаций, отвечающие за ИБ, должны нести персональную ответственность за защиту персональной информации клиентов. За нарушения и допущенные утечки данных они будут наказываться вплоть до дисквалификации. Понятно, что без повышения уровня киберграмотности населения движения вперед трудно ожидать.
Герман Зубарев отметил: «Активное развитие цифровых технологий существенно изменило ожидания потребителей финансовых услуг. В частности, предоставление удаленных сервисов изменило саму бизнес-модель банков, в которой все большее значение приобретает пользовательский опыт. Люди отдают предпочтение простым, быстрым, удобным и безопасным сервисам».
Внедрение новых технологий и сервисов на их основе невозможно без дальнейшего развития регулирования со стороны Банка России. В частности, планируется расширить практику использования экспериментальных правовых режимов и регулятивной песочницы, а также сервисов Open API, ЕБС и других с учетом их собственных моделей угроз. Цель этих и других мер заключается в поиске баланса между защищенностью финансовых технологий и удобством их использования конечными пользователями при обеспечении бесшовной интеграции и удобного клиентского пути.
Ожидается опережающее развитие платежной инфраструктуры, а также цифрового рубля при обеспечении безопасности, доступности и надежности данных сервисов. Платформа цифрового рубля требует развития собственного антифрода, учитывающего специфику этого инструмента. Кроме того, требуется продолжить развитие новых практик идентификации и аутентификации как резидентов, так и зарубежных пользователей платежной системы. Важная задача стоит и в областях электронной подписи для массового сегмента, а также взаимодействия финансовых организаций с органами государственной власти, включая доступ к ГИС.
Все принимаемые решения должны способствовать достижению реального технологического суверенитета с учетом санкционных рисков. Важную роль в этом процессе должен играть отраслевой центр компетенции, определяющий приоритеты в данном вопросе.
Ключевую роль в области исполнения контрольной и регулирующей функций Банка России будут исполнять SupTech- и RegTech-проекты. Один из них заключается в совершенствовании системы внешнего аудита ИБ.
«Мы считаем необходимым внедрить дополнительные правовые механизмы повышения качества оценки соответствия защиты информации, а также формирования требований к достоверности результатов внешнего аудита ИБ. При внедрении системы мониторинга анализа операционных рисков важным направлением станет переход к системному использованию методов мониторинга и продвинутой аналитики с учетом данных об инцидентах ИБ, риск-профилей финансовых организаций и т.д. Хорошо зарекомендовавшие себя практики стресс-тестирований и киберучений необходимо продолжить развивать, как и технологии риск-профилирования», — подчеркнул Герман Зубарев.
Хорошо зарекомендовавшие себя практики стресс-тестирований и киберучений необходимо продолжить развивать, как и технологии риск-профилирования
Банки ожидает процедура интеграции методов обеспечения операционной надежности в практику управления операционным риском. С учетом сложности реализуемых проектов необходимо развивать IT-аутсорсинг. Но при этом требования ИБ должны соблюдать обе стороны, не перекладывая ответственность друг на друга. В рамках помощи в развитии аутсорсинга Банк России сформирует правовые условия для размещения, хранения и обработки данных облачными провайдерами.
Первые государственные банки располагались в бывших частных домах и даже на монастырском подворье, а первое здание, построенное специально для банка, появилось в 1783 году по Указу императрицы Екатерины II о строительстве в Санкт-Петербурге Ассигнационного банка