Эльвира Набиуллина, председатель Банка России, предваряя выступление своего заместителя, отметила: «Обеспечение ИБ становится все более и более значимым приоритетом в работе ЦБ. Почему? Во-первых, мы все видим, что финансовый сектор становится все высокотехнологичнее, что приводит к появлению специфических киберрисков. А во-вторых, банки активно проникают в различные индустрии, формируя вокруг себя экосистемы. В итоге повседневная жизнь человека зависит лишь от нескольких приложений. В этой ситуации и Банк России, и коммерческие банки обязаны по-новому защищать персональные данные граждан, а также их деньги».

В связи с этим Банк России в 2023 году проводит Уральский форум в обновленном, расширенном формате, но пытается при этом сохранить сложившиеся за долгие годы традиции неформального обсуждения самых острых вопросов.

«Мы, как регулятор, крайне заинтересованы в выработке и обсуждении новых идей и подходов, начиная от страхования киберрисков, подготовки кадров и заканчивая проблематикой проведения аудита ИБ, а также обеспечения технологической независимости отрасли в условиях санкций. Но начинать нашу работу необходимо с расстановки приоритетов», — считает Эльвира Набиуллина.

Три приоритета на три года

Герман Зубарев начал выступление с анонса основных направлений развития ИБ в отрасли на ближайшие три года. Этот документ содержит в себе стратегическое видение целей и задач ИБ в финансовых организациях, которым всем банкам необходимо уделять повышенное внимание. По словам докладчика, работа над текстом документа продолжалась около года с привлечением представителей экспертного сообщества.

Герман Зубарев (Банк России). Фото: Банк России

Актуальность документа обусловлена также уходом с нашего рынка иностранных поставщиков ПО и производителей аппаратных платформ. Особенностью является и то, что основные направления в области ИБ тесно увязаны и взаимосвязаны с другими стратегическими документами Банка России, так как комплексный подход к проблеме представляется наиболее эффективным.

Итак, на ближайшие три года, по рекомендации экспертов регулятора, определены три ключевые цели:

• защита прав потребителей финансовых услуг и повышение уровня доверия к цифровым технологиям;
• создание условий для безопасного внедрения финансовыми организациями цифровых и платежных технологий, а также обеспечение технологического суверенитета;
• обеспечение контроля рисков ИБ и операционной надежности в целях достижения непрерывности оказания банковских и финансовых услуг.

Под каждым направлением скрывается обширный набор мероприятий, общим приоритетом которых является обеспечение законных интересов граждан при сохранении финансовой и операционной стабильности отрасли в целом.

Права потребителей

В своей первой рекомендации ЦБ исходит из того, что борьба с мошенничеством по-прежнему крайне актуальна. При этом основным инструментом злоумышленников остается использование социальной инженерии. С ее помощью в 2022 году было совершено более половины мошеннических операций без согласия клиентов.

«Мы считаем, что необходимо совершенствовать механизм возврата похищенных денег, поэтому нам требуется повышать качество функционирования антифрод-процедур, выявлять аномалии в поведении клиентов, отключать электронные средства платежа брокерам, а также ввести в обязанность возвращать клиенту деньги, если банк не выполнил обязательные антифрод-процедуры», — заявил Герман Зубарев.

Предполагается, что в целях повышения скорости реагирования правоохранителей по фактам мошенничества у граждан будет возможность подачи соответствующего заявления с использованием портала госуслуг или онлайн-сервисов банков. Топ-менеджеры кредитных организаций, отвечающие за ИБ, должны нести персональную ответственность за защиту персональной информации клиентов. За нарушения и допущенные утечки данных они будут наказываться вплоть до дисквалификации. Понятно, что без повышения уровня киберграмотности населения движения вперед трудно ожидать.

Безопасное внедрение технологий

Герман Зубарев отметил: «Активное развитие цифровых технологий существенно изменило ожидания потребителей финансовых услуг. В частности, предоставление удаленных сервисов изменило саму бизнес-модель банков, в которой все большее значение приобретает пользовательский опыт. Люди отдают предпочтение простым, быстрым, удобным и безопасным сервисам».

Внедрение новых технологий и сервисов на их основе невозможно без дальнейшего развития регулирования со стороны Банка России. В частности, планируется расширить практику использования экспериментальных правовых режимов и регулятивной песочницы, а также сервисов Open API, ЕБС и других с учетом их собственных моделей угроз. Цель этих и других мер заключается в поиске баланса между защищенностью финансовых технологий и удобством их использования конечными пользователями при обеспечении бесшовной интеграции и удобного клиентского пути.

Ожидается опережающее развитие платежной инфраструктуры, а также цифрового рубля при обеспечении безопасности, доступности и надежности данных сервисов. Платформа цифрового рубля требует развития собственного антифрода, учитывающего специфику этого инструмента. Кроме того, требуется продолжить развитие новых практик идентификации и аутентификации как резидентов, так и зарубежных пользователей платежной системы. Важная задача стоит и в областях электронной подписи для массового сегмента, а также взаимодействия финансовых организаций с органами государственной власти, включая доступ к ГИС.

Все принимаемые решения должны способствовать достижению реального технологического суверенитета с учетом санкционных рисков. Важную роль в этом процессе должен играть отраслевой центр компетенции, определяющий приоритеты в данном вопросе.

Контроль рисков ИБ

Ключевую роль в области исполнения контрольной и регулирующей функций Банка России будут исполнять SupTech- и RegTech-проекты. Один из них заключается в совершенствовании системы внешнего аудита ИБ.

«Мы считаем необходимым внедрить дополнительные правовые механизмы повышения качества оценки соответствия защиты информации, а также формирования требований к достоверности результатов внешнего аудита ИБ. При внедрении системы мониторинга анализа операционных рисков важным направлением станет переход к системному использованию методов мониторинга и продвинутой аналитики с учетом данных об инцидентах ИБ, риск-профилей финансовых организаций и т.д. Хорошо зарекомендовавшие себя практики стресс-тестирований и киберучений необходимо продолжить развивать, как и технологии риск-профилирования», — подчеркнул Герман Зубарев.

Хорошо зарекомендовавшие себя практики стресс-тестирований и киберучений необходимо продолжить развивать, как и технологии риск-профилирования

Банки ожидает процедура интеграции методов обеспечения операционной надежности в практику управления операционным риском. С учетом сложности реализуемых проектов необходимо развивать IT-аутсорсинг. Но при этом требования ИБ должны соблюдать обе стороны, не перекладывая ответственность друг на друга. В рамках помощи в развитии аутсорсинга Банк России сформирует правовые условия  для размещения, хранения и обработки данных облачными провайдерами.