Усиление компьютерных атак на организации кредитно-финансовой сферы, ответственность самих банков, а также планы ЦБ по предотвращению подобных преступлений стали главной темой выступления первого зампреда Банка России Георгия Лунтовского на VIII Уральском форуме «Информационная безопасность финансовой сферы», проходящем в Магнитогорске. ИА «Банкир.Ру» приводит его выступление с незначительными сокращениями.

В 2015 году в Банке России создан Центр мониторинга и предупреждения компьютерных атак, осуществляемых в кредитно-финансовой сфере. Проведенный Центром совместно с МВД России анализ правонарушений показал, что в настоящее время основными типами правонарушений являются атаки на информационные ресурсы кредитных организаций с целью вывода их финансовых активов, атаки на IT-инфраструктуру некредитных финансовых организаций и участников торгов путем использования неплатежных торговых инструментов, в том числе торговых терминалов процессинговых центров.

Мы наблюдаем с августа прошлого года значительную активизацию криминалитета.

В IV квартале 2015 года результатом выявленных правонарушений по указанным направлениям явилось хищение денежных средств со счетов клиентов кредитно-финансовых организаций в сумме, превышающей 1,5 млрд руб. Вместе с тем уже в текущем году благодаря совместным усилиям Банка России, МВД и банковского сообщества в рамках организованного Центром мониторинга удалось предотвратить хищений на сумму свыше 500 млн руб. Казалось бы, на общем фоне оборотов банковской системы цифры не так значительны, но, коллеги, мы с августа прошлого года наблюдаем значительную активизацию криминалитета именно в этой области. Естественно, нас тревожит такая ситуация.

Банк России просит не держать в себе информацию об атаках. По неофициальным данным, существует большой зазор между озвученными «показателями» и реальными. Банки стараются не выносить сор из избы, и регулятор узнает далеко не о всех случаях взломов.

Основными целями злоумышленников явилось как непосредственно хищение денежных средств, так и сокрытие следов ранее совершенных незаконных операций. Несмотря на то, что указанные действия носят технический характер и связаны с использованием IT-технологий, они приводят в итоге к появлению значимых финансовых рисков кредитно-финансовых организаций, в том числе и нарушению отношения обязательных нормативов к капиталу. Статистика Банка России показывает, что невнимательное отношение менеджмента кредитных организаций к вопросам обеспечения информационной безопасности, как правило, приводит к значимым финансовым потерям и свидетельствует о незрелости подходов к управлению рисками.

Есть у нас предположение, что кредитные организации используют этот механизм с целью вывода денег из банка.

Таким образом, невнимание к подходам обеспечения информационной безопасности является дополнительным фактором негативного влияния на устойчивость кредитных организаций. Так, за последний квартал 2015 года лицензии лишились три кредитные организации, которые ранее подвергались атакам. Это еще недоказанная информация, но есть у нас предположение, что кредитные организации используют сейчас этот механизм для того, чтобы не только скрыть какие-то предыдущие преступления и свои ошибки, но и просто с целью вывода денег из банка. И это нас очень беспокоит.

Банк России рассматривает следующие основные причины появления рисков и атак на организации кредитно-финансовой сферы.

  • Наличие множественных уязвимостей программного и аппаратного обеспечения автоматизированных систем и приложений.
  • Отсутствие должной реализации процедур контроля соответствия автоматизированных систем и приложений требованиям информационной безопасности.
  • Низкая эффективность мероприятий, проводимых организациями кредитно-финансовой сферы, по внедрению и использованию документов Банка России в области стандартизации и обеспечения информационной безопасности.
  • Отсутствие правовой основы по распространению нормативных требований к обеспечению защиты информации, устанавливаемых Банком России, на все процессы деятельности кредитной организации.
  • Отсутствие должной достоверности контроля выполнения технических требований, как правило, реализуемого в форме самооценки.

К сожалению, на сегодняшний день у нас нет таких полномочий, которые позволили бы нам обязать кредитные организации более внимательно относится к вопросам обеспечения информационной безопасности. Банки, которые пострадали в результате этих атак,— это, как правило, те банки, которые формально приняли стандарты, но фактически ничего не сделали для их реализации. И банки, которые в какой-то мере экономят на вопросах информационной безопасности.

В составе ключевых направлений деятельности по снижению перечисленных рисков Банком России выделяется следующее.

  • Проработка вопроса о законодательном закреплении права Банка России совместно с ФСТЭК (Федеральная служба по технического и экспортному контролю. — Банкир.Ру) и ФСБ России по нормативному регулированию и контролю всех вопросов, связанных с информационной безопасностью в организациях кредитно-финансовой сферы, в том числе в вопросах защиты информации, отнесенной к категории банковской тайны.
  • Законодательное закрепление основ деятельности по реализации системы противодействия хищениям денежных средств системы «Антифрод» и создание такой системы на базе нашего Центра мониторинга.
  • Обеспечение скорейшей разработки и ввода в действие национальных стандартов, регулирующих технические вопросы обеспечения информационной безопасности в организациях кредитно-финансовой сферы.
  • Реализация совместно с ФСБ России и ФСТЭК России системы подтверждения соответствия обеспечения информационной безопасности кредитно-финансовой организации требованиям национальных стандартов.
  • Пересмотр технологических требований, связанных с осуществлением перевода денежных средств, внедрение безопасных технологий, в том числе для участников платежной системы Банка России.
  • Пересмотр технологий контроля со стороны Банка России за соблюдением участниками платежной системы Банка России требований к обеспечению информационной безопасности.
  • Реализация системы надзорных мер, учитывающей результаты контроля информационной безопасности в рамках системы подтверждения соответствия национальным стандартам.

Все указанные направления планируются к детальному обсуждению на нашем форуме. Считаю, что их всестороннее осуждение будет традиционно способствовать определению оптимальных решений, которые в перспективе помогут преодолеть негативные явления, вызванные деятельностью киберпреступников.