ЦБ ПОТРЕБОВАЛ КИБЕРЗАЩИТЫ

От рекомендаций банкам по информационной безопасности ЦБ перешел к однозначным требованиям. Регулятор разработал четкий и обязательный для всех банков регламент кибербезопасности, призванный защитить кредитные организации от хакерских атак. В документе, в частности, вводится обязанность банка в течение трех часов сообщать о готовящейся или свершившейся атаке.

Проект положения "О требованиях к защите информации в платежной системе Банка России" вчера был опубликован на сайте Центробанка. Основная новация: ЦБ установил четкую обязанность банков информировать FinCERT (Центр мониторинга и реагирования на компьютерные атаки в финансовой сфере, подконтрольный Банку России) о выявленных и возможных инцидентах, связанных с нарушением требований к обеспечению защиты информации при переводе средств через платежную систему Банка России, в том числе о несанкционированных переводах денежных средств, то есть о кибератаках. Срок информирования — в течение трех часов с момента инцидента или выявления нарушения доступа к информации. Отправлять сообщения банки обязали на электронную почту [email protected] вне зависимости от того, участвует банк в информационном обмене с FinCERT или нет (как ранее сообщал "Ъ", это участие ЦБ оставил на усмотрение банков). Согласно тексту проекта положения, банки должны обеспечить исполнение требований к 30 июня 2017 года. "В свете участившихся угроз мы сочли необходимым разработать и обнародовать документ, регламентирующий требования безопасности для всех участников платежной системы",— сообщил собеседник "Ъ" из ЦБ.

Банкиры констатируют: нововведения радикально поменяют правила игры. "Я знаю, что многие банки не сообщали в Банк России о хакерских атаках, когда речь шла не о глобальных суммах,— отметил руководитель отдела информационной безопасности банка из топ-100.— Главная причина — репутационные риски, поскольку в случае утечки информации возможен отток клиентов". Кроме того, банки опасались обвинений со стороны регулятора в несоблюдении информационной безопасности, добавляет он. О схожих ситуациях умалчивания рассказали IT-специалисты и других банков.

Теперь "молчунам" грозит наказание. Как пояснил "Ъ" собеседник в ЦБ, меры могут быть применены довольно строгие, вплоть до отключения от системы банковских электронных срочных платежей (БЭСП) в отдельных случаях

В то же время эксперты отмечают, что информирование о хакерских атаках по электронной почте в ряде случаев может быть затруднительно. "Полагаю, что сообщение об атаке должно заверяться электронной подписью,— рассуждает гендиректор Digital Security Илья Медведовский.— Однако нередко при атаке куберпреступников рушится вся автоматизированная система банка и отправка подобного сообщения будет весьма затруднительна". Кроме того, эксперты предположили, что могут появиться киберхулиганы, направляющие в FinCERT сообщения о вымышленных атаках на банки, на которые ЦБ может среагировать неправомерным отключением от БЭСП подвергшегося атаке банка, а это будет уже прямой репутационный и материальный ущерб. По мнению участников рынка, чтобы исключить подобную возможность, нужен четкий регламент действий регулятора и банка на случай нештатной ситуации. В пресс-службе ЦБ сообщили, что четкий порядок действий в случае атаки будет определен "договором информационного обмена" с каждым банком в отдельности.