ЦБ УЖЕСТОЧИТ ТРЕБОВАНИЯ К БАНКАМ ИЗ-ЗА ХАКЕРОВ

Банк России массово проверит, как банки защищены от взлома. Организациям с уязвимыми системами защиты от хакеров придется увеличивать капитал или нести расходы по резервированию этих рисков, настаивают в ЦБ.

Банк России в 2017 году проведет более ста проверок кредитных организаций на предмет качества защиты систем дистанционного банковского обслуживания (ДБО), рассказал заместитель начальника главного управления безопасности и защиты информации ЦБ Артем Сычев в интервью РБК. Регулятор таким образом хочет узнать о реальном состоянии защиты систем мобильного и онлайн-банкинга от взлома, а также о безопасности проведения платежных операций клиентами банков.

«В этом году в тематику традиционных инспекционных проверок кредитных организаций включили вопросы состояния систем защиты информации при совершении платежных операций. Цель проверок — изучение реального состояния в сфере применения банками технологий информационной безопасности», — уточнил Сычев. Первые проверки, по его словам, начались в феврале.

Таким образом, ЦБ перешел от намерений провести тотальные ревизии банков на предмет защищенности от киберугроз, о которых РБК сообщал в декабре прошлого года, к практическим действиям.

В отношении банков, результаты ревизии которых окажутся неудовлетворительными, Банк России намерен принять меры. Сейчас ЦБ рассматривает два варианта: либо потребовать от них увеличить капитал, либо обязать их доначислить резервы на величину существующего операционного риска (в который включен риск мошенничества. — РБК). Резервы планируется обязать формировать в размере среднесуточного остатка по корреспондентскому счету, объяснил Сычев. Какая из этих мер будет принята, пока не решено, ЦБ должен определиться по данному вопросу в середине года.

«Вот и считайте, что для банка будет выгоднее: либо замораживать деньги, либо потратить более разумную сумму все-таки прямо на увеличение защиты денег клиентов», — заключил Сычев.

У ЦБ есть возможность установить индивидуальные надбавки к нормативам (а именно к нормативу достаточности капитала), подчеркивают банкиры. «Регулятор может сделать это в рамках проверки качества банковских систем управления рисками. Если риски недооценены и капитал под них недорезервирован, минимальные требования к достаточности капитала (8%) могут быть повышены. Размер индивидуальных надбавок может составить до 3 п.п. (до 11%)», — поясняет руководитель службы риск-менеджмента банка «Уралсиб» Наталья Тутова.

Опрошенные РБК банкиры с опасением относятся к любому ужесточению требований к капиталу. Комментировать предстоящее ужесточение опрошенные РБК участники рынка согласились только неофициально.

Например, сотрудник IT-департамента банка из топ-30 по размеру активов полагает, что оба варианта можно использовать разве что в качестве наказания за ненадлежащее обеспечение информационной безопасности. «Обсуждаемые меры, скорее всего, проредят банки, вызвав уход с рынка отдельных игроков, — говорит он. — Другим они могут ударить по карману».

Впрочем, некоторые банкиры считают, что у ЦБ есть основания для ужесточений.

В России кибератаки на банки участились еще в 2013 году и это растущий тренд, утверждают эксперты российской компании Group-IB (занимается исследованием киберпреступлений и мошенничеств с использованием высоких технологий. — РБК) в своем исследовании, опубликованном в октябре прошлого года. Если с июля 2014 года по июнь 2015-го хакеры вывели из российских банков 638 млн руб., то с июля 2015 по июнь 2016-го уже 2,5 млрд руб., говорится в исследовании.

По последним данным Банка России (представлены 8 февраля Центром мониторинга и реагирования на кибератаки в финансовой сфере (FinCERT), с октября 2015 года по март 2016-го хакеры похитили у банков 1,3 млрд руб. (хищение еще 1,6 млрд удалось предотвратить, причем 0,6 млрд хакеры пытались похитить с корреспондентских счетов).

По мнению топ-менеджера банка из топ-50, официальная статистика не отражает реальной картины и, чувствуя, что ситуация «в жизни» гораздо хуже, ЦБ решился на ужесточение мер.

ДЛЯ СПРАВКИ (РБК) Статья 272 УК, под которую подпадает хакерская деятельность, предусматривает до семи лет лишения свободы за «неправомерный доступ к охраняемой законом компьютерной информации». Норма применяется сравнительно редко; за первую половину 2016 года по ней были осуждены 57 человек, в том числе у 24 человек это основная статья обвинения, следует из данных судебного департамента Верховного суда. Против 18 человек дела о хакерстве были по разным причинам прекращены судом – например, в связи с раскаянием или применением амнистии.

За весь 2015 год суды приговорили по статье о хакерстве 207 человек; лишение свободы в колонии и штраф получили единицы из них. Еще четверых оправдали, в отношении 67 прекратили дела.

Большинство приговоров ежегодно приходится на взломы с корыстными целями или крупным ущербом (часть 2 статьи 272). Несколько реже наказывают за хакерскую деятельность в составе группы или с использованием служебного положения.

В колонию хакеры попадают в единичных случаях. Чаще всего нарушителей статей УК о компьютерной безопасности (в их число входят, помимо незаконного доступа к информации, распространение вирусов и нарушение правил хранения информации, причинившее крупный ущерб) приговаривали к ограничению свободы, условному лишению свободы или штрафу, следует из данных судебного департамента. Лишь один россиянин в начале 2016 года получил реальный срок по одной из этих статей, и это был срок длительностью до года. Еще в общей сложности 20 человек были освобождены от наказания по амнистии.

В абсолютном большинстве случаев дела о взломах, распространении вирусов или организации утечек слушались в особом порядке. Он подразумевает признание вины, ускоренное рассмотрение дела и сравнительно мягкое наказание - не более двух третей максимального срока или штрафа.