Ревизоры ЦБ проверят защиту банков от кибермошенников
Центробанк намерен ввести для банков дополнительные выездные проверки с целью выяснить, как участники рынка выстраивают защиту от нарушений, связанных с переводом денежных средств по разным каналам. Об этом «Известиям» рассказал источник, близкий к Банку России.
«Сейчас банки РФ ежемесячно направляют ЦБ отчеты обо всех инцидентах, связанных с переводом денежных средств клиентов», — поясняет источник. Однако, по его словам, одного анализа документов недостаточно для того, чтобы у ЦБ была достоверная картина происходящего. «Поэтому сейчас обсуждается введение стресс-тестовых проверок для банков с привлечением представителей регулятора. Ревизоры будут проверять наличие в банках обновлений систем информационной безопасности, устраивать ложные кибератаки на системы дистанционного обслуживания банков», — пояснил собеседник издания.
По итогам проверок ревизоры будут анализировать, насколько успешно банки справляются с киберугрозами. Также проверяющие будут выяснять, поступали в кредитные организации жалобы от клиентов, связанные с переводами денег, исследовать, как в дальнейшем велась претензионная работа с пострадавшими.
В результате подобных стресс-тестовых проверок банк может получить предупреждение или предписание об устранении нарушений. Крайняя мера в виде отзыва лицензии возможна, если банк дополнительно уличат в иных нарушениях — например, «антиотмывочного» 115-ФЗ.
С 2013 года все банки РФ ежемесячно сдают ЦБ отчетность по нарушениям, связанным с переводами денежных средств клиентов. Согласно форме отчетности, банки предоставляют ЦБ таблицу с указанием выявленных нарушений при денежных переводах в бумажном виде. В ней указываются: сам факт инцидента, его дата, оператор платежной системы, последствия нарушения (включая сумму ущерба), предпринятые действия по устранению его последствий, а также факт обращения в правоохранительные органы. Если нарушений нет, во всех соответствующих графах проставляются нули. Анализируя отчеты от банков, ЦБ выявляет основные болевые точки банков и платежной системы РФ в целом.
«ЦБ получает большой объем документов, а объем хищений клиентских денег не сокращается», — говорит источник. По его словам, регулятора беспокоят не только многомиллиардные объемы мошенничества , но и латентность этих нарушений. Правоохранительные органы возбуждают уголовные дела только в 1–5% случаев от общего количества преступлений, связанных с хищением клиентских денег.
Источник указал, что в разработке стандартов информационной безопасности активно будет участвовать Центр по борьбе с киберугрозами, созданный при ЦБ (документы о его создании подписаны в мае 2015 года).
В пресс-службе ЦБ заявили, что в рамках проверок регулятора уже инспектируется, в частности, достоверность предоставленной банками отчетности об инцидентах, повлекших потери денег клиентов. «При проведении проверок анализируются как внутренние документы банка, так и оценка качества его практической деятельности в части выявления и реагирования на инциденты функционирования систем и средств защиты. Банк России в рамках надзора на постоянной основе осуществляет контроль деятельности банков при поступлении жалоб клиентов», — уточнили в пресс-службе.
По оценкам исследовательско-консалтинговой компании Group-IB, в прошлом году ущерб от атак на системы интернет-банкинга банков составил 289 млн долларов.
«Сейчас банки РФ ежемесячно направляют ЦБ отчеты обо всех инцидентах, связанных с переводом денежных средств клиентов», — поясняет источник. Однако, по его словам, одного анализа документов недостаточно для того, чтобы у ЦБ была достоверная картина происходящего. «Поэтому сейчас обсуждается введение стресс-тестовых проверок для банков с привлечением представителей регулятора. Ревизоры будут проверять наличие в банках обновлений систем информационной безопасности, устраивать ложные кибератаки на системы дистанционного обслуживания банков», — пояснил собеседник издания.
По итогам проверок ревизоры будут анализировать, насколько успешно банки справляются с киберугрозами. Также проверяющие будут выяснять, поступали в кредитные организации жалобы от клиентов, связанные с переводами денег, исследовать, как в дальнейшем велась претензионная работа с пострадавшими.
В результате подобных стресс-тестовых проверок банк может получить предупреждение или предписание об устранении нарушений. Крайняя мера в виде отзыва лицензии возможна, если банк дополнительно уличат в иных нарушениях — например, «антиотмывочного» 115-ФЗ.
С 2013 года все банки РФ ежемесячно сдают ЦБ отчетность по нарушениям, связанным с переводами денежных средств клиентов. Согласно форме отчетности, банки предоставляют ЦБ таблицу с указанием выявленных нарушений при денежных переводах в бумажном виде. В ней указываются: сам факт инцидента, его дата, оператор платежной системы, последствия нарушения (включая сумму ущерба), предпринятые действия по устранению его последствий, а также факт обращения в правоохранительные органы. Если нарушений нет, во всех соответствующих графах проставляются нули. Анализируя отчеты от банков, ЦБ выявляет основные болевые точки банков и платежной системы РФ в целом.
«ЦБ получает большой объем документов, а объем хищений клиентских денег не сокращается», — говорит источник. По его словам, регулятора беспокоят не только многомиллиардные объемы мошенничества , но и латентность этих нарушений. Правоохранительные органы возбуждают уголовные дела только в 1–5% случаев от общего количества преступлений, связанных с хищением клиентских денег.
Источник указал, что в разработке стандартов информационной безопасности активно будет участвовать Центр по борьбе с киберугрозами, созданный при ЦБ (документы о его создании подписаны в мае 2015 года).
В пресс-службе ЦБ заявили, что в рамках проверок регулятора уже инспектируется, в частности, достоверность предоставленной банками отчетности об инцидентах, повлекших потери денег клиентов. «При проведении проверок анализируются как внутренние документы банка, так и оценка качества его практической деятельности в части выявления и реагирования на инциденты функционирования систем и средств защиты. Банк России в рамках надзора на постоянной основе осуществляет контроль деятельности банков при поступлении жалоб клиентов», — уточнили в пресс-службе.
По оценкам исследовательско-консалтинговой компании Group-IB, в прошлом году ущерб от атак на системы интернет-банкинга банков составил 289 млн долларов.