September 20, 2018 / 1:39 PM / 3 months ago

Служба по техническому контролю РФ обвинила банки в игнорировании закона о защите от кибератак

МОСКВА (Рейтер) - Подавляющее большинство российских банков игнорируют требования федерального закона, который призван защитить их от кибератак, считает Федеральная служба по техническому и экспортному контролю (ФСТЭК).

Надпись "Банкъ" на здании в центре Москвы, 23 апреля 2018 года. REUTERS/Maxim Shemetov

Представитель ФСТЭК Алексей Кубарев сказал в ходе конференции “Информационная безопасность финансовой сферы” в четверг, что кредитно-финансовые организации не очень стремятся исполнять закон “О безопасности критической информационной инфраструктуры (КИИ) РФ”.

По его словам, с начала 2018 года, когда вступил в силу данный закон, ФСТЭК получила информацию о 20.524 объектах критической инфраструктуры от 482 организаций. Из них только 6 были банками, в основном из небольших регионов России, которые подали информацию о 47 имеющихся у них объектах критической инфраструктуры.

“Процесс затягивается, так как у представителей банковской сферы очень хорошие юридические службы. Что касается последствий для тех, кто не торопится. Да, безусловно (будут). Как только первый компьютерный инцидент на объекте произойдет, сразу возникнут вопросы о том, почему организация не исполняет федеральный закон. В общем, прокуратура может заинтересоваться и провести соответствующие мероприятия”, - сказал Кубарев.

“По законодательству ФСТЭК России может напоминать нерадивым субъектам о том, что пора бы уже все-таки законодательство исполнять. И мы к этой работе тоже будем приступать, учитывая, что скоро год будет с момента вступления в силу закона”.

Пакет законов “О безопасности КИИ РФ” предназначен для защиты IT-систем ключевых организаций из различных отраслей от кибератак. К объектам КИИ в документе отнесены сети и информационные системы госорганов, предприятий оборонной промышленности, транспорта, кредитно-финансовой сферы, энергетики, топливной и атомной промышленности и др. Документ касается не только государственных объектов, но и тех, которые находятся в частной собственности.

В рамках закона создается реестр, в котором будут собраны и проранжированы все важные объекты инфраструктуры в зависимости от политической, экономической, экологической и социальной значимости, в том числе выражающейся в оценке ущерба здоровью людей в случае возникновения проблем. Для включения в этот реестр организации должны подать информацию о критически-важных объектах во ФСТЭК.

В дальнейшем, владельцы объектов критической инфраструктуры должны тесно взаимодействовать и обмениваться информацией с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), которая с 2013 года создается ФСБ по поручению Владимира Путина. К примеру, на значимых объектах КИИ будут установлены технические средства ГосСОПКА.

Финансовые организации - одна из наиболее популярных целей для кибератак. По данным ФинЦЕРТа Банка России, в 2017 году было совершено 11 успешных атак на российские банки, в ходе которых было похищено 1,15 миллиарда рублей. Всего за прошлый год организация зафиксировала 240 попыток проведения кибератак.

Крупнейшие госбанки и частные банки РФ - Сбербанк, Россельхозбанк, Промсвязьбанк, Альфа-банк, банк Санкт-Петербург и Русский стандарт пока не ответили на просьбу Рейтер прокомментировать передачу данных ФСТЭК. В ответе пресс-службы ВТБ говорится, что госбанк “работает в соответствии с требованиями регуляторов”.

ЦБР ОПАСАЕТСЯ НОВЫХ АТАК

Центробанк намерен обязать банки по-новому рассчитывать операционные риски, с учётом растущих киберрисков, следует из материалов, которые регулятор разместил на сайте.

ЦБР опубликовал новые требования к системе управления рисками для банков и банковских групп с отсылом на решение базельского комитета, который обновил подход к оценке операционных рисков при расчете достаточности капитала.

Документ устанавливает требования к политике банков в сфере информационных технологий и к управлению операционным риском, риском информационной безопасности (включая киберриск) и риском информационных систем, а также - новые требования к капиталу, необходимому для покрытия потерь от реализации операционного риска, в том числе киберриска.

Статистику по таким событиям банкам придется собирать, обобщать и анализировать за период до 5-10 лет, говорится в нем.

Оценивать выполнение новых требований ЦБР собирается с 2020 года.

К этому времени банки должны будут “привести свои системы управления операционным риском, включая базы данных о событиях операционного риска, в соответствие новым требованиям”. Пока же ЦБР опубликовал документ для публичного обсуждения.

Мария Коломыченко, Татьяна Воронова. Редактор Дмитрий Антонов

0 : 0
  • narrow-browser-and-phone
  • medium-browser-and-portrait-tablet
  • landscape-tablet
  • medium-wide-browser
  • wide-browser-and-larger
  • medium-browser-and-landscape-tablet
  • medium-wide-browser-and-larger
  • above-phone
  • portrait-tablet-and-above
  • above-portrait-tablet
  • landscape-tablet-and-above
  • landscape-tablet-and-medium-wide-browser
  • portrait-tablet-and-below
  • landscape-tablet-and-below