Безопасность запрограммирована ЦБ

Банк России задумался о комплексном подходе к борьбе с киберугрозами. В итоге была выпущена программа развития информбезопасности до 2021 года. ЦБ не скрывает грандиозных планов: он намерен и обучать студентов, и массово внедрить криптографию, и регулировать роботизацию. По сами участники рынка пока относятся к инициативе регулятора с осторожностью: по мнению одних, идеи ЦБ нереалистичны, по мнению других – неясны или вовсе спорны.

16 сентября ЦБ был опубликован документ под названием «Основные направления развития информбезопасности кредитно-финансовой сферы на период 2019–2021 годов», которыми сразу озадачились участники рынка — в первую очередь их смутила амбициозность задач регулятора.

Как сказали эксперты, львиная доля этой идеи ЦБ так или иначе уже предлагал раньше, но есть и новации. К примеру, планы Банка России связаны с регулированием применения больших данных, также он намерен регулировать искусственный интеллект, роботизацию и интернет вещей в кредитно-финансовой сфере. По мнению бизнес-консультанта по безопасности Cisco Systems Алексея Лукацкого, все это довольно необычно особенно на фоне отсутствия в мире регулирования подобных направлений.

Другой момент, к которому не были готовы эксперты — планы регулятора плотно заняться обработкой данных, используя при этом цифровые технологии. ЦБ пообещал по мере того, как будет выходить новая финансовая технология в течение месяца разрабатывать комплекс новых требований к ней. Это чересчур быстро, и если ЦБ действительно сделает это, то это можно будет считать неслыханным результатом.

Массовым характером применения криптографии на финрынке (инициирует ее ЦБ) - очень насторожены эксперты, так как тут необходимо, чтобы ФСБ действовала активно.

По словам директора FBK CyberSecurity Александра Черненко, существует несколько серьезных правовых и административных барьеров, и позиция ФСБ, как правило, отличается достаточной жесткостью. Можно вспомнить историю, связанную с разработкой ключевых нормативных документов ЦБ по информбезопасности - по ней видно, что ФСБ и Банку России сложно достичь договоренности. По словам Алексея Лукацкого, можно создать искусственный спрос и рост затрат через введение аккредитации аудит-компаний по информбезопасности при условии, что сегодня мегарегулятор имеет таких компаний порядка 20 тыс. Более того, у такого аудитора, наряду с аккредитацией ЦБ должна быть еще и лицензия ФСТЭК.

Смущены участники финрынка и декларируемым в «Основных направлениях» активным участием в развитии программы импортозамещением. По мнению Черненко, существуют не имеющие альтернативы иностранные защитные средства или просто на порядок более качественные, и убедить коммерческие банки, чтобы они работали с отечественным ПО без запрета на зарубежное - задача крайне проблематичная.

Не менее спорна, по мнению экспертов, и инициатива регулятора уделять повышенное внимание образованию специалистов по информбезопасности: и готовить образовательный профстандарт, и выявлять потребности в специалистах,  и проводить аттестацию сотрудников финорганизаций на базе Университета ЦБ. Причем, по задумке регулятора, основы кибербезопасности будут изучаться в ВУЗах и школах. По словам Черненко, логично оставить только аттестацию при ЦБ, при необходимости.

Положение может усугубиться, если будет установлен риск-профиль по каждому игроку, и при этом не будут разделены защитные функции и надзор. По словам главы МФК «Быстроденьги» Андрея Клейменова, для некоторых рыночных участников будет существенной разницей действующая самооценка или же оценка со стороны регулятора. Неясно, по словам Лукацкого, почему к целевому индикатору отнесена доля несанкционированных операций, которые были совершены с использованием платежных карт, и не отнесено число мошеннических операций, в ходе которых использовались те или иные способы перевода денег.

По словам представителей крупных банков, многие пункты из заявленных ЦБ в «Основных направлениях» прежде были озвучены Сбербанком в заявлениях о повышении уровня информбезопасности в стране.