ЦБ "не заметит" мелких кибератак

По словам источника, близкого к ЦБ, Центробанком будет установлена минимальная сумма ущерба от кибератак, которая должна будет отражаться в банковской отчетности. Пока регулятор не определил размер возможного показателя. Эта информация была подтверждена двумя участниками банковского рынка, знакомыми с ситуацией. Появления нововведения, предназначенного для сбора сугубо статистически важной информации по киберпреступлениям, следует ожидать уже в следующем году, когда появится и новая форма отчетности. По мнению экспертов, нововведение логично, но есть опасения, что кибератаки на мелкие суммы, которые не были зафиксированы в отчетах, в дальнейшем станут причиной немалых потерь.

Начиная с 2013 года для всех финансовых организаций действует требование по ежемесячной сдаче в Центробанк отчетов о проблемах, появившихся при переводе денежных средств клиентов. Оперируя "сведениями по выявлению инцидентов, связанных со случаями, когда были нарушены требования к обеспечению защиты данных при осуществлении денежных переводов, Банком России аккумулируется статистика по киберпреступлениям. В документах, сегодня направляемых банками в ЦБ, должны быть зафиксированы все аналогичные случаи: например, кража данных пластиковой карты при оплате счета в каком-нибудь заведении или скимминг.

Со стороны финансовых организаций в ЦБ предоставляется таблица, отражающая:

• факт инцидента и способ нанесения ущерба,
• дата инциндента;
• оператор платежной системы,
• последствия нарушений,
• действия, которые банк предпринял, чтобы их устранить,
• факт обращения к правоохранительным органам. При отсутствии нарушений в графах проставляются нули.

Со следующего года форма этой отчетности будет изменена, ЦБ вменит банкам в обязанность раскрытие экономических показателей, связанных с кибератаками. Так, через год банками будут передаваться регулятору только суммы, на которые были зафиксированы киберпокушения в отчетный период, наряду с объемом хищений с клиентских счетов и информацией о возвращенных гражданам средствах.

Чтобы банки собирали статистически значимые данные, и чтобы снизить их затраты на анализ и учет несущественных случаев кибератак, ЦБ установит минимальную сумму размера инцидента, который должен быть отражен в отчетности. Пока ее размер не определен.

Как говорят банкиры, знакомые с ситуацией, регулятор, введет этот показатель уже в следующем году, когда изменит и форму отчетности, это логичный шаг.

По словам представителя пресс-службы ЦБ, вопросы по новой форме отчетности прорабатываются.

По мнению заместителя председателя Локо-банка Андрея Люшина, запуск минимальной суммы вряд ли приведет к существенному искажению киберпотерь, отражаемых в отчетности.

По словам руководителя направления противодействия мошенничеству центра информбезопасности компании «Инфосистемы джет» Алексея Сизова, вывод о том, что уже давно пора ввести ограничение, можно сделать, наблюдая банковскую практику. Далеко не все убытки, заявленные клиентами как мошеннические, приводят к проведению подробного расследования и далеко не всегда операция опротестовывается. Дело в том, что на спор тоже нужны деньги, и их списывают с банка-эмитента. Это если не учитывать расходы на выделение средств на расследование. Имея такие внутренние затраты, банку в экономическом плане совершенно нецелесообразно начинать расследование для опротестования операции, например, на $3, куда дешевле возместить клиенту этот убыток. А если нет расследования, то и подача отчетности в какой-то степени неразумна, ввиду отсутствия подробного анализа причин и корректности заявления, направленного клиентом. Но новация имеет и обратную сторону: операция на $3, проигнорированная банком в части расследования, может трансформироваться в факт, знание о котором теоретически может предупредить массовую атаку на банковские процессы, клиентов или в целом платежную инфраструктуру. Новое требование ЦБ может привести к снижению в ряде банков внимания к такого рода операциям, а потенциально важную информацию ЦБ так и не получит.

По данным FinCERT, в прошлом году со счетов компаний хакерами было похищено порядка 1,6 млрд рублей. Потери банков немного превысили 2 млрд. Как прогнозируют специалисты компании «Инфосистемы джет», в текущем году объем потерь банков от кибератак может составить сумму в 10 млрд рублей.