Рост стоимости киберзащиты

Минюст сообщил о регистрации документе, вводящего для банков ряд новых требований по кибербезопасности. В документе будут прописаны обязательные процедуры, например, по аудиту информбезопасности, пентестам (тесты на возможное проникновение), требованиям к сертификации прошедшего эксплуатацию программного оборудования. Но за выполнение всех требований дорого заплатят не только банки, но и их клиенты. Ключевой вопрос касается сроков запуска оперативного информирования ЦБ о произошедших инцидентах в режиме 24/7 — пока так и не решен.

Рынок давно ждет, когда положение ЦБ 382-П, содержащее определение требований к информзащите при переводах денежных средств, будет дополнено поправками в их финальном виде и пройдет регистрацию в Минюсте. 26-го числа территориальными подразделениями ЦБ этот документ был разослан по банкам.

Документом вводятся новые обязательные требования к информзащите. Так, например, в банках должно применяться программное обеспечение, сертифицированное ФСТЭК. Как сказал консультант по безопасности Cisco Алексей Лукацкий, нередко разработчики программ для банков не воспринимают сертификацию как нечто необходимое к выполнению, в итоге программы могут содержать уязвимости, используемые хакерами. ЦБ не раз говорил с разработчиками об этой проблеме, но влиять на них у регулятор не может, поэтому было решено побудить банки не использовать несертифицированное ПО.

По словам экспертов, мера, аналогичная сертификации сводится к анализу уязвимостей с учетом ГОСТа, что тоже непростая задача, которую могут позволить себе банки, имеющие в своем штате сильных специалистов по информбезопасности. Как считает господин Лукацкий, в результате бальшая часть игроков воспользуется уже готовыми решениями. По словам директораа по методологии и стандартизации Positive Technologies Дмитрия Кузнецова, в прошлом году 68% из прошедших обследование в компании банков воспользовались самописными программами.

Дополнительно банки обяжут ежегодно проводить пентесты, а два раза в год зиниматься внешним аудитом кибербезопасности. Сейчас банки ограничиваются собственными оценками, все остальное носит исключительно добровольную основу.

Для банкови их клиентов важная новация представлена требованием внедрить «раздельные информационно-коммуникационные технологии» при проведении платежей по интернету или через систему «банк—клиент». Сегодня, по словам Лукацкого, в компаниях создание одной и той же платежки происходит на компьютере бухгалтера и с него же осуществляется отправка документа в банк. А новое требование предлагает, что на одном компьютера идет подготовка платежки, а на другом - ее отправка. Иными словами, необходимо реализовать соответствующую технологию, опять же внести изменения в АБС, и в «банк-клиенты», которые установили себе клиенты.

Вступление положения в силу отсрочено до 1 января 2020 года, тем самым банкам и клиентам предоставлено время на подготовку. В случае невозможности выполнения указанного требования банку придется установить для клиента ограничения по максимальной сумме перевода, списку потенциальных получателей средств, временному периоду проведения платежей, а также по перечню устройств, с которых возможна отправка платежей. Таким образом, клиенту не будут угрожать несанкционированные списания. Кроме того, банк может устанавливать ограничения, если клиент сам попросит об этом.

Главная проблема выполнения новых требований — неизбежные и немалые расходы. Кроме того, как сказал глава управления информбезопасности ОТП-банка Сергей Чернокозимский, потребуется коррекция бизнес-процессов и отчетности. Но в ЦБ уверены, что траты не будут слишком большими. Профессиональное сообщество обсуждало экономические последствия от запуска новых требований, и взаимопонимания удалось достичь. Между расходами и моделями бизнеса конкретных банков будут установлены соответствующие пропорции.

Но один из самых важных для рыночных игроков вопросов реформы системы информбезопасности в банковском секторе пока остался не решенным: по срокам реагирования на инциденты. В процессе обсуждения грядущих поправок, регулятор неоднократно говорил о том, что необходимо чрезвычайно оперативно реагировать на инциденты, режим этой работы должен быть 24/7, но пока решение вопроса осталось за рамками документа. Но, как сказал источник, знакомый с позицией ЦБ, регулятор уже приступил к подготовке отдельного документа, и в скором времени мы о нем узнаем.