От рекомендаций банкам по информационной безопасности ЦБ перешел к однозначным требованиям. Регулятор разработал четкий и обязательный для всех банков регламент кибербезопасности, призванный защитить кредитные организации от хакерских атак. В документе, в частности, вводится обязанность банка в течение трех часов сообщать о готовящейся или свершившейся атаке.
Проект положения "О требованиях к защите информации в платежной системе Банка России" вчера был опубликован на сайте Центробанка. Основная новация: ЦБ установил четкую обязанность банков информировать FinCERT (Центр мониторинга и реагирования на компьютерные атаки в финансовой сфере, подконтрольный Банку России) о выявленных и возможных инцидентах, связанных с нарушением требований к обеспечению защиты информации при переводе средств через платежную систему Банка России, в том числе о несанкционированных переводах денежных средств, то есть о кибератаках. Срок информирования — в течение трех часов с момента инцидента или выявления нарушения доступа к информации. Отправлять сообщения банки обязали на электронную почту fincert@cbr.ru вне зависимости от того, участвует банк в информационном обмене с FinCERT или нет (как ранее сообщал "Ъ", это участие ЦБ оставил на усмотрение банков). Согласно тексту проекта положения, банки должны обеспечить исполнение требований к 30 июня 2017 года. "В свете участившихся угроз мы сочли необходимым разработать и обнародовать документ, регламентирующий требования безопасности для всех участников платежной системы",— сообщил собеседник "Ъ" из ЦБ.
Кроме того, в документе в качестве обязательных для исполнения закреплены еще несколько дней назад бывшие в статусе рекомендаций (см. "Ъ" от 20 июля) четыре основных теперь уже требования. В частности, о том, что к компьютеру, подключенному к платежной системе, не должно быть доступа из локальной сети банка. Или о необходимости постоянного мониторинга происходящего на компьютере, с которого уходят платежи в ЦБ, на предмет несанкционированного вмешательства в программное обеспечение, подключения к сторонним серверам и т. д. В ЦБ пояснили подобное оперативное преображение рекомендаций в требования так: "Мы не настаиванием на выполнении рекомендаций FinCERT в случаях, когда дело касается самого банка. Например, по защите от DDoS-атак,— указывает источник "Ъ" в ЦБ.— Но когда дело касается платежной системы ЦБ, то мы будем требовать соблюдения правил информационной безопасности. И к нарушителям будем применять соответствующие санкции".
Банкиры констатируют: нововведения радикально поменяют правила игры. "Я знаю, что многие банки не сообщали в Банк России о хакерских атаках, когда речь шла не о глобальных суммах,— отметил руководитель отдела информационной безопасности банка из топ-100.— Главная причина — репутационные риски, поскольку в случае утечки информации возможен отток клиентов". Кроме того, банки опасались обвинений со стороны регулятора в несоблюдении информационной безопасности, добавляет он. О схожих ситуациях умалчивания рассказали IT-специалисты и других банков.
Теперь "молчунам" грозит наказание. Как пояснил "Ъ" собеседник в ЦБ, меры могут быть применены довольно строгие, вплоть до отключения от системы банковских электронных срочных платежей (БЭСП) в отдельных случаях. В каких именно, он не уточнил. "ЦБ может применить к банкам, не исполняющим его нормативные акты, ответственность, прямо предусмотренную ст. 74 закона "О Центральном банке",— пояснил начальник юридического управления СДМ-банка Александр Голубев.— Это может быть и штраф до 1% от размера уставного капитала, и ограничение определенных операций, и др.".
В то же время эксперты отмечают, что информирование о хакерских атаках по электронной почте в ряде случаев может быть затруднительно. "Полагаю, что сообщение об атаке должно заверяться электронной подписью,— рассуждает гендиректор Digital Security Илья Медведовский.— Однако нередко при атаке куберпреступников рушится вся автоматизированная система банка и отправка подобного сообщения будет весьма затруднительна". Кроме того, эксперты предположили, что могут появиться киберхулиганы, направляющие в FinCERT сообщения о вымышленных атаках на банки, на которые ЦБ может среагировать неправомерным отключением от БЭСП подвергшегося атаке банка, а это будет уже прямой репутационный и материальный ущерб. По мнению участников рынка, чтобы исключить подобную возможность, нужен четкий регламент действий регулятора и банка на случай нештатной ситуации. В пресс-службе ЦБ сообщили, что четкий порядок действий в случае атаки будет определен "договором информационного обмена" с каждым банком в отдельности.