Социальная инженерия идет на спад
ЦБ рассказал, как будет бороться за информационную безопасность
На ежегодном Уральском форуме представители Банка России рассказали о полном исчезновении популярной ранее схемы мошенничества и снижении доли социальной инженерии в хищении средств. При этом они пообещали банкам киберучения и надбавки к капиталу за несоблюдение требований к информационной безопасности.
Фото: Анатолий Жданов, Коммерсантъ
19 февраля первый зампред ЦБ Дмитрий Тулин на Уральском форуме по информационной безопасности финансовой сферы сообщил, что банки, заботящиеся об информационной безопасности, могут сэкономить на надбавках к капиталу.
«Все равно будет предельное значение надбавки к капиталу по операционному риску как определенная доля процента от чистого операционного дохода. Дальше те участники финансового рынка, банки в данном случае, у которых будет меньше инцидентов, связанных с операционным риском, а там самое главное — риски устойчивости, у них будет возможность понизить надбавку»,— отметил топ-менеджер ЦБ (цитата по «Прайм»). При этом он пояснил, что тот, кто лучше управляет риском, в том числе риском информационной безопасности, получит бонус в виде меньшего капитала, который нужно резервировать.
Правда, из слов начальника управления моделирования рисков Банка России Михаила Бухтина можно заключить, что скорее банки с высоким уровнем информбезопасности смогут избежать повышенных коэффициентов риска. «Если у кредитной организации очень много потерь, она пропускает очень много информационных атак, которые приводят к списанию денег через платежные системы, и эти убытки превышают порог, то тогда нашим нормативным регулированием можно предъявить больше требований к капиталу»,— рассказал Михаил Бухтин (цитата по «РИА Новости»).
При этом, как рассказал на форуме первый замдиректора департамента ЦБ по информационной безопасности Артем Сычев, в прошлом году было оштрафовано менее 10% банков, проверенных на соблюдение требований информбезопасности.
В своей презентации он сообщил, что в риск-профиль при проведении киберучений будет включено четыре фактора. В их числе потери, произошедшие в результате киберинцидентов и нарушений операционной надежности, уровень соответствия защиты информации требованиям ЦБ, а также степень управления риском реализации информационных угроз. Как рассказал Артем Сычев в кулуарах форума, «в конце 2019 года мы опробовали эту технологию на нескольких банках, в середине текущего года у нас в планах использование риск-профиля для запуска киберучений на нескольких банках».
Как следует из обзора Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России, общий объем мошеннических операций с банковскими счетами, совершенных без согласия клиента, в 2019 году составил более 6,4 млрд руб. ЦБ зафиксировал более 576,5 тыс. таких операций по счетам как физлиц, так и юрлиц. Средняя сумма одной операции без согласия клиента по счетам физических лиц в 2019 году составила 10 тыс. руб., юрлиц — 152 тыс. руб.
По данным Банка России, в 2019 году на социальную инженерию приходилось 69% мошеннических операций, что заметно меньше данных прошлого года, когда она достигала 97%. «Если теория верна, мы находимся на стадии, когда технология таких хищений отрабатывается и перестает быть интересной ее основным разработчикам. Если к этому добавить еще наши меры, то тогда спад таких хищений будет в конце этого года — начале 2021 года»,— цитирует Артема Сычева ТАСС.
Впрочем, у борцов с мошенничеством уже сегодня есть чем похвастаться. «У нас вообще исчезла из статистики такая категория, как скимминг (кража данных банковской карты при помощи считывающего устройства). Факты, которые мы фиксируем, когда люди говорят, что с их карт что-то списали в банкомате,— это стопроцентное использование карты за рубежом»,— уверен Артем Сычев.