Растущий масштаб киберугроз в финансовой сфере вынудил ЦБ пойти на радикальные меры. Стимулировать банки вкладывать средства в информационную безопасность регулятор намерен путем увеличения нагрузки на капитал. Кредитным организациям с высоким уровнем киберриска придется держать буфер по нормативу достаточности капитала в размере 1–3%. Риск-менеджеры банков сохраняют оптимизм и даже поддерживают идею ЦБ. Но аналитики уверены, что далеко не все участники рынка смогут позволить себе подобный буфер, а специалисты по информационной безопасности оценивают меру далеко не однозначно.
С 2019 года высокие киберриски создадут дополнительную нагрузку на капитал банков, следует из заявления начальника управления департамента банковского регулирования ЦБ Михаила Бухтина. По его словам, сейчас разрабатывается проект документа, предусматривающего регулирование киберрисков в капитале банков в рамках внутренних процедур достаточности капитала (ВПОДК). Впервые о необходимости введения требований к достаточности капиталов банков по кибербезопасности ЦБ заявил год назад, а ввести регулирование собирались в третьем квартале 2017 года (см. “Ъ” от 15 февраля 2017 года). Теперь документ планируется опубликовать до 1 июля 2018 года, а с 2020 года банки будут оценивать риски информационной безопасности.
В ходе надзора ЦБ будет выявлять риски информбезопасности и оценивать их по пятибалльной шкале. Оценка «один» или «два» будет означать низкий уровень рисков, от трех и выше — к банку уже могут быть применены требования по досозданию буфера к нормативу достаточности капитала банков, который может составлять 1–3%. Высокие риски будут у банка, который не исполняет требование нормативных документов ЦБ, ГОСТа, или если показатель отношения успешных инцидентов к общему количеству превышает определенное значение.
«Раз в год происходит надзорная оценка ВПОДК, в ее рамках будет оцениваться и уровень системы киберрисков»,— пояснил “Ъ” Михаил Бухтин. При этом банки не будут перегружаться по обязательному нормативу. «Таким образом, даже банк с близким к предельному значением норматива достаточности капитала в случае выявления высоких киберрисков будет продолжать работать в штатном режиме с ограничениями на распределение прибыли без других надзорных санкций»,— подчеркнул господин Бухтин.
Для банков, которые не в состоянии держать буфер в установленном ЦБ размере, на этот период будут введены ограничения. «Например, он не сможет распоряжаться прибылью и выплачивать дивиденды»,— отметил господин Бухтин. Таким образом, регулятор собирается стимулировать акционеров банков вкладывать средства в информзащиту. В отношении санируемых банков ЦБ планирует ввести индивидуальную стратегию управления рисками и капитала. Как отметил Михаил Бухтин, «это будут меры не финансового характера — согласование отчета о выполнении плана об оздоровлении, авторизация каких-то вопросов, мы будем смотреть активность в этой части».
Риск-менеджеров банков инициатива ЦБ только порадовала. «В условиях развития финтеха и перехода банков в онлайн-каналы продаж киберрриски становятся все более значимы»,— отмечает зампред правления «Уралсиба» Наталья Тутова. Однако, добавляет она, важно понимать, как требования реализуют на практике.
У представителей службы безопасности банков мнения разделились. Представители крупных игроков идею скорее поддерживают. «ЦБ нам фактически дает возможность монетизировать страх перед возможной хакерской атакой,— отмечает руководитель службы информационной безопасности крупного банка.— И мы можем показать руководству банка фактически цену информбезопасности, ставя перед выбором — инвестировать в безопасность или же создавать буфер по капиталу».
Совершенно иного мнения придерживаются в небольших кредитных организациях. «Банки сейчас “рисуют” аудит информбезопасности и при подобных нововведениях будут просто скрывать от ЦБ инциденты, чтобы не создавать себе киберриски,— рассуждает руководить службы информбезопасности небольшого банка.— Можно вкладывать миллионы рублей в софт, проводить дорогущие пин-тесты, однако когда один из сотрудников банка откроет фишинговое письмо, то все эти дорогостоящие мероприятия не будут ничего стоить». Впрочем, в ЦБ настроены жестко. «Мы не зря разделяем критическую информацию об инцидентах и экономическую составляющую, к этому добавится еще перепроверка по бухгалтерскому балансу, плюс информационный обмен в рамках FinCERT, что в совокупности не даст возможности банкам утаивать инциденты»,— отмечает заместитель главы главного управления безопасности и защиты информации Банка России Артем Сычев.
Однако банковские аналитики не видят у кредитных организаций достаточного запаса по капиталу. «Буфер по капиталу — это 3% от взвешенных активов по рискам, или около четверти капитала, держать буфер под такие риски смогут далеко не все банки»,— рассуждает начальник отдела валидации «Эксперт РА» Станислав Волков. По данным «Эксперт РА», с учетом надбавок к нормативам, которые уже действуют согласно «Базелю-3», введение дополнительных надбавок по кибербезопасности из топ-20 банков по активам (фактически из топ-15 банков, поскольку пять из них на санации) смогут выполнить не более девяти кредитных организаций, если надбавка составит 1 процентный пункт (п. п.), и только пять кредитных организаций, если надбавка составит 3 п. п. «Ограничение на выплату дивидендов для банков, которые не поддерживают необходимый буфер, снизит и без того невысокую привлекательность инвестиций в банковский сектор»,— резюмировал он.