Хакеров учтут в капитале
Потери граждан могут испортить банкам нормативы
Потери клиентов банков от хищений средств, в том числе с использованием социальной инженерии, ЦБ намерен относить к операционным рискам, которые влияют на достаточность капитала. Регулятор будет устанавливать и допустимый уровень этих потерь. В банках пока с осторожностью относятся к подобной новелле, отмечая, что необходимо учитывать профиль клиента, размер потерь, а также размер активов и клиентской базы самой кредитной организации.
Потери клиентов банков от атак хакеров и мошенников, использующих социальную инженерию, ЦБ намерен относить к операционным рискам. Об этом рассказал “Ъ” начальник управления моделирования рисков департамента банковского регулирования ЦБ Михаил Бухтин. «Всегда считалось, что операционный риск — это потери самого банка, однако мы понимаем, что потери от инцидента — не обязательно потери самого банка,— пояснил он.— Клиентские потери мы также будем признавать операционным риском». Ранее на Уральском форуме по информационной безопасности в финансовой сфере зампред ЦБ Василий Поздышев заявил, что в 2020 году регулятор планирует «изменить систему расчета достаточности капитала в части операционных рисков, где значительной составляющей будет киберриск». По его словам, компонента потерь банка (IML) будет отражать качество управления оперрисками и использоваться для расчета достаточности капитала. По информации “Ъ”, не исключено, что в IML будут включаться и клиентские потери. Переход планируется завершить в 2021 году.
В настоящее время, как пояснил Михаил Бухтин, регулятор будет «накапливать статистику, классифицировать клиентские потери, анализировать их и требовать от банков устанавливать лимиты допустимых потерь». В случае превышения установленного лимита ЦБ будет «настаивать, чтобы банк принимал меры», отметил господин Бухтин. Какие именно меры, регулятор не раскрывает.
Согласно последнему отчету ФинЦЕРТ, в 97% случаев потери средств физлиц обусловлены применяемыми мошенниками методами социальной инженерии. По словам Михаила Бухтина, «рост хищений у клиентов с использованием социальной инженерии, когда мошенники выведывают все данные, приводит к росту нагрузки и на государство, на те же правоохранительные органы, которые расследуют данные преступления, судебную систему».
Эксперты весьма настороженно относятся к инициативе ЦБ. «Мне кажется, в этой идее пока больше популизма, нежели реальной возможности повлиять на операционные риски кредитной организации, поскольку у регулятора могут быть изначально нерелевантные данные»,— отметил топ-менеджер банка из первой сотни. Так, недавно представители ФинЦЕРТ отмечали, что если клиент под воздействием социальных инженеров сам совершил операцию, то в отчетность этот случай включается лишь при наличии обращения клиента в банк и в правоохранительные органы. А согласно последнему отчету ФинЦЕРТ, лишь 4% граждан подают такие заявления (или ставят в известность банк). То есть многие случаи хищений просто не учтены.
Кроме того, банкиры отмечают, что крайне важно, чтобы регулятор в своем подходе к оценке лимитов допустимых потерь клиентов не пытался мерить «среднюю температуру по больнице». По мнению директора департамента анализа розничных рисков банка «Открытие» Оксаны Старосельской, банк должен иметь возможность устанавливать потери отдельно по корпоративным клиентам, отдельно по физлицам. По словам директора департамента информационной безопасности Московского кредитного банка Вячеслава Касимова, разделять потери имеет смысл не только в зависимости от профиля клиента, но и делать классификации размеров потерь для каждой группы клиентов.
При этом начальник управления интегрированного риск-менеджмента Райффайзенбанка Сергей Гриб указывает, что важен баланс — есть предел разумной целесообразности, за которым дополнительный сбор характеристик операционного риска лишь усложняет процесс, не принося дополнительной пользы. «В этой связи важно, чтобы регулирование и внутрибанковские процессы не были отягощены излишними требованиями,— отметил он.— Хотя сегментация потерь по клиентам (юридические лица, физические лица, премиальные клиенты) и каналам, в которых совершается мошенничество, имеет большое значение». Эксперт предположил, что ЦБ мог бы ограничить применение мер в адрес отдельных банков, где статистика принципиально и в худшую сторону отличается от отрасли в среднем. Кроме того, по мнению банкиров, лимиты должны быть дифференцированы в зависимости от размера банков и числа клиентов.