Банк России подвел итог проведенным в конце прошлого года киберучениям и раздал поднадзорным организациям рекомендации по совершенствованию системы отражения угроз информбезопасности (ИБ). Пока тестирование добровольное, и одни банки используют его, чтобы показать регулятору свою надежность, а другие — чтобы проверить свои системы безопасности. Однако ЦБ уже дал понять, что планирует заменить киберучениями прежние проверки ИБ. И когда это произойдет, по мнению экспертов, выявленные нарушения могут заметно ухудшить риск-профиль кредитной организации.
Фото: Дмитрий Духанин, Коммерсантъ / купить фото
Как стало известно “Ъ”, Банк России подвел итоги киберучений, которые прошли в ноябре—декабре прошлого года. По словам представителей нескольких крупных банков, отчеты с результатами учений им пришли из ЦБ уже в этом году. В документах регулятора содержались оценки готовности банков к отражению киберугроз и рекомендации по улучшению процедур реагирования на них. По словам участников рынка, в киберучениях принимали участие два десятка крупнейших банков, а также Московская биржа.
17 банков
было оштрафовано ЦБ по результатам проверок за несоблюдение требований информационной безопасности
Как рассказали “Ъ” в Банке России, в прошедших киберучениях добровольно приняли участие 22 поднадзорные организации. «Мы моделировали несколько актуальных сценариев компьютерных атак в дистанционном режиме. С одной стороны, проверялась возможность противостоять этим атакам подразделений информационной безопасности и информационных технологий банков, с другой — наша готовность оперативно взаимодействовать и устранять возникшие проблемы»,— пояснили в ЦБ. По результатам киберучений регулятор дал участникам рекомендации по улучшению систем ИБ.
По словам директора департамента информационной безопасности МКБ Вячеслава Касимова, в ходе учений отрабатывались различные ситуации реагирования на инциденты и тестировались процедуры взаимодействия с Банком России. «Акцент был сделан на вопросах предупреждения хищений денежных средств с корсчетов банков и вирусные атаки, а также на максимально быстром реагировании подразделений информационной безопасности и качестве взаимодействия с ФинЦЕРТ Банка России»,— пояснил он.
Однако пользу от киберучений каждый банк оценивает по-своему.
«Нам было важно проверить себя, узнав мнение регулятора и проверив процедуры реагирования»,— отметил Вячеслав Касимов. По словам директора департамента информационной безопасности Росбанка Михаила Иванова, «участие в киберучениях — это в первую очередь возможность продемонстрировать регулятору свою надежность». В Совкомбанке также на первый план поставили демонстрацию регулятору своей надежности, но добавили к этому и проведение проверки собственных процедур реагирования. Директор по безопасности Почта-банка Станислав Павлунин отметил, что учения позволили оценить эффективность работы внедренных средств защиты и процессов реагирования на возможные кибератаки.
До последнего времени Банк России делал основные выводы о готовности банков к отражению киберугроз на основании проверок. Проверки Банка России нацелены на соблюдение банками установленных требований и позволяют определить, правильно ли с точки зрения кибербезопасности спроектирована и реализована их инфраструктура. Как поясняет руководитель департамента кибербезопасности Альфа-банка Виталий Задорожный, «они проверяют уровень кибергигиены в организации, но не позволяют определить, насколько эффективно будет действовать банк, будучи атакованным». Регулярные киберучения, по его мнению, позволяют оценить реакцию банка на кибератаки и отладить взаимодействие с ФинЦЕРТ. Они также дают «реальную возможность координировать развитие кибербезопасности в банках в масштабах страны»,— уверен господин Задорожный.
Выступая в начале недели в Госдуме, первый заместитель директора департамента информбезопасности ЦБ Артем Сычев назвал киберучения более совершенной формой надзора по сравнению с проверками: они позволяют быстрее выявлять риски финансовых организаций.
При этом Банком России по результатам проверок за несоблюдение требований ИБ в последнее время было оштрафовано 17 банков. Как рассказали “Ъ” участники рынка, среди проштрафившихся были самые разные по размеру кредитные организации, и нарушения также были «разношерстными». «Нарушением, которое выявляет регулятор в ходе проверки, может оказаться как серьезная "дыра" в периметре информбезопасности, так и ошибка в заполнении журнала учета — порой достаточно, чтобы в процессе его заполнения использовались разные ручки»,— отметил собеседник “Ъ”.
При этом последствия для проверяемых с новым подходом ЦБ ужесточаются. Если по итогам проверок выписывается штраф, то по результатам киберучений Банк России потенциально может ухудшить риск-профиль кредитной организации, указывают банкиры. А это может означать отнесение банка к худшей группе риска, что, в свою очередь, может оказать влияние на уровень резервов, которые ему придется создавать. По сведениям “Ъ”, в этом году также планируется провести киберучения, но уже с большим количеством банков и прочих поднадзорных ЦБ организаций.