Отмена послабления в выполнении требований по информационной безопасности со следующего года может осложнить жизнь небольших профучастников рынка. Затраты на реализацию этих требований сильно выросли в этом году на фоне ухода зарубежных вендоров. Кроме того, финансовые показатели многих игроков оставляют желать лучшего. Эксперты предупреждают, что выполнение требований приведет к увеличению стоимости услуг и перетоку клиентов к крупным игрокам.
Фото: Анатолий Жданов, Коммерсантъ
С 1 января 2023 года прекратят действовать послабления Банка России для некредитных финансовых организаций (НФО) в отношении требований по информационной безопасности и операционной стабильности.
Национальная ассоциация участников фондового рынка (НАУФОР) предлагает сохранить неприменение мер воздействия за нарушение этих требований и в следующем году.
НАУФОР неоднократно обращалась в Банк России с предложением «пересмотреть подход для регулирования информационной безопасности в НФО, сделать его более гибким и пропорциональным», говорит ее глава Алексей Тимофеев. Однако, по его словам, «регулятор пока не готов к этому». В ЦБ не ответили на запрос “Ъ”.
Положение ЦБ «Об установлении обязательных для НФО требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» было принято в апреле 2021 года. Большая часть его положений должна была вступить в силу с 1 января и 1 июля 2022 года. Его положения относятся ГОСТу по кибербезопасности для финсектора (Р 57580). В частности, он требует разграничения доступа к информации, защиты сетей передачи данных, предотвращения утечек, обработку инцидентов, обеспечение антивирусной защиты и др. В этом году ЦБ никого не штрафует за несоблюдение норм.
Внедрение новых стандартов кибербезопасности преследует разумную цель — повысить качество предоставляемого сервиса, в частности, должно сократиться количество случаев неправомерного доступа к клиентской информации и незаконных финансовых операций, указывает начальник казначейства БК «Ингосстрах-Инвестиции» Игорь Кириллов. Однако основная проблема состоит в значительных расходах, на которые придется пойти участникам рынка, указывает главный аналитик «РегБлок» Анна Авакимян, в первую очередь на программное обеспечение. В связи с уходом части иностранных вендоров их продукты требуют импортозамещающих аналогов, которые могу увеличить издержки на 30–60%, полагает эксперт. Рост программной нагрузки требует и аппаратного усиления, в ряде случаев — замены серверов на более мощные. В целом госпожа Авакимян оценивает затраты в десятки миллионов рублей.
Между тем показатели НФО в этом году заметно ухудшились.
По данным ЦБ, в первом—третьем кварталах доля убыточных профучастников составляет около 50%, тогда как в прошлые три года не поднималась выше 36%. Еще у 17–21% НФО рентабельность капитала не превышает 10%. Общее количество профучастников в настоящее время превышает 500 компаний.
Новые стандарты кибербезопасности для профучастников «написаны негибко и на практике требования невыполнимы для небольших организаций», считает управляющий директор «Иволга Капитал» Дмитрий Александров. Таких, по его оценке, на рынке сейчас около 80%. К малым профучастникам относятся компании с небольшим объемом сделок купли-продажи ценных бумаг (до 100 млрд руб. за квартал для брокеров и до 50 млрд руб. за квартал для дилеров), количеством клиентов не более 2 тыс. лиц, небольшим объемом клиентских активов (не более 50 млрд руб. при брокерском обслуживании, до 10 млрд руб. в ДУ).
«Если бы новые требования вводились с рассрочкой на три-пять лет, то более мелкие участники с относительно небольшой клиентской базой могли бы сгладить расходную нагрузку»,— отмечает госпожа Авакимян. Малые профучастники, по мнению господина Кириллова, станут в результате еще менее конкурентоспособными, что может привести к перетоку клиентской базы в пользу крупных участников, а это означает снижение конкуренции на рынке и повышение риска концентрации на крупных профучастниках.