Банк России отреагировал на прошлогодние скандалы, вызванные утечками баз данных о банковских заемщиках, и намерен проверить уровень информационной безопасности в банках. Как стало известно Ъ, письма с предупреждением о грядущих проверках ЦБ уже разослал участникам рынка. В ходе ревизии Банк России намерен проверить соблюдение банками стандарта информационной безопасности, построенного на западных аналогах. Банкиры опасаются, что проверки выявят огромные объемы утечки конфиденциальной банковской информации, в первую очередь о корпоративных клиентах.
ЦБ начал рассылать в банки письма с сообщением о намерении проверить выполнение стандарта "Обеспечение информационной безопасности организаций банковской системы РФ", утвержденного распоряжением ЦБ #Р-27 от 26 января 2006 года. В Банке России подтвердили намерение проконтролировать соблюдение банками этих стандартов. Информацию о получении писем от ЦБ Ъ подтвердили в целом ряде банков, в частности в Бинбанке. О таких же письма Ъ сообщили в нескольких аудиторских компаниях, консультирующих банки, а также в ряде IT-компаний. "С вопросами по этому письму ЦБ к нам обращались некоторые из наших банковских клиентов",— сообщил Ъ директор департамента банковского аудита ФБК Алексей Терехов. А директор по маркетингу компании Infowatch Денис Зенкин рассказал Ъ, что в ходе проведения исследования по внутренним IT-угрозам в банковском секторе участники рынка сообщали об ужесточении контроля Банка России за информационной безопасностью. Ранее таких проверок, по словам участников рынка, регулятор не проводил.
Под информационной безопасностью ЦБ понимает систему мер защиты банка от утечки конфиденциальной информации, в первую очередь о клиентах. В стандарте ЦБ по информационной безопасности указывается на то, что наибольшими возможностями для нанесения ущерба банку обладает его собственный персонал, и приводятся конкретные рекомендации по защите от инсайда. В частности, документ регламентирует методики моделирования угроз утечки информации, политику и систему управления информационной безопасностью, требования к программным средствам внутреннего контроля. Однако сейчас эти стандарты ЦБ носят рекомендательный характер и необязательны для исполнения.
Начиная комплексную проверку банков, Банк России среагировал на утечки банковской конфиденциальной информации, участившиеся в последние полгода. С лета 2006 года в продаже на черном рынке стали появляться базы заемщиков--физических лиц (см. Ъ от 16 августа и 12 декабря 2006 года). Источником утечки эксперты и сами банкиры называли службы безопасности банков. По словам руководителя пресс-службы бюро специальных технических мероприятий МВД Ирины Зубаревой, в 80% случаев информация из банка похищается людьми, которые там работают: "Зачастую преступные группы внедряют в банк человека, который является специалистом по взломам IT-систем, и он обеспечивает кражу конфиденциальной информации".
В то же время эксперты в области информационной безопасности говорят, что на практике утечки из банков гораздо значительнее и нелегальные базы данных заемщиков--физических лиц лишь малая их часть. Наибольший интерес для мошенников представляют данные по корпоративным клиентам, а отследить пропажу такой информации гораздо сложнее. "Чаще всего из банков утекает инсайд по корпоративным клиентам, поскольку он гораздо более востребован — например, для получения преимуществ при участии в тендерах,— говорит президент консалтинговой компании в сфере информационной безопасности LETA IT Company Александр Чачава.— Персональным же данным физических лиц сложнее найти применение в мошеннических схемах".
При этом риски банков в случае утечки информации о корпоративных клиентах несопоставимо выше. "Утечка информации о физических лицах может стоить места системному администратору или, максимум, начальнику IT-департамента,— говорит Александр Чачава.— В то время как утечка корпоративной информации чревата потерей клиентов, приносящих банку основной доход, а в крайнем случае — потерей бизнеса".
По сведениям Ъ, к грядущим проверкам Банк России готовится с начала года. В январе ЦБ разработал проект стандарта по аудиту информационной безопасности в банках (СТО БР ИББС-4.0), а также проект методики оценки уровня информационной безопасности в банках на соответствие требованиям стандарта СТО БР ИББС-1.0-2006. Эти документы были представлены для обсуждения в Ассоциацию пользователей стандартов ЦБ по обеспечению информационной безопасности организаций банковской системы РФ. После того как документы будут утверждены, ими будут руководствоваться аудиторы при проверке информационной безопасности в банках и сами сотрудники ЦБ. При этом методика проверки банков содержит перечень показателей информационной безопасности, которые будет изучать ЦБ, а также способы их оценки.
Участников рынка неприятно удивило ужесточение контроля ЦБ над информационной безопасностью в банковском секторе. Несмотря на, казалось бы, прямую заинтересованность банкиров в качественных системах безопасности, ревизионная активность ЦБ вызывает у них резкое отторжение. "Необходимость стандартизировать различные требования информационной безопасности существует,— говорит начальник отдела защиты информации банка "Авангард" Александр Яковенко.— Но эффективность предлагаемого стандарта неочевидна. Поэтому проведение каких-либо проверок на сегодняшний день представляется по меньшей мере преждевременным".
Банкиры уверяют, что полная реализация стандарта потребует серьезных финансовых, временных и трудовых затрат. Требования к информационной безопасности банков изложены мелким шрифтом на 25 страницах инструкции, для соблюдения которой может потребоваться замена автоматизированной банковской системы. "Стандарт переводной и слабо адаптирован к российской действительности,— пояснил Ъ представитель департамента IT-безопасности одного крупного российского банка.— Для его выполнения нужна совершенно иная модель делопроизводства, нежели та, что существует в российских банках. Придется перекраивать весь бизнес".
По утверждению участников рынка, заинтересованность ЦБ этой ситуацией свидетельствует о намерении сделать стандарты информационной безопасности обязательными для исполнения. "Проверка выполнения стандарта ЦБ по информационной безопасности фактически придает ему обязательный характер, а полное выполнение требований этого документа для банков может обернуться высокими затратами",— сообщили Ъ в Промсвязьбанке. Точно оценить их банкиры затруднились, однако, по мнению экспертов в области информационной безопасности, одни лишь затраты на замену нелицензированного софта (а это порядка 80% программного обеспечения банков) для среднего банка только по одному виду бизнеса могут составить сотни тысяч долларов. "К тому же любые требования должны быть адекватны масштабам бизнеса банка, поэтому единые жесткие нормативные требования к банку с несколькими вкладчиками и с десятками тысяч таковых вряд ли можно считать адекватными",--резюмировал Алексей Терехов.