АБИСС для финансовых организаций, кредитных и некредитных, провела секцию закрытого типа по вопросам ИБ на площадке «РусКрипто’2021». Конференция, которая проходит каждый год, посвящена важным вопросам ИБ и криптографии. Руководитель отдела проверок надзорного управления ЦБ А. Дудка выступил на конференции с докладом, рассказав о нововведениях в сфере надзора в этих организациях. Первый замдиректора ДИБ ЦБ А. Сычев в последствии дал ответы на поступившие из зала вопросы.
История подходит к концу
В самом начале направление надзора появилось в ДИБ ЦБ в виде отдела проверок. Им в позапрошлом году таких проверок было проведено 171, в прошлом – 87 (на количество повлияла пандемия). В 2020 г. проверки планового характера были вынуждены «заморозить». Приходилось открывать лишь наиболее значимые, которые требовали посещения сотрудниками организации.
На протяжении длительного промежутка времени этого было вполне достаточно. Были конкретные требования и, соответственно, проверка их выполнения. Но дальше так продолжаться уже не может. Необходимость менять систему в ближайшее будущее понимают абсолютно все.
Все банкиры в курсе, что есть банковский стандартный надзор и он включает не только проверки инвестиционной деятельности. Риск-профиль кредитной финансовой организации в нем занимает значимое место. Есть много вариантов построения процесса. В основе наиболее известной методики находится Указание ЦБ от 03.04.2017 г. № 4336-У. Если риск-профиль ухудшается, у банка появляются издержки юридического и экономического характера. Среди прочего ЦБ может перекрыть банку доступ к рефинансированию.
Так уж сложилось, что ИБ всегда была в стороне. ЦБ всегда выдвигал целый комплекс требований, которые требовали периодической проверки. Пока бизнес не стал переживать цифровую трансформацию, всего этого вполне хватало.
А. Дудка сам задал вопрос и дал на него ответ. Он считает, что лидерами рынка банковской деятельности сейчас являются крупные IT-компании, которые постоянно развиваются. Это лишь начальная стадия. В данную сферу уходит вся суть банковских операций. Регулятор считает, что в данный момент источники финансовых рисков переживают трансформацию.
В качестве примера можно назвать реальную историю, когда мошенники из банка украли огромные деньги. Хакеры при помощи программ и оборудования, применяемого в банке, поселились в его IT-инфраструктуре и следили за ним не один месяц. Самое интересное, что у банковских сотрудников не возникло никаких подозрений. Дальше – из банка вывели несколько миллионов руб.
Дудка отметил, что киберпреступники работают на данном этапе более эффективно, нежели регулятор и надзорный орган. Эта тенденция наблюдается везде в мире. В связи с этим не возникает сомнений, что нужно ускориться и для изменений в методике проведения надзора есть не более 1,5-2 лет.
О реформе
Департамент IT на протяжении определенного времени занимается проведением обширного изменения в надзорной деятельности. Осуществляется переход от инспекций к формированию целостного общего надзора. В его основе будет находиться риск-профиль информационной безопасности поднадзорной финансовой организации. В будущем он войдет в риск-профиль анализа экономического состояния и станет оказывать влияние на банковскую экономику.
Представитель Центробанка говорит, что уже сформирован метод его расчета. Публичной данная методика пока не стала. Сейчас она тестируется при помощи нескольких коммерческих финансовых организаций. Сейчас уже стало ясно, что, чтобы риск-профиль был полноценным, его нужно все время актуализировать, чуть ли не в онлайн-режиме. И в этом случае проверок, которые проводит инспекция в 3 года один раз, уже недостаточно.
В результате Центробанк представил мегапроект в данной сфере – создание 2-й надзорной ветви в области информационной безопасности сферы финансов. Консультант подразделения дистанционного наблюдения и надзора В. Тумин, данное подразделение представил на сессии. Дело в том, что целью тех, кто осуществляет проверки в настоящее время, является не выявление определенного числа нарушений, а получение ответа всего на один вопрос, который звучит, как «И что?». Например, в одном из банков проверка нашла всего лишь парочку нарушений, а в другом – более пяти десятков. В итоге получается, что в первом под угрозой гораздо больше средств, чем во втором, несмотря на то, что по документам ситуация совершенно иная.
Как показала большая часть проверок, финансовые организации достаточно хорошо изучили классические требования Центробанка и готовы к их выполнению формально. И именно формально они их выполняют. Банки, действительно заинтересованные в исполнении норм, имеют управление на продвинутом уровне. При осознании того, что цифровизация неизбежна, топ-менеджеры организации и ее владельцы правильно осуществляют управление.
В планах ДИБ организовать проверки, в основе которых будет не сверка с существующими требованиями, а изучение автоматизированных банковских процессов и используемых для этого технологий. Заключение проверок обязано быть о клиентах и деньгах. ЦБ, согласно действующему законодательству, занимается надзором, чтобы защитить интересы вкладчиков банков и кредиторов. Именно они и являются главным объектом для Центробанка. При этом собственники подвергаются финансовому риску.
Несмотря на это, требования ЦБ обязательны и отменять их никто не будет, а значит и проверяться они будут. Это юридический инструмент, без которого не обойтись. В каждой стране с юридической точки зрения общество строиться по-своему. В России и не только действует принцип, согласно которому то, что не запрещается, разрешается. Для того, чтобы кого-то заставить выполнить определенные действия, нужно, чтобы были конкретные требования и, соответственно, запреты. Рекомендации, ГОСТы и другие нормативы именно для данной цели и необходимы.
На основе этой документации новый надзор в сфере ИБ обязан обнаруживать риски и демонстрировать их организации. К тому же, в ликвидации рисков заинтересована непосредственно данная организация. Если же реакция не поступит, будут задействованы определенные инструменты. В связи с этим в составленных во время проверки актах присутствует и запись об обнаруженных нарушениях, и соответствующие рекомендации, в которых указываются места, где присутствуют возможные риски.
Регулятор и его деловые игры
Одной из новинок отдела удаленного надзора в период коронавирусной пандемии и сокращения в связи с этим проверок на выезде являются информационные учения. Они заключаются в стресс-тестировании дистанционного формата, где идет прицел непосредственно на ИБ.
В 2020 г. 22 крупных российских организаций присоединились в добровольном порядке к этой игре. Для банковских исполнителей начало учений всегда было неожиданным. Но руководящий состав банков и начальников их служб кибербезопасности всегда были в курсе. Для регулятора точно также это являлось стресс-тестом.
Шла отработка двух сценариев. Первый заключался в том, что в банк проникала вирусная программа. Нужно было оперативно ее локализовать, а затем заблокировать. При этом последствия должны были быть сведены к минимуму. Второй – это злоумышленник внутри системы, который создает поддельный документ платежа, что приводит к крупному списанию большого количества денег со счетов. Нужно было быстро заблокировать корсчет и каналы информационного обмена между регулятором и банком. Этот стресс-тест проводился и для дежурных ФинЦЕРТ Центробанка. Шла отработка способности выявить среди множества уведомлений о различных инцидентах именно этот и принятия необходимых мер.
В большинстве случаев было получено подтверждение того, что в основном банки акцентируются на угрозах внешнего порядка. Ак внутренним процессам информационной безопасности относятся достаточно халатно. Далеко не всем приходилось бороться с инсайдерами.
В этом году ходят распространить данную практику на семь-восемь десятков банков. Описанные и уже протестированные сценарии применят как для ряда банков, так и для объединений финансового типа. В дальнейшем это будет регулярная составляющая надзора. Насколько такие учения будут проводиться часто, пока решается.
Ответы на возникшие вопросы и заключительные выводы
Ключевой целью проводимых мероприятий является создание в сфере кибербезопасности надзор, в основе которого будет находиться риск-профиль на осознание процессов и характеристик техноучастков. Целью ЦБ не является число нарушений установленных требований, а создание инструмента борьбы и предоставление информации о существующих угрозах и рисках. Если ее проигнорировать, последствия для экономики банка будут отрицательные.
Говорилось и о роли в ходе надзора аудитов внешнего порядка. Так, был задан вопрос о том, может ли ЦБ в ходе проведения надзорных мероприятий переоценить объем работы, проделанной аудиторами.
А. Дудка говорит, что с теоретической точки зрения это вполне возможно в пределах проверяемого периода (на текущий момент он составляет 3 года). В том случае, если аудит будет проводиться ежегодно, то Центробанку придется проверить 3 аудита. Получается, что это двойная работа и аудит вообще не нужен. Поэтому следует подумать о другом формате работы.
Нужно отмечать моменты, где аудиторы допустили ошибку и результат, который в итоге был получен и(последствия). Привязывать все это необходимо к инцидентам, когда клиенты потеряли средства, персональные данные. В Федеральном Законе №86 есть такое определение, как угроза кредиторам и вкладчикам. В сфере кибербезопасности не помешает рассмотреть подобный подход.
Что касается целей идеи самостоятельной оценки банками своей киберустойчивости, то здесь свои комментарии предоставил А. Сычев.
Он отметил, что самооценка является начальным этапом, который нужен, чтобы понять с чего у банка начинается старт. Все остальное, о чем говорилось, проводится далее. В завершение пересчитывается все, из чего состоит риск-профиль. Он показывает возможные потери, отображающиеся на оценке банковской устойчивости. Лучше сразу понимать, что проблемы есть.