МОСКВА (Рейтер) — Подавляющее большинство российских банков игнорируют требования федерального закона, который призван защитить их от кибератак, считает Федеральная служба по техническому и экспортному контролю (ФСТЭК).
Представитель ФСТЭК Алексей Кубарев сказал в ходе конференции «Информационная безопасность финансовой сферы» в четверг, что кредитно-финансовые организации не очень стремятся исполнять закон «О безопасности критической информационной инфраструктуры (КИИ) РФ».
По его словам, с начала 2018 года, когда вступил в силу данный закон, ФСТЭК получила информацию о 20.524 объектах критической инфраструктуры от 482 организаций. Из них только 6 были банками, в основном из небольших регионов России, которые подали информацию о 47 имеющихся у них объектах критической инфраструктуры.
«Процесс затягивается, так как у представителей банковской сферы очень хорошие юридические службы. Что касается последствий для тех, кто не торопится. Да, безусловно (будут). Как только первый компьютерный инцидент на объекте произойдет, сразу возникнут вопросы о том, почему организация не исполняет федеральный закон. В общем, прокуратура может заинтересоваться и провести соответствующие мероприятия», — сказал Кубарев.
«По законодательству ФСТЭК России может напоминать нерадивым субъектам о том, что пора бы уже все-таки законодательство исполнять. И мы к этой работе тоже будем приступать, учитывая, что скоро год будет с момента вступления в силу закона».
Пакет законов «О безопасности КИИ РФ» предназначен для защиты IT-систем ключевых организаций из различных отраслей от кибератак. К объектам КИИ в документе отнесены сети и информационные системы госорганов, предприятий оборонной промышленности, транспорта, кредитно-финансовой сферы, энергетики, топливной и атомной промышленности и др. Документ касается не только государственных объектов, но и тех, которые находятся в частной собственности.
В рамках закона создается реестр, в котором будут собраны и проранжированы все важные объекты инфраструктуры в зависимости от политической, экономической, экологической и социальной значимости, в том числе выражающейся в оценке ущерба здоровью людей в случае возникновения проблем. Для включения в этот реестр организации должны подать информацию о критически-важных объектах во ФСТЭК.
В дальнейшем, владельцы объектов критической инфраструктуры должны тесно взаимодействовать и обмениваться информацией с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), которая с 2013 года создается ФСБ по поручению Владимира Путина. К примеру, на значимых объектах КИИ будут установлены технические средства ГосСОПКА.
Финансовые организации — одна из наиболее популярных целей для кибератак. По данным ФинЦЕРТа Банка России, в 2017 году было совершено 11 успешных атак на российские банки, в ходе которых было похищено 1,15 миллиарда рублей. Всего за прошлый год организация зафиксировала 240 попыток проведения кибератак.
Крупнейшие госбанки и частные банки РФ — Сбербанк (MCX:SBER), Россельхозбанк, Промсвязьбанк, Альфа-банк, банк Санкт-Петербург и Русский стандарт пока не ответили на просьбу Рейтер прокомментировать передачу данных ФСТЭК. В ответе пресс-службы ВТБ (MCX:VTBR) говорится, что госбанк «работает в соответствии с требованиями регуляторов».
ЦБР ОПАСАЕТСЯ НОВЫХ АТАК
Центробанк намерен обязать банки по-новому рассчитывать операционные риски, с учётом растущих киберрисков, следует из материалов, которые регулятор разместил на сайте.
ЦБР опубликовал новые требования к системе управления рисками для банков и банковских групп с отсылом на решение базельского комитета, который обновил подход к оценке операционных рисков при расчете достаточности капитала.
Документ устанавливает требования к политике банков в сфере информационных технологий и к управлению операционным риском, риском информационной безопасности (включая киберриск) и риском информационных систем, а также — новые требования к капиталу, необходимому для покрытия потерь от реализации операционного риска, в том числе киберриска.
Статистику по таким событиям банкам придется собирать, обобщать и анализировать за период до 5-10 лет, говорится в нем.
Оценивать выполнение новых требований ЦБР собирается с 2020 года.
К этому времени банки должны будут «привести свои системы управления операционным риском, включая базы данных о событиях операционного риска, в соответствие новым требованиям». Пока же ЦБР опубликовал документ для публичного обсуждения.
(Мария Коломыченко, Татьяна Воронова. Редактор Дмитрий Антонов)
sponsoredArticle = ‘div-gpt-ad-1466339494851-0’;