Ужесточение наказания за распространение персональных данных, повышение финансовой грамотности и более пристальный анализ защищенности банков — таковы основные направления стратегии ЦБ по киберзащите. Они были представлены на Уральском форуме по безопасности финансовой сферы, который проходит в Башкортостане с 18 по 20 февраля. Основными темами стали утечки информации из банков и мошенничества с использованием методов социальной инженерии, бум которых в 2019 году отметили все участники рынка.
Диджитализация сферы
Цифровизация становится решающим моментом в трансформации работы финансовых сервисов, а вместе с этим на первый план выходят киберриски. С этих слов главы ЦБ Эльвиры Набиуллиной начался XII Уральский форум по кибербезопасности. Правда, сама председатель правления Банка России открыла форум не лично, а дистанционно — в видеосообщении. Это еще одна иллюстрация активной диджитализации финансовой сферы, решили в зале.
Зампред Банка России Дмитрий Скобелкин представил стратегию развития информационной безопасности банковской сферы — документ ЦБ, обозначающий направления деятельности на двухлетний период (до конца 2021 года). В нем определены основные тренды в области кибербезопасности кредитной сферы: установка риск-ориентированного подхода, повышение финансовой грамотности и ужесточение законодательства в сфере персональных данных.
Их утечки нужно более жестко регулировать: сотрудники организаций, по вине которых они произошли, должны нести ответственность вплоть до уголовной. Такое мнение выразил Дмитрий Скобелкин при общении с журналистами. Он подчеркнул, что личная информация оказывается в открытом доступе как из-за уязвимостей кредитных организаций, так и вследствие халатного отношения в компаниях из других сфер, где клиенты оставляют свою информацию.
Зампред ЦБ привел пример: когда в салоне связи или в отеле у гражданина сканируют паспорт, он не подписывает согласие на обработку персональных данных. При этом непонятно, кто несет ответственность за их возможную утечку.
— Необходимо упростить работу с правоохранительными органами для противодействия тем субъектам, которые незаконно получают, продают и используют персональные данные. Соответствующие инициативы мы сейчас готовим и в ближайшее время направим в Минкомсвязи и Роскомнадзор, — подчеркнул Дмитрий Скобелкин.
В целом доля несанкционированных переводов в 2019 году составила 0,0023% — то есть 2,3 копейки с каждой тысячи рублей были украдены. Такую статистику представители ЦБ обнародовали на том же форуме. Этот показатель почти в 1,3 раза больше прошлогоднего (в 2018-м он составил 1,8 копейки с каждой тысячи рублей). Это связано с повышением точности выявления мошеннических трансакций, считают в ЦБ.
Наказывать нужно не только тех, кто похищает информацию, но и тех, кто способствует ее распространению: в интернете длительное время существуют ресурсы, торгующие персональными данными, и крайне редко их владельцы привлекаются к ответственности, считает директор департамента информбезопасности банка «Открытие» Владимир Журавлев.
Справка «Известий»Сейчас ресурсы с нелегальной информацией блокируют по решению суда. Ранее в понедельник Роскомнадзор ограничил доступ к теневому форуму, где размещали объявления о продаже личных данных россиян. «Известия» трижды направляли в службу сообщение о том, что на сайте продаются данные, первый раз — в октябре 2019-го. Однако блокировка произошла лишь спустя несколько месяцев. В Роскомнадзоре подчеркнули, что ограничили доступ к сайту сейчас, поскольку соответствующее решение вынес суд.
Обучить и проверить
Нередко клиенты и сами раскрывают телефонным мошенникам часть своих данных, напомнил в своем выступлении замглавы подразделения ЦБ по кибербезопасности ФинЦЕРТ Артем Сычев. Он подчеркнул, что повышение финансовой грамотности россиян — одна из важнейших задач современной финансовой сферы.
Сейчас все знают, что нельзя разговаривать с незнакомцами и сообщать им личную информацию — также россияне должны усвоить, что нельзя называть свои данные и по телефону, а в банк нужно перезванивать, подчеркнул Артем Сычев.
Кроме того, ЦБ планирует ужесточить контроль за безопасностью банковских систем.
— Регулятор собирается сформировать профиль риска и определять операционную надежность и киберустойчивость каждой поднадзорной организации, — подчеркнул Дмитрий Скобелкин.
Он добавил, что также планируется проводить киберучения, чтобы проверить, насколько специалисты по информационной безопасности в банках готовы к атакам.
Банковские безопасники действительно должны не просто ориентироваться на распоряжения регулятора, но смотреть на ситуацию глазами мошенников и хакеров, которые хотят попасть в систему, считает заместитель гендиректора по развитию бизнеса Positive Technologies Борис Симис. На Уральском форуме компания поделилась результатами исследования: в среднем хакеру нужно пять дней, чтобы получить доступ к системе крупного банка из топ-50.
Кроме того, Банк России на Уральском форуме анонсировал два законопроекта: об упрощенной блокировке фишинговых ресурсов, с помощью которых хакеры получают доступ к банковским системам, а также инициативу о взаимодействии кредитных организаций и сотовых операторов в части обмена информации о телефонных номерах, с которых могут звонить мошенники.