По словам ряда источников, близких к ЦБ, со следующего года банки на ежеквартальной основе будут отправлять в ЦБ отчеты о всех кибератаках, в т.ч. об инцидентах, связанных с маленькими суммами. Эти слова были подтверждены участниками банковского рынка. Регулятор изменил свое решение об установлении минимальной суммы ущерба от кибератак, которая должна быть отражена в банковской отчетности. Хотя ранее на обсуждении был именно этот вариант. Как рассуждает регулятор, не отраженные в отчетах кибератаки на небольшие денежные суммы в дальнейшем могут вызвать большие потери. По мнению экспертов, это правильный ход, и они поддержали новое решение регулятора. По словам экспертов, если в отчетности будут отражаться все кибератаки на какую бы сумму они не были, что будет способствовать воссозданию предельно объективной картины.
С 2013 года все финорганизации обязали каждый месяц сдавать в ЦБ отчеты о проблемах, которые возникли при переводе клиентских денежных средств. Располагая «Сведениями о выявлении инцидентов, связанных с нарушением требований к обеспечению информзащиты при осуществлении переводов денежных средств» Банком России аккумулируется статистика по всем киберпреступлениям. В документации, которая сейчас направляется банками в ЦБ, должны быть отражены все случаи такого рода, например, кража данных карты, когда ее владелец оплачивал счет в ресторане или скимминг (установка злоумышленниками на банкоматы специальных устройств, считывающих нужные данные, которые помогают похитить деньги).
Регулятор получает от финансовых организаций таблицу с отражением в ней самого факта инцидента и способа причинения ущерба, его даты, оператора платежной системы, последствий нарушения, предпринятых действий по его устранению, а также обращение к правоохранительным органам. При отсутствии нарушений во всех графах нужно проставить нули.
Но со следующего года ЦБ форма этой отчетности будет изменена, банки обяжут раскрывать все экономические показатели, имеющие отношение к кибератакам. В результате уже спустя год финорганизации будут осуществлять передачу регулятору только тех сумм, на которые киберворы покушались в отчетный период, объема хищений с клиентских счетов и данные о средствах, которые были возвращены гражданам.
Проводя модернизацию отчетности, регулятор сперва установил минимальную сумму отражаемого в отчете инцидента, — чтобы собрать статистически значимые сведения и снизить затраты банков, связанные с анализом и учетом несущественных инцидентов, но потом все же изменил решение.
Если в отчетах не фиксировать кибератаки на мелкие суммы, это в дальнейшем может вызвать большие потери, и тогда ЦБ решил, что банки будут составлять каждый квартал отчеты обо всех инцидентах, какая бы сумма в них не фигурировала.
Как говорят банкиры, знакомые с ситуацией, предъявление новых требований к банкам начнется в 2018 году. По словам представителя пресс-службы ЦБ, вопросы о новой форме отчетности сейчас прорабатываются.
По словам руководителя аналитического центра Zecurion Владимира Ульянова, при установлении даже небольшого порога попадания инцидентов в отчетность, могут произойти изменения в понимании характера киберугроз. В отчетности важно отразить всю информацию о всех инцидентах, а потом регулятор будет решать, как их обработать и представить. Мелкая сумма — это тоже статистически значимая информация. И общее количество инцидентов, в том числе с маленькими суммами списаний, важно для того, чтобы выявить тенденции и актуальные векторы атак. Имея полную картину по инцидентам, нетрудно убрать из статистики те, которые не попадают под определенные критерии.
Как считает Ульянов, для самих банков необходимость отправлять полную статистику будет необременительной. А наличие существенной разницы как раз сигнализирует о сильном изменении профиля угроз при фильтрации.
По словам заместителя председателя Локо-банка Андрея Люшина, очень часто бывает так, что банки игнорируют небольшие суммы и это часто в итоге вызывало существенное снижение оценки масштабов кибератак, в результате чего банками применялось недостаточно мер, чтобы решить проблему.
По статистике компании FinCERT (подразделение ЦБ по борьбе с кибермошенничеством), в прошлом году со счетов компаний хакерам удалось увести порядка 1,6 млрд рублей. Потери банков - свыше 2 млрд. По мнению руководителя отдела аналитики информбезопасности Positive Technologies Евгения Гнедина, в этом году мы увидим рост количества атак на все финсистемы как минимум на 30%.
