Российским банкам придется озаботиться внедрением свыше 400 мер информационной безопасности - согласно ГОСТа, разработанного ЦБ. К такому выводу можно прийти, если ознакомиться с окончательной версией документа, действие которого начнется в 2019 году. По словам представителя пресс-службы ЦБ, 329 банков на добровольной основе уже приступили к внедрению нового ГОСТа. По оценкам экспертов, им придется выделить до 15% от чистой прибыли, чтобы перенастроить и усовершенствовать свои системы с учетом требований документа.
ГОСТ разделил все требования к банкам на 8 блоков. Кредитным организациям придется подумать об обеспечении защиты информации во время управления доступом к учетным записям сотрудников, защите своих внутренних программ и автоматизированных систем, контроле целостности техсредств, принятии мер для отражения атак при помощи вредоносных кодов, налаживании управления инцидентами, которые связаны с киберкражами средств. К тому же от банков будет требоваться обеспечение защиты данных, если доступ к учетным записям удаленный.
Если говорить о точечных мерах, банкам, например, также придется подумать о контроле незаблокированных учетных записей уволенных сотрудников, работников, не приходивших в офис более 90 дней, а также внештатно работающих. Также потребуется исключение бесконтрольного изменения пользователями параметров настроек средств и систем информзащиты. Контролировать придется всех лиц, пришедших в офис банка, но при этом не работающих в нем — в том числе через видеонаблюдение. На хранение архивов с видеозаписями отводится не менее 90-дневный срок.
Защищаться от вредоносных программ необходимо как технически, так и через внутренние системы банков, межсетевой трафик, переносные устройства, банкоматы, платежные терминалы. В ГОСТе сказано о необходимости проведения регулярных проверок уровня защиты банка от зловредов. Банкам нужно будет озаботиться и введением запрета на открытие самораспаковывающихся файлов, блокировкой и анализом не разрешенного их системами копирования данных, носящих конфиденциальный характер.
Как сказали представители ЦБ, сегодня более 50% банков — 329 из примерно 600 действующих — добровольно приступили к внедрению ГОСТа.
Как оценивает генеральный директор ИК «Форум» Роман Паршин, банкам нужно будет выделить до 15% от чистой прибыли в пользу внедрения ГОСТа. Банкиры оценили, что стоимость каждого блока комплекса мер составит как минимум 3–5 млн рублей. Как сказал Паршин, на эти деньги банки будут развивать системы безопасности и нанимать сотрудников, уровень навыков которых в сфере кибербезопасности повышен.
ЦБ не считает, что новый комплекс мер избыточен. Если сократить состав мер, это приведет к созданию уязвимостей, которыми смогут воспользоваться злоумышленники для того, чтобы совершать несанкционированные денежные переводы и иные компьютерные атаки.
Как сказал начальник департамента информбезопасности банка ТКБ Петр Курило, рынок давно ждет, когда же требования к банкам по кибербезопасности станут носить обязательный характер. Они однозначно минимизируют риски, связанные с кибератаками. Список требований обширен, но излишних мер в нем нет — ГОСТ сформулировали, приняв во внимание лучшие мировые практики и опыт по инцидентам, подвергшимся тщательному анализу.
По словам руководителя направления аудита информбезопасности финорганизаций компании Digital Security Андрея Гайко, ряд требований ГОСТа относится к техническим настройкам уже существующих в банках защитных механизмов.
По мнению ведущего консультанта по информбезопасности «Инфосистемы Джет» Павла Новожилова, одна из ключевых тем нового ГОСТа сводится к тому, чтобы банки имели сертифицированные средства защиты и прикладное программное обеспечение. Как уверен Новожилов, на то, чтобы реализовать требования по информбезопасности, связанные с сертификацией, банкам придется согласиться с расходованием на это значительных финансовых средств. Впрочем, как считает эксперт, эти траты окупит защита банков от взломов.
Как уже сообщалось ранее, за год произошло снижение объема хищений с банковских карт граждан на 55% (1,7 млрд руб.). Как прогнозирует ЦБ, в текущем году добыча мошенников снизится еще больше, тогда как в целом объем киберкраж с учетом атак на финорганизации составил примерно 4 млрд рублей.
