ЦБ заявил о возможности ввода в обозримой перспективе еще одного способа контроля за тем, как в банках соблюдаются требования кибербезопасности — стресс-тестирования. Запланировано включение элементов стресс-тестов в систему управления операционным риском, которая сейчас находится на этапе подготовки. К принятию такого решения подтолкнул, в частности, и международный опыт. Разработкой сценариев централизованного стресс-тестирования займется регулятор, по мнению которого, сегодня - это очень сложная задача. Отношение рынка к инициативе настороженное, игроки полагают, что на многое в конечном счете будет влиять доступность методик и инструментов, а также квалификация организаций, чьи функции дополнят проведением и оценкой результатов стресс-тестов.
В скором времени, по словам заместителя председателя Банка России Василия Поздышева, регуляторам всех стран (включая и российского) предстоит такая задача, как формулировка требований к стресс-тестированию систем банков к киберугрозам. Он отметил, что пока в полной мере это еще никто в мире не реализовал. НО некоторые регуляторы уже предпринимают первые попытки. Так, к примеру, в 2012 году Банком Англии был разработан для банков метод добровольного тестирования. В 2016 году Сингапур реализовал систему оценки киберустойчивости банков, а через два года еврорегулятор предложил банкам Евросоюза обратиться к системе симуляции кибератак. "Ахиллесова пята" таких решений — отсутствие общего подхода - таково мнение Поздышева. Разработать такой обязательный централизованный подход к стресс-тестированию намерен и Банк России.
Запланирована так называемая "вшивка" требований к стресс-тестированию в требования к системе управления операционными рисками: ее как раз сейчас разрабатывают. Эта задача отличается нетривиальностью, потому что даже моделирование единого сценария такого стресс-теста - весьма непростое дело. Как сказал первый заместитель директора департамента информбезопасности Банка России Артем Сычев, по плану процесс будет проходить с привлечением сторонних организаций, систему оценки качества работы которых регулятор обсудит с ФСБ и Федеральной службой по техническому и экспортному контролю.
К настоящему времени в поправки к положению Банка России №382-П уже заложили два важных требования: обязательно внешне оценивать соответствие требований кибербезопасности и ежегодно проводить пентесты. Как сказал один независимый эксперт по кибербезопасности, пентест и стресс-тест отличаются тем, что первый - это способ контролировать возможности несанкционированных проникновений в систему, а второй — проверяет систему на способность продолжать работу в условиях активного противодействия. По словам представителя одного из банков с подразделениями в европейской юрисдикции, в странах Евросоюза пока нет обязанности по проведению стресс-тестов, это делают добровольно, как фреймворки разных ассоциаций. Чаще всего - это долгосрочные расширенные пентесты.
По словам представителей кибериндустрии, дать оценку возможным последствиям реализации новации ЦБ сегодня невозможно: мы располагаем слишком незначительным объемом информации. Тут важно понимать, что именно должно быть подвержено стресс-тестам — система безопасности, бизнес-системы, к которым они применяются, процессы, стоящие над ними или, наконец, ИТ-инфраструктура как таковая. К тому же, вполне возможно, что здесь имеются ввиду так называемые киберучения - ведь это трендовая тема многих юрисдикций. По мнению эксперта RTM Group Евгения Царева, самое важное условие успеха всего мероприятия заключается в том, как регулятор намерен подойти к методикам и инструментарию стресс-тестирования. К примеру, для пентестов, которые уже введены в регулирование, они отсутствуют, в результате очень сложно реализовать требование. Есть и другая проблема, заключающаяся в малом количестве организаций, имеющих необходимую квалификацию, чтобы проводить такого рода оценки. В итоге всё это приводит к массовому игнорированию требований регулятора. Если у рынка и регулятора есть заинтересованность в качественной оценке, важно все нюансы заранее предусмотреть. Тогда новые требования будет исполнены не формально.
