Банкам надлежит особое внимание уделять их же собственным финансовым приложениям — интернет- и мобильному банку, корпоративным приложениям и внутренним порталам, если сказать более точно - их безопасности. Эту рекомендацию содержит последняя версия стандарта по кибербезопасности ЦБ. Документ фактически налагает на кредитные организации обязанность регулярного проведения анализа приложений на предмет наличия уязвимостей или, при прохождении ими сертификации Федеральной службы по техническому и экспортному контролю (ФСТЭК), использования их сертифицированных версий. По словам представителя пресс-службы регулятора, стоит отметить, что это требование относится к ключевым требованиям к банкам с учетом нового стандарта. Как говорят эксперты, должная степень внимания защите финприложений уделяется в немногих банках, а с запуском единого стандарта снизится уровень кибермошенничеств.
Центробанк объявил о том, что вышел новый стандарт по кибербезопасности, на прошлой неделе, но не стал раскрывать его содержание. Как сказали официальные представители регулятора, банкам придется исполнять стандарт в обязательном порядке с 2019 года. После того, как в нормативных актах Банка России будут установлены ссылки об обязательности применения банками стандарта, то, как он выполняется, будет проверять ЦБ проводя инспекции и надзорные мероприятия. Центробанк надеется, что стандарт должным образом поможет существенно снизить киберриски финорганизаций — в первую очередь риски несанкционированных переводов денежных средств.
В стандарте содержится свыше десятка защитных мер, которые должны будут соблюдаться банками. Им придется подумать об обеспечении шифрования и возможности удалять информацию дистанционно. Как уверен ЦБ, важна и проверка клиентов, входящих в интернет- или мобильный банк со смартфонов и компьютеров. Если клиент долго не проявлял активности в приложении, важно проведение повторной верификации.
По словам заместителя директора центра информбезопасности компании «Инфосистемы джет» Андрея Янкина, ЦБ акцентирует внимание на новых требованиях, так как это его ответ на волну массовых взломов банковских систем.
По словам директора по методологии и стандартизации Positive Technologies Дмитрия Кузнецова, на практике сегодня немного банков, которые защищают свои приложения от компьютерных атак.
Как прогнозируют экспертоы, стандарт будет способствовать снижению объема кибермошенничеств, но дать оценку тому, насколько это будет эффективно, специалисты по информбезопасности не смогли.
