.
.
СЕГОДНЯ:
 
 
.
.
.
Главное
Главная   /   Главное   /   За киберзащиту банков заплатят клиенты
.
03 июля 2018 года 10:40

За киберзащиту банков заплатят клиенты

 0  
DPA/ТАСС
DPA/ТАСС
3 июля. FINMARKET.RU - За реформу информбезопасности кредитных организаций придется расплачиваться банковским клиентам.

Глава комитета АРБ по банковской безопасности Александр Велигура сообщил "Коммерсанту", что ассоциация готовит запрос в ЦБ с просьбой пояснить вступившие в силу с 1 июля поправки к положению о требованиях к информационной безопасности банков (382-П). Проблема оказалась в пункте 2.10.5 документа. Он вводит новое требование - в случае когда кредитная организация не может обеспечить "непосредственный контроль защиты информации от воздействия вредоносного кода" по платежам клиентов, банку необходимо обеспечить раздельные технологии при подготовке платежа клиентом и при его подтверждении.

Эти меры должны позволять в том числе использовать различные программные среды для формирования платежки и подтверждения трансакции, а также сверять реквизиты платежного документа как в момент формирования, так и на этапе подтверждения. Если же применение раздельных технологий невозможно, банкам необходимо установить ограничения по сумме трансакции, перечню получателей, временному периоду совершения трансакций, по устройствам, на которых может быть сформирован платежный документ и какими подтвержден, а также по географии плательщика.

Однако, как отмечают специалисты по информационной безопасности, термин "раздельные технологии" весьма размыт и не до конца ясно, что хотел регулятор.

Например, при проведении платежей через мобильный банк используется всего одно устройство - телефон. Мнения экспертов расходятся, может ли он обеспечить разделение технологий. В частности, широко используемые сейчас SMS/PUSH-коды уже не обеспечивают защиту от хищения денег при переводах.

Эксперты называют некоторые меры, которые могли бы обезопасить работу с мобильным банком. Так, это могут быть какие-то резервные каналы подтверждения операций, например, резервный смартфон для получения СМС- и PUSH-паролей, генератор паролей, звонок в колл-центр, мобильная версия интернет-банка в веб-браузере либо физическое устройство с ЭЦП.

Но на практике любые новации могут вызвать негатив со стороны клиентов банков, поскольку для них использование мобильного банка либо станет дороже (за счет приобретения дополнительного устройства), либо будет занимать больше времени.

Банкиры ждут пояснений от ЦБ - хотя требование о раздельных технологиях и вступает в силу с 1 января 2020 года, им потребуется вносить существенные изменения в программное обеспечение. Однако пока их нет.

Новые правила безопасности

Минюст РФ зарегистрировал документ, вводящий новые требования по кибербезопасности для банков - поправки в положение ЦБ 382-П, в котором определены требования к защите информации при переводах денежных средств.

Документ вводит целый ряд новых обязательных требований к защите информации. Среди них, например, применение в банках программного обеспечения, сертифицированного ФСТЭК.

Аналог сертификации - проведение анализа уязвимостей в соответствии с ГОСТом, что также непросто, и его могут позволить себе лишь банки с сильными специалистами по ИБ, указывают эксперты.

Кроме того, у банков появится обязанность проводить ежегодные пентесты, а дважды в год — внешний аудит кибербезопасности. Сейчас банки могут ограничиваться собственной оценкой, все остальное исключительно добровольно.

Главная проблема, которую видят в выполнении новых требований банки, - рост расходов. В ЦБ, однако, уверены, что расходы не будут чрезмерными. "Экономические последствия введения новых требований обсуждались с профессиональным сообществом, было достигнуто взаимопонимание, - заверили в пресс-службе регулятора. - Расходы будут пропорциональны бизнес-моделям конкретных банков".

Но один из наиболее важных для участников рынка вопросов реформы системы информационной безопасности в банковском секторе так и остался без ответа: не определены сроки реагирования на инциденты. Обсуждая грядущие поправки, регулятор не раз говорил о необходимости чрезвычайно оперативного реагирования на инциденты, работе в режиме 24/7, однако вопрос остался за рамками документа. По словам собеседника “Ъ”, знакомого с позицией ЦБ, регулятор готовит отдельный документ, который появится в ближайшее время.


Опубликовано Финмаркет
 
.
Ключевые слова:    РФ,  банки,  киберзащита,  клиенты

 
Мнение посетителей сайта, оставляющих свои комментарии на новости и статьи, может не совпадать с мнением редакции ИА «Финмаркет», и за содержание комментариев ИА «Финмаркет» ответственности не несет. При этом агентство оставляет за собой право модерировать и удалять любые комментарии посетителей сайта.

ПОДПИСКА НА РАССЫЛКУ АНАЛИТИКИ ФИНМАРКЕТ:

E-mail:     Код:    

.
.