Банки могут наказать за несерьезное отношение к спам-рассылкам

17 июля. FINMARKET.RU - Российские банки могут быть наказаны за несерьезное отношение к спам-рассылкам с прикрепленными вредоносными программами.

Как рассказали "Коммерсанту" представители кредитных организаций и эксперты, банки могут столкнуться с трудностями в связи с необходимостью направлять информацию в ЦБ обо всех спам-рассылках, содержащих вредоносные программы. Кроме того, банки рискуют подвергнуться наказанию за неполное раскрытие информации перед регулятором.

С 1 июля вступили в силу поправки к положению ЦБ №382-П, уточняющие требования к информационной безопасности участников национальной платежной системы. Теперь они обязаны информировать о компьютерных инцидентах Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России. При этом конкретный перечень инцидентов, подлежащих отчету, в новой редакции документа не определен. Он будет опубликован отдельным документом на сайте ЦБ, однако сроки публикации неизвестны.

В связи с этим участники рынка столкнулись с дилеммой: следует ли сообщать надзорным органам о получении всех вредоносных спам-рассылок или же не следует все из них автоматически относить к разряду компьютерных инцидентов.

А объем ежедневно получаемого каждым банком электронного спама огромен, отмечают участники рынка. И чем крупнее банк, тем больше спам-рассылок он получает, при этом часть таких писем содержит потенциально опасную начинку.

Так, в Сбербанке фиксируют в сутки более 2 тыс. фишинговых писем и более 100 попыток доставки вредоносного ПО, не определяемого на момент проверки антивирусным программным обеспечением.

Пересылка банками всего спама в ФинЦЕРТ создает трудности самому ФинЦЕРТу, "который вынужден будет обрабатывать уже миллионы сообщений". В ЦБ подтвердили, что банки сообщают о спам-рассылках, содержащих вредонос, однако не уточнили, какая доля участников рынка полностью соблюдает это требование.

Вместе с тем участники рынка указывают, что сообщают о спам-рассылках выборочно.

Теоретически неинформирование обо всех случаях получения спам-рассылки, содержащей вредоносы, может быть отнесено к нарушению. Коммерческий банк "несет ответственность в соответствии с федеральным законом о Центральном банке", указывают в пресс-службе регулятора. Однако, по мнению экспертов, определить факт такого нарушения будет достаточно сложно, если банк будет сообщать хоть о каких-то спам-рассылках.