ЦБ усилит контроль за IT-безопасностью банков

29 октября. FINMARKET.RU - Банк России усиливает контроль за устойчивостью кредитных организаций к кибератакам. Проверки защищенности платежной инфраструктуры, которые для банков проводят независимые компании, зачастую оставляют желать лучшего, рассказал "Известиям" замглавы департамента информационной безопасности регулятора Артем Сычев. Поскольку от результатов таких тестов зависит безопасность средств граждан и корпораций, необходимы стандарты и механизмы контроля качества IT-аудиторов. ЦБ разрабатывает их совместно с ФСБ и Федеральной службой по техническому и экспортному контролю (ФСТЭК).

По каким именно критериям будут оценивать уровень проверок, он не уточнил, объяснив, что пока преждевременно говорить о деталях. Близкий к регулятору источник рассказал "Известиям", что одним из основных стандартов для IT-аудиторов будет полноценная имитация кибератаки с привлечением так называемых белых хакеров - специалистов по информационной безопасности, которые обладают аналогичными настоящим взломщикам навыками.

Регулятор обязал банки проводить независимую оценку защищенности своих систем в апреле 2019 года. Согласно документам ЦБ, кредитные организации должны ежегодно тестировать свою платежную инфраструктуру на проникновение (например, приложение для мобильного телефона, беспроводные сети) с помощью внешних независимых компаний. Однако пока нормативной базы для таких проверок нет и каждая кредитная организация руководствуется собственными критериями качества при найме IT-аудиторов.

В России проводить качественные тесты на проникновение в банковскую инфраструктуру могут немногие компании: прежде всего это организации, детально расследующие киберпреступления, пояснил Антон Фишман, руководитель департамента системных решений Group-IB (специализируется на киберзащите). В полноценное тестирование на проникновение входит, в частности, проверка инфраструктуры организации (например, сетей), публичных сервисов, имитация взлома программного обеспечения, проверка готовности персонала банка противостоять социальной инженерии, например фишингу, и так далее, уточнил эксперт.

По данным Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) ЦБ, объем хищений со счетов юридических лиц по итогам 2018 года составил 1,5 млрд рублей. За тот же период с платежных карт было украдено 1,4 млрд. С сентября прошлого года по август 2019-го ФинЦЕРТ выявил 694 нарушения требований к информационной безопасности среди банков, например отсутствие защиты на компьютерах от вредоносных приложений, а также невыполнение требований к идентификации работников.

Дополнительное усиление контроля за устойчивостью банков к кибератакам - только положительный фактор, полагает глава ассоциации "Электронные деньги" Виктор Достов. В условиях регулярных утечек информации из кредитных организаций дополнительный контроль позволит усилить защиту денег россиян.