ЦБ закроет глаза на мелкие кибератаки

   Центробанк установит минимальную сумму ущерба от кибератак, которую банки должны отражать в своей отчетности. Сейчас регулятор пока не определился с размером приемлемого показателя. Об этом "Известиям" рассказал источник, близкий к ЦБ. Информацию подтвердили два участника банковского рынка, знакомых с ситуацией. Нововведение, предназначенное для сбора только статистически важных данных по киберпреступлениям, появится в следующем году вместе с новой формой отчетности, пояснил источник. Эксперты считают нововведение логичным, но опасаются, что незафиксированные в отчетах кибератаки на мелкие суммы могут привести к большим потерям в будущем.
   С 2013 года все финансовые организации ежемесячно сдают в Центробанк отчеты о проблемах, возникших при переводе денег клиентов. С помощью "Сведений о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств" Банк России аккумулирует статистику по киберпреступлениям. В документах, которые банки направляют в ЦБ сейчас, должны фиксироваться все подобные случаи: к примеру, кражи данных пластиковой карты при оплате счета в ресторане или случаи скимминга (когда злоумышленники устанавливают на банкоматы специальные считывающие устройства, а затем похищают деньги).
   Финансовые организации предоставляют ЦБ таблицу, в которой отражены сам факт инцидента со способом нанесения ущерба, его дата, оператор платежной системы, последствия нарушения, предпринятые действия по их устранению, а также факт обращения в правоохранительные органы. Если нарушений нет, во всех соответствующих графах проставляют нули.
   Но с 2018 года ЦБ планирует изменить форму этой отчетности, обязав банки раскрывать экономические показатели, связанные с кибератаками. Таким образом, через год банки будут передавать регулятору только суммы, на которые хакеры покушались в отчетный период, объем хищений со счетов клиентов и информацию о средствах, возвращенных гражданам.
   - Для сбора только статистически значимых данных, а также снижения затрат банков на анализ и учет незначительных инцидентов будет установлена минимальная сумма размера инцидента, отражаемого в отчетности, - пояснил "Известиям" источник, близкий к ЦБ. - В настоящее время регулятор думает над ее размером.
   По словам банкиров, знакомых с ситуацией, регулятор, скорее всего, введет этот показатель в 2018 году.
   - Тогда же будет изменена сама форма отчетности, логично установить минимальную планку вместе с введением новой формы отчетов, - отметили банкиры.
В пресс-службе ЦБ сообщили, что "вопросы, касающиеся новой формы отчетности, находятся в стадии проработки".
   - Введение минимальной суммы вряд ли существенно исказит киберпотери, отражаемые в отчетности, - считает зампред Локо-банка Андрей Люшин.
   Руководитель направления противодействия мошенничеству центра информационной безопасности компании "Инфосистемы джет" Алексей Сизов отметил, что о необходимости введения ограничения свидетельствует банковская практика. Не любой убыток, заявленный клиентом как мошеннический, приводит к проведению детального расследования или опротестованию операции в рамках международной платежной системы.
   - Причина в том, что процедура диспута стоит денег, которые списываются с банка-эмитента, - пояснил Алексей Сизов. - Это без учета расходов на выделение ресурсов для расследования. При таких внутренних затратах банку экономически нецелесообразно проводить его, чтобы опротестовать операцию на $3, дешевле просто возместить убыток клиенту. А если не проводить расследования, то и подавать отчетность в некоторой степени неразумно, поскольку детального анализа причин и корректности заявления клиента не проводилось.
   Но у новации есть и обратная сторона, подчеркнул Алексей Сизов: подобная операция на $3, которая банком будет проигнорирована с точки зрения расследования, может стать фактом, знание о котором могло бы предупредить готовящуюся массовую атаку на банковскую платежную инфраструктуру, процессы или группу клиентов.
   - В связи с новым требованием ЦБ по минимальной сумме кибератаки ряд банков может снизить внимание к таким операциям, а потенциально важная информация не будет предоставлена регулятору, - отметил Алексей Сизов.
   По данным FinCERT (подразделение ЦБ по борьбе с кибермошенничеством), в 2016 году со счетов компаний хакеры увели около 1,6 млрд рублей. Банки же потеряли чуть более 2 млрд. По прогнозам компании "Инфосистемы джет", в 2017 году объем киберпотерь банков может достичь 10 млрд рублей.

Источник: Известия https://iz.ru/648106/anastasiia-alekseevskikh/tcb-ustanovit-minimalnuiu-summu-kiberatak-dlia-otrazheniia-v-otchetnosti

28.09.2017