МОСКВА (Рейтер) - Подавляющее большинство российских банков игнорируют требования федерального закона, который призван защитить их от кибератак, считает Федеральная служба по техническому и экспортному контролю (ФСТЭК).
Представитель ФСТЭК Алексей Кубарев сказал в ходе конференции "Информационная безопасность финансовой сферы" в четверг, что кредитно-финансовые организации не очень стремятся исполнять закон "О безопасности критической информационной инфраструктуры (КИИ) РФ".
По его словам, с начала 2018 года, когда вступил в силу данный закон, ФСТЭК получила информацию о 20.524 объектах критической инфраструктуры от 482 организаций. Из них только 6 были банками, в основном из небольших регионов России, которые подали информацию о 47 имеющихся у них объектах критической инфраструктуры.
"Процесс затягивается, так как у представителей банковской сферы очень хорошие юридические службы. Что касается последствий для тех, кто не торопится. Да, безусловно (будут). Как только первый компьютерный инцидент на объекте произойдет, сразу возникнут вопросы о том, почему организация не исполняет федеральный закон. В общем, прокуратура может заинтересоваться и провести соответствующие мероприятия", - сказал Кубарев.
"По законодательству ФСТЭК России может напоминать нерадивым субъектам о том, что пора бы уже все-таки законодательство исполнять. И мы к этой работе тоже будем приступать, учитывая, что скоро год будет с момента вступления в силу закона".
Пакет законов "О безопасности КИИ РФ" предназначен для защиты IT-систем ключевых организаций из различных отраслей от кибератак. К объектам КИИ в документе отнесены сети и информационные системы госорганов, предприятий оборонной промышленности, транспорта, кредитно-финансовой сферы, энергетики, топливной и атомной промышленности и др. Документ касается не только государственных объектов, но и тех, которые находятся в частной собственности.
В рамках закона создается реестр, в котором будут собраны и проранжированы все важные объекты инфраструктуры в зависимости от политической, экономической, экологической и социальной значимости, в том числе выражающейся в оценке ущерба здоровью людей в случае возникновения проблем. Для включения в этот реестр организации должны подать информацию о критически-важных объектах во ФСТЭК.
В дальнейшем, владельцы объектов критической инфраструктуры должны тесно взаимодействовать и обмениваться информацией с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), которая с 2013 года создается ФСБ по поручению Владимира Путина. К примеру, на значимых объектах КИИ будут установлены технические средства ГосСОПКА.
Финансовые организации - одна из наиболее популярных целей для кибератак. По данным ФинЦЕРТа Банка России, в 2017 году было совершено 11 успешных атак на российские банки, в ходе которых было похищено 1,15 миллиарда рублей. Всего за прошлый год организация зафиксировала 240 попыток проведения кибератак.
Крупнейшие госбанки и частные банки РФ - Сбербанк (MCX:SBER), Россельхозбанк, Промсвязьбанк, Альфа-банк, банк Санкт-Петербург и Русский стандарт пока не ответили на просьбу Рейтер прокомментировать передачу данных ФСТЭК. В ответе пресс-службы ВТБ (MCX:VTBR) говорится, что госбанк "работает в соответствии с требованиями регуляторов".
ЦБР ОПАСАЕТСЯ НОВЫХ АТАК
Центробанк намерен обязать банки по-новому рассчитывать операционные риски, с учётом растущих киберрисков, следует из материалов, которые регулятор разместил на сайте.
ЦБР опубликовал новые требования к системе управления рисками для банков и банковских групп с отсылом на решение базельского комитета, который обновил подход к оценке операционных рисков при расчете достаточности капитала.
Документ устанавливает требования к политике банков в сфере информационных технологий и к управлению операционным риском, риском информационной безопасности (включая киберриск) и риском информационных систем, а также - новые требования к капиталу, необходимому для покрытия потерь от реализации операционного риска, в том числе киберриска.
Статистику по таким событиям банкам придется собирать, обобщать и анализировать за период до 5-10 лет, говорится в нем.
Оценивать выполнение новых требований ЦБР собирается с 2020 года.
К этому времени банки должны будут "привести свои системы управления операционным риском, включая базы данных о событиях операционного риска, в соответствие новым требованиям". Пока же ЦБР опубликовал документ для публичного обсуждения.
(Мария Коломыченко, Татьяна Воронова. Редактор Дмитрий Антонов)