ЦБ попросил банки принять «компенсирующие меры» по информационной безопасности
Главный финансовый регулятор России на фоне ухода ряда зарубежных компаний и введения санкций попросил банки принять компенсирующие меры по информационной безопасности.
На соответствующее письмо Центробанка (ЦБ) от 28 марта ссылается издание «Коммерсантъ». Как рассказали изданию в ЦБ, было принято решение пересмотреть порядок применения мер в отношении банков за нарушения, а обращение было разослано для поддержания участников финансового рынка.
Какие именно меры должны быть приняты банками, не уточняется. Сам регулятор сослался на ГОСТ «Безопасность финансовых (банковских) операций». Один из собеседников издания уточнил: у участников рынка нет понимания, какие меры можно считать достаточными. Так, со ссылкой на бывшего работника ЦБ говорится, что компенсирующие меры были прописаны в положении 383-П, действовавшем с 2012 года. Участники финансового рынка пытались их применять, но случаи, когда регулятор считал их достаточными, экс-сотруднику неизвестны.
Есть мнение, что предписание больше касается платежной системы ЦБ и клиентских платежей, включая дистанционное банковское обслуживание и мобильные приложения. Оно также может касаться систем борьбы с финансовым мошенничеством, защиты по сетевому периметру (обнаружение вторжений, антивирусная защита, защита от DDOS-атак, межсетевые экраны). Источник издания считает: к показателям бесперебойной работы Системы быстрых платежей (СБП) или реакции на случаи несанкционированных платежей письмо не относится.
По словам генерального директора компании «Киберполигон» Луки Сафронова, сложность заключается в том, что сейчас отечественные решения есть только для 10% санкционного оборудования крупных банков и 30% небольших. Но конкретные шаги зависят от уязвимостей, которые надо закрыть. Есть предложение писать собственное программное обеспечение под зарубежное железо, перейти на отечественные решения, существенно ограничить внешний контур с выходом в интернет для сотрудников банка и многое другое. Другой эксперт по информационной безопасности Алексей Лукацкий считает, что доказать достаточность компенсирующих мер проверке из ЦБ очень сложно. Призыв к компенсирующим мерам в письме приведет к увеличению работы у специалистов по ИБ. Им придётся доказывать регулятору достаточность принятых мер «на бумаге» в ущерб реальным проблемам.
