За хакеров ответят капиталом

ЦБ накажет резервами за пренебрежение кибербезопасностью Банки ЦБ намерен обязать банки сообщать в FinCert обо всех хакерских атаках (как удачных, так и неудачных). Стимулировать банкиров будут не штрафами или проверками, а нагрузкой на капитал. Тем, у кого борьба с хакерами устроена недостаточно хорошо, грозят резервы на операционные риски в повышенном размере. Вчера на форуме Finopolis заместитель начальника Главного управления безопасности и защиты информации Банка России Артем Сычев сообщил о мерах, принимаемых ЦБ в целях повышения кибербезопасности в банковской сфере. В частности, регулятором разработан проект документа, который обяжет банки сообщать ЦБ обо всех хакерских атаках. Документ на данный момент находится на регистрации в Минюсте. На сегодняшний день, по словам Артема Сычева, сообщение об атаках -- дело добровольное, и далеко не все банки сообщают об атаках в FinCert. По данным Банка России предотвращенный объем хищений от кибератак на банки составляет 5 млрд руб., потери банков от кибератак за тот же период -- 2 млрд руб. Неуведомление FinCert об атаках скоро перестанет быть для банков безболезненным. "Сейчас вместе с блоком банковского надзора обсуждаются варианты реагирования на неудовлетворительную работу банков по урегулированию операционного риска,-- пояснил "Ъ" Артем Сычев.-- В каком формате и как это будет реализовано, скорее всего, будет понятно где-то в середине следующего года". В свою очередь, зампред ЦБ Василий Поздышев сообщил в рамках форума, что банковские резервы и, соответственно, нагрузка на капитал будут напрямую зависеть от рисков информационной безопасности. "Есть разговор о досоздании резервов, но для того, чтобы принять решение о требовании по досозданию резервов, нужно риск не только идентифицировать, но и оценить. А это серьезная методологическая проблема -- каким образом в каждом конкретном банке оценить риски кибербезопасности",-- отметил он. По словам Артема Сычева, "совершенно точно" можно сказать, что объем риска, связанного с информационной безопасностью, сейчас более или менее понятен: это средний остаток по корреспондентскому счету банка плюс среднедневной приход по корреспондентскому счету. Исходя из этой суммы, имеет смысл делать расчеты по дальнейшим санкциям, применяемым к банкам, пояснил господин Сычев. Кроме того, по словам Василия Поздышева, российские банки с 2018 года, а системно значимые кредитные организации -- с 2017-го будут включать в расчет нормативов достаточности капитала надбавку по рискам информационной безопасности. Участники рынка к предлагаемым нововведениям отнеслись настороженно. "Для нас данная новация -- просто кот в мешке,-- отмечает начальник управления информационной безопасности Златкомбанка Александр Виноградов.-- Очевидно, что ЦБ обновляет положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств". С промежуточными вариантами FinCert знакомил ИТ-специалистов банков, однако итоговый вариант никто не видел, добавляет он. Вероника Горячева, Мария Сарычева