ЦБ запрограммировал безопасность

Банк России решил комплексно подойти к борьбе с киберугрозами, выпустив программу развития информационной безопасности до 2021 года. Планы у ЦБ грандиозные: от обучения студентов до массового внедрения криптографии и регулирования роботизации. Однако участники рынка пока воспринимают инициативу регулятора настороженно: одни идеи ЦБ они считают нереалистичными, другие – неясными или спорными.

ЦБ 16 сентября опубликовал «Основные направления развития информационной безопасности кредитно-финансовой сферы на период 2019–2021 годов» (.pdf), которые сразу озадачили участников рынка — в первую очередь амбициозностью поставленных задач.

По словам опрошенных “Ъ” экспертов, большая часть идеи так или иначе уже предлагалась ЦБ, но есть и новые. Например, Банк России планирует регулировать применение больших данных, искусственного интеллекта, роботизации и интернета вещей в кредитно-финансовой сфере. «Это выглядит необычно особенно на фоне того, что в мире подобные направления вообще не регулируются»,— указывает бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий.

Еще один неожиданный для экспертов момент —регулятор планирует вплотную заняться обработкой данных с использованием цифровых технологий. «ЦБ обещает по мере выхода новой финансовой технологии в течение месяца разработать новые требования к ней,— указывает Алексей Лукацкий.— Это очень оперативно, и если ЦБ сможет сделать это, то это будет неслыханный результат».

Массовое применение криптографии на финансовом рынке (инициатива ЦБ) весьма настораживает экспертов, поскольку тут необходимы активные действия со стороны ФСБ.

«Есть серьезные правовые и административные барьеры, позиция ФСБ чаще достаточно жесткая,— указывает директор FBK CyberSecurity Александр Черненко.— Даже история разработки ключевых нормативных документов ЦБ по информбезопасности показывает, что часто ФСБ и Банку России непросто договориться». К созданию искусственного спроса и росту затрат может привести идея введения аккредитации аудиторских организаций по информбезопасности при условии, что у мегарегулятора этих компаний сейчас около 20 тыс., указывает Алексей Лукацкий. Тем более что такой аудитор кроме аккредитации ЦБ должен иметь еще и лицензию ФСТЭК.

Смущает участников финансового рынка и декларируемое в «Основных направлениях» активное участие в развитии программы импортозамещения. «Есть безальтернативные иностранные средства защиты или просто на голову выше по качеству, и те же коммерческие банки убедить перейти на отечественное ПО без запрета на иностранное более чем проблематично»,— указывает Александр Черненко.

Артем Сычев, первый заместитель главы департамента информационной безопасности ЦБ, 12 сентября на XVII Международном банковском: Всегда считалось, что информационная безопасность — такая штука, которую нельзя измерить… Мы считаем, что это не так.

Также спорной эксперты назвали инициативу регулятора вплотную заняться образованием специалистов по информбезопасности: от подготовки образовательного профстандарта и выявления потребности в специалистах до введения аттестации сотрудников финансовых организаций на базе Университета ЦБ. Кроме того, основам кибербезопасности ЦБ планирует учить в вузах и школах. При этом работа над тем же профстандартом ведется давно и непросто. «Логичнее было бы ограничиться аттестацией при ЦБ, если это необходимо»,— отметил Александр Черненко.

Есть и расширение существующих направлений действий. По словам господина Черненко, отмеченная в документе попытка ЦБ получать больше информации от поднадзорных организаций — это и отчетность по хищениям, и расширенные данные по инцидентам, и т. д. «Тут даже без злого умысла нормальной реакцией является "не давать", поскольку есть страх санкций»,— указал эксперт.

Установление риск-профиля по всем игрокам без разделения защитных функций и надзора может лишь усугубить ситуацию. По словам главы МФК «Быстроденьги» Андрея Клейменова, для отдельных участников рынка будет существенной разницей предлагаемая сейчас самостоятельная самооценка или же оценка регулятором. «Не совсем понятно, почему одним из целевых индикаторов является доля несанкционированных операций, совершенных с использованием платежных карт, и не является число мошеннических операций с помощью иных способов перевода денежных средств»,— указал Алексей Лукацкий.

При этом многие собеседники “Ъ” в крупных банках, отметили, что многое из заявленного ЦБ в «Основных направлениях» ранее можно было обнаружить в заявлениях Сбербанка относительно повышения уровня информационной безопасности в России.