Новые требования единого стандарта Центробанка станут обязательными к исполнению с 2019 года.
Банки должны уделять особое внимание безопасности собственных финансовых приложений — интернет- и мобильного банка, корпоративных приложений и внутренних порталов. Это следует из последней версии стандарта по кибербезопасности ЦБ, с которым ознакомились «Известия». Документ обязывает кредитные организации регулярно проводить анализ приложений на наличие уязвимостей или, если они проходили сертификацию Федеральной службы по техническому и экспортному контролю (ФСТЭК), использовать их сертифицированные версии. В пресс-службе регулятора подчеркнули, что это одно из ключевых требований к банкам в рамках нового стандарта. По словам экспертов, должное внимание защите финансовых приложений уделяют немногие кредитные организации и введение единого стандарта позволит снизить уровень кибермошенничества.
Выход нового стандарта по кибербезопасности ЦБ анонсировал на прошлой неделе, не раскрыв его содержания. По словам официальных представителей регулятора, для банков стандарт станет обязательным к исполнению не ранее 2019 года. — После установления в нормативных актах Банка России ссылок об обязательности применения банками стандарта его выполнение будет проверяться ЦБ в ходе проведения инспекций и надзорных мероприятий, — рассказали «Известиям» в пресс-службе регулятора. — Центробанк рассчитывает, что введение стандарта в должной степени будет способствовать существенному снижению киберрисков финансовых организаций — в первую очередь рисков, связанных с несанкционированными переводами денежных средств.
Основной акцент в новом стандарте сделан на защите любых банковских приложений, включая интернет- и мобильный банк, веб-приложения кредитных организаций, а также их корпоративные приложения и внутренние порталы. В ЦБ отметили, что это является одним из ключевых требований к банкам в рамках нового стандарта.
Мер защиты, которые должны будут соблюдать банки, стандарт содержит более десятка. В частности, кредитные организации должны обеспечить шифрование и возможность дистанционного удаления данных. Также, по мнению ЦБ, необходимо проводить и проверку клиентов при входе в интернет- или мобильный банк со смартфона и компьютера (сотрудников финансовых учреждений будут проверять при доступе к корпоративным приложениям и порталам). Если клиент какое-то время был неактивен в приложении, потребуется повторная верификация. Согласно стандарту, банки должны управлять настройками, обновлениями и составом приложений на смартфонах и ПК клиентов и сотрудников, а также информацией, используемой для организации защищенного сетевого взаимодействия. Кроме того, у кредитных организаций должна иметься возможность определения местонахождения смартфона или ПК клиента или сотрудника, регистрации сим-карт.
— ЦБ делает акцент на новом блоке требований, так как это ответ на массовые взломы банковских систем в последнее время, — пояснил «Известиям» замдиректора центра информационной безопасности компании «Инфосистемы джет» Андрей Янкин. — Во многих банках бытует мнение, что ко внутренним системам злоумышленник доступ не получит, поэтому об их безопасности можно не беспокоиться. Эта устаревшая концепция уже стала причиной большого числа взломов, потери от которых измеряются миллиардами рублей. В стандарте перечислен набор базовых мер безопасности. Это некоторый минимум, ниже которого опускаться недопустимо.
Директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов отметил, что на практике защитой своих приложений от компьютерных атак сегодня занимаются немногие банки. По данным Positive Technologies, 71% мобильных банков, 25% интернет-банков и 33% веб-приложений банков имеют уязвимости, позволяющие хакерам получить доступ к финансам клиентов и банков с последующей кражей средств.
По прогнозам экспертов, стандарт поможет снизить объем кибермошенничества. Однако каким будет эффект от его введения на фоне усилий FinCERT (подразделение ЦБ по борьбе с кибермошенничеством), работы ЦБ по отслеживанию и блокировке мошеннических операций и деятельности правоохранителей — специалисты по информационной безопасности оценить затруднились.