В отчетах для регулятора банки будут фиксировать лишь серьезные взломы систем.
Центробанк установит минимальную сумму ущерба от кибератак, которую банки должны отражать в своей отчетности. Сейчас регулятор пока не определился с размером приемлемого показателя. Об этом «Известиям» рассказал источник, близкий к ЦБ. Информацию подтвердили два участника банковского рынка, знакомых с ситуацией. Нововведение, предназначенное для сбора только статистически важных данных по киберпреступлениям, появится в следующем году вместе с новой формой отчетности, пояснил источник. Эксперты считают нововведение логичным, но опасаются, что незафиксированные в отчетах кибератаки на мелкие суммы могут привести к большим потерям в будущем.
С 2013 года все финансовые организации ежемесячно сдают в Центробанк отчеты о проблемах, возникших при переводе денег клиентов. С помощью «Сведений о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств» Банк России аккумулирует статистику по киберпреступлениям. В документах, которые банки направляют в ЦБ сейчас, должны фиксироваться все подобные случаи: к примеру, кражи данных пластиковой карты при оплате счета в ресторане или случаи скимминга (когда злоумышленники устанавливают на банкоматы специальные считывающие устройства, а затем похищают деньги).
Финансовые организации предоставляют ЦБ таблицу, в которой отражены сам факт инцидента со способом нанесения ущерба, его дата, оператор платежной системы, последствия нарушения, предпринятые действия по их устранению, а также факт обращения в правоохранительные органы. Если нарушений нет, во всех соответствующих графах проставляют нули.
Но с 2018 года ЦБ планирует изменить форму этой отчетности, обязав банки раскрывать экономические показатели, связанные с кибератаками. Таким образом, через год банки будут передавать регулятору только суммы, на которые хакеры покушались в отчетный период, объем хищений со счетов клиентов и информацию о средствах, возвращенных гражданам.
— Для сбора только статистически значимых данных, а также снижения затрат банков на анализ и учет незначительных инцидентов будет установлена минимальная сумма размера инцидента, отражаемого в отчетности, — пояснил «Известиям» источник, близкий к ЦБ. — В настоящее время регулятор думает над ее размером.
По словам банкиров, знакомых с ситуацией, регулятор, скорее всего, введет этот показатель в 2018 году.
— Тогда же будет изменена сама форма отчетности, логично установить минимальную планку вместе с введением новой формы отчетов, — отметили банкиры.
В пресс-службе ЦБ сообщили, что «вопросы, касающиеся новой формы отчетности, находятся в стадии проработки».
— Введение минимальной суммы вряд ли существенно исказит киберпотери, отражаемые в отчетности, — считает зампред Локо-банка Андрей Люшин.
Руководитель направления противодействия мошенничеству центра информационной безопасности компании «Инфосистемы джет» Алексей Сизов отметил, что о необходимости введения ограничения свидетельствует банковская практика. Не любой убыток, заявленный клиентом как мошеннический, приводит к проведению детального расследования или опротестованию операции в рамках международной платежной системы.
— Причина в том, что процедура диспута стоит денег, которые списываются с банка-эмитента, — пояснил Алексей Сизов. — Это без учета расходов на выделение ресурсов для расследования. При таких внутренних затратах банку экономически нецелесообразно проводить его, чтобы опротестовать операцию на $3, дешевле просто возместить убыток клиенту. А если не проводить расследования, то и подавать отчетность в некоторой степени неразумно, поскольку детального анализа причин и корректности заявления клиента не проводилось.
Но у новации есть и обратная сторона, подчеркнул Алексей Сизов: подобная операция на $3, которая банком будет проигнорирована с точки зрения расследования, может стать фактом, знание о котором могло бы предупредить готовящуюся массовую атаку на банковскую платежную инфраструктуру, процессы или группу клиентов.
— В связи с новым требованием ЦБ по минимальной сумме кибератаки ряд банков может снизить внимание к таким операциям, а потенциально важная информация не будет предоставлена регулятору, — отметил Алексей Сизов.
По данным FinCERT (подразделение ЦБ по борьбе с кибермошенничеством), в 2016 году со счетов компаний хакеры увели около 1,6 млрд рублей. Банки же потеряли чуть более 2 млрд. По прогнозам компании «Инфосистемы джет», в 2017 году объем киберпотерь банков может достичь 10 млрд рублей.