Ландшафт киберугроз:
По данным Cybersecurity Ventures, к 2025 году киберпреступность будет стоить компаниям во всем мире примерно $10,5 трлн в год по сравнению с $3 трлн в 2015 году (в 3,5 раза). При среднегодовых темпах роста в 15% киберпреступность станет самой значительной проблемой для финансового сектора в истории.
Согласно исследованию Банка международных расчетов, большинство мировых центральных банков в ответ на рост киберугроз наращивают ИТ-бюджеты. Так, более 60% регуляторов в развитых странах и порядка 50% в развивающихся с 2020 года увеличили бюджет на ИТ-инфраструктуру на 5–20%, еще свыше четверти центробанков развивающихся стран нарастили бюджеты более чем на 20%. В списке их приоритетов – создание и поддержка протоколов безопасности, обеспечение непрерывности бизнес-процессов, обучение персонала и наем новых сотрудников с необходимыми навыками. Дополнительно наращивать бюджеты на кибербезопасность придется в случае введения цифровых валют центральных банков, так как это потребует усложнения и усовершенствования существующей ИТ-инфраструктуры. При этом введение цифрового рубля для среднего российского банка обходится в 100 млн.рублей и основные затраты приходятся по линии ИБ. Стресс-тестирование в области киберрисков хотя еще не стало универсальной практикой, но такие тесты уже проводят 1/3 центробанков в развитых странах и 15% – в развивающихся.
В 2022 году число кибератак на Россию выросло на 80%. Основной целью кибератак был госсектор, специалистам удалось ликвидировать 25 тыс. кибератак на государственные ресурсы. В 2023 году общее число кибератак на российские организации увеличивается и по году этот показатель вырастет на 50%.
Одной из причин роста числа успешных атак на российскую инфраструктуру является нехватка экспертов в области информационной безопасности. МВД России оценило их дефицит в 170 тыс. специалистов. Кадровый дефицит в сфере информационной безопасности обуславливает рост издержек на найм квалифицированных работников.
Важной мерой противодействия мошенничеству является повышение уровня финансовой и киберграмотности. И здесь необходимы совместные усилия.
Социальная инженерия:
По данным Банка России, по итогам 2022 года было совершено почти 900 тыс. операций без согласия клиента на сумму 14,2 млрд руб. (+4,3% к 2021 году). При этом доля социальной инженерии немного выросла с 49,4% до 50,4%. За этот же период доля возмещенных средств снизилась с 6,8% до 4,4%. Средняя сумма одной операции – 15,3 тыс. рублей для физических лиц.
За первое полугодие 2023 года количество операций без согласия составило 532 тыс., объем – 8,2 млрд руб. При сохранении такой динамики во втором полугодии общие цифры за 2023 год превысят показатели прошлого года на 15-20%.
С начала этого года Банк России собирает данные о количестве и объеме предотвращенных банковскими антифрод-системами операций без согласия. За первые полгода это 9,3 млн операций на общую сумму 1,6 трлн руб.
Банк России выявил среднестатистический портрет клиента, наиболее уязвимого для обмана:
- Возраст от 25 до 44 лет.
- Проживает в городе.
- Работающий мужчина со средним уровнем дохода и средним образованием.
- Активно пользуется онлайн-сервисами.
Сценарии мошенников быстро подстраиваются под актуальную повестку: в свои легенды обмана они оперативно интегрировали новости о спецоперации, о санкциях, мерах социальной поддержки населения, помощи военнослужащим и их семьям и т.д.;
Набирают популярность голосовые звонки через мессенджеры. Мошенники вынужденно переходят на этот способ контакта, потому что применять обычную телефонную связь все сложнее. Мобильные операторы обязаны противодействовать мошенническим звонкам, действуют антиспам-сервисы, которые в том числе продвигают и банки. Также в 2022 году Банком России была инициирована блокировка более 750 тыс. номеров, что в четыре с лишним раза превышает данные за предыдущий год.
Для вывода похищенных методами социальной инженерии средств используются карты дропперов. В 2022 году банками было заблокировано свыше 50 тысяч карт дропперов. В целях борьбы с дропперской деятельностью целесообразно рассмотреть вопрос об усилении уголовной ответственности за такое правонарушение, установленной статьей 187 «Неправомерный оборот средств платежей» Уголовного кодекса Российской Федерации. Такая мера снизит привлекательность продажи банковской карты мошенникам для использования ее в качестве дропперской.
Банковское регулирование ИБ:
Основным законом, регулирующим безопасность в банках, является Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе». Он регламентирует проведение антифрод-процедур, приостановку подозрительных операций и взаимодействие с клиентом для их подтверждения.
Главным изменением в банковском законодательстве в части ИБ стало принятие летом этого года Федерального закона «О внесении изменений в Федеральный закон «О национальной платежной системе». Закон направлен на совершенствование механизма противодействия хищению денежных средств и вступит в силу 24 июля 2024 года.
Основные изменения, которые внес Закон в механику противодействия мошенникам: ….
Так же внесен в ГосДуму законопроект CreditLock по самоограничениям на кредит и займ.
Среди подзаконных актов Банка России можно выделить следующие:
- Положение Банка России от 08.04.2020 № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». Регламентирует процессы управления операционным риском, одной из составляющей которого является риск информационной безопасности. Его главный компонент – киберриск – риск преднамеренных действий с целью нарушения или прекращения функционирования информационных систем, информации в них и т.п.
- Положение Банка России от 12.01.2022 № 787-П «Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг». Описывает требования к операционной надежности банков, в частности регламентирует допустимое время простоя, в том числе в результате инцидентов ИБ.
Импортозамещение:
- Уход с российского рынка многих ведущих иностранных поставщиков средств защиты информации и сведений об индикаторах киберугроз (которыми обогащаются антифрод-системы банков) форсировал процессы импортозамещения в отрасли. Был принят Указ Президента № 250, в соответствии с которым с 01.01.2025 банки не смогут использовать средства защиты информации недружественных стран. При этом импортозамещение осложняется отсутствием отечественных аналогов ряда средств защиты информации. Функционал некоторых существующих российских средств защиты существенно уступает их иностранным аналогам.
- В настоящее время координация усилий по достижению технологического суверенитета в финансовом секторе ведется на базе Отраслевого комитета «Финансы» в Банке России, в частности формируются планы перехода на российское программное обеспечение (в том числе средства защиты), организуется тестирование новых отечественных решений.
- В целях ускорения процессов импортозамещения средств защиты информации необходима приоритезация разработки отсутствующих программных продуктов, в том числе за счет государственных мер поддержки со стороны Минцифры России и Минпромторга России.
Аутсорсинг:
- Одним из решений существующих проблем в кибербезопасности (особенно для некрупных банков) может стать передача ряда функционала на аутсорсинг. За счет этого банки смогут снизить издержки на поддержание собственной ИТ-инфраструктуры, получить доступ к самым эффективным средствам защиты, привлечь экспертный опыт высококвалифицированных специалистов по информационной безопасности, решить вопрос с импортозамещением. В этой связи целесообразно ускорить рассмотрение Государственной Думой законодательной инициативы о внесении изменений в отдельные законодательные акты Российской Федерации (в части обеспечения правового регулирования поставщиков услуг аутсорсинга ИТ и облачных услуг).
3 августа 2023 года
