Центробанк: Ни один банк в России не отвечает стандартам кибербезопасности
Проверки Центробанка показывают, что ни один банк в России не выполняет в полном объеме его требования к ИБ-системам. Однако в целом эти системы справляются со своей задачей, в частности, защищая банки от атак глобальных вирусов-шифровальщиков.
Киберзащита в российских банках
Ни один банк в России не отвечает полностью требованиям по кибербезопасности, которые установил Центробанк. Такое заявление сделал директор департамента информационной безопасности Центробанка Артем Сычев на сессии по кибербезопасности Международного финансового конгресса, передает «РИА Новости».
Однако в то же время он отмечает, что недоработки нельзя назвать критическими, и в целом ИБ-системы российских банков организованы «более-менее нормально». «Идеал достижим, но где-то в светлом будущем», — так охарактеризовал Сычев ситуацию. Он также сообщил, что банки подвергаются серьезным проверкам кибербезопасности, по результатам которых и было сделано заключение о состоянии их систем.
Как поясняет Сычев, две масштабные атаки вирусов-шифровальщиков, последовавшие одна за другой по всему миру, никак не отразились на российской банковской системе. И такого результата удалось достичь не потому, что целью этих вирусов не становились российские банки, а потому, что защитные средства и системы этих банков вовремя распознали вирусы и не дали им распространиться дальше.
Департамент информационной безопасности
В феврале 2018 г. в Центробанке было принято решение создать департамент информационной безопасности, формирование которого проходило в мае. Для этого главное управление безопасности и защиты информации банка было разделено на две независимые структуры — департамент информационной безопасности и департамент безопасности.
Базой для формирования ИБ-департамента стал Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ), функционирующий в Центробанке. В целом в 2018 г. банк планирует сделать более интенсивным обмен информацией о кибератаках с российскими финансовыми организациями, который осуществляет ФинЦЕРТ.
Стандарты Центробанка по кибербезопасности
Также в начале мая Центробанк опубликовал проект стандарта обеспечения информационной безопасности финансовых организаций России, который должен нормировать обмен информацией о кибератаках, что сделает предоставляемые банками данные более достоверными. ФСБ рассмотрело данный стандарт на предмет соответствия требованиям к информации, поступающей в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Стандарт предполагает, что ФинЦЕРТ будет обмениваться данными с ГосСОПКА.
Также в марте 2018 г. Центробанком был предложен стандарт оказания ИБ-услуг для финансовых организаций, соблюдение которого является добровольным. В феврале 2018 г. регулятор составил список угроз безопасности при работе с биометрическими данными в госорганах и банках. В ноябре 2017 г. Центробанк предложил публичным компаниям добавить в советы директоров специалистов по ИБ и ИТ.
В сентябре 2017 г. Центробанк ужесточил требования по кибербезопасности кредитных организаций, потребовав от них разработать политику сотрудничества со сторонними компаниями, нанятыми для обеспечения информационной защиты.