Кибербезопасность стоит капитала

Если банк не считает правильным и важным для себя заниматься регулированием операционного риска, частью которого являются риски информационной безопасности, то банк должен за это платить», – предупредил замначальника главного управления информационной безопасности и защиты информации Центробанка Артем Сычев. Либо банк занимается безопасностью, либо на величину существующего риска создает резервы или увеличивает капитал, пояснил он. Добавив, что это соответствует подходу Базельского комитета, а вопрос прорабатывается с надзорным блоком ЦБ. Таким образом, для банкиров повышение уровня безопасности обретает конкретную цену.

Однако опрошенные банки отказались оценивать собственные траты в связи с надбавкой. Представители ВТБ и Газпромбанка не стали это комментировать.

«В рамках «Базеля II» у регуляторов есть право при фиксации недостатков управления рисками потребовать большую достаточность капитала», – подтвердил зампред ЦБ Василий Поздышев. Что касается создания резервов, это более сложный вопрос, потому что резервы можно создавать только на идентифицированные риски, рассказал он: «Мы не практикуем подход «создайте несколько миллиардов резервов вообще», я сам не сторонник создания общих резервов, их можно требовать только на каждый конкретный актив или если высока вероятность, что риск реализуется, например, в случае подачи иска к банку».

А подход, связанный с надбавкой на капитал, уже включен во второй компонент «Базеля II», указал Поздышев, для системно значимых банков это начнет действовать с 1 января 2017 г., для остальных ­– с 2018 г. Надбавку на капитал Поздышев считает более простым решением вопроса, чем создание резервов.

Риски, связанные с информбезопасностью, существенные – несколько банкиров рассказывали «Ведомостям», что были случаи, когда банк в результате атаки утрачивал капитал.

Профессионализм киберпреступников растет, пропорционально с ним растут внутренние IT-структуры банков и внешние вендоры придумывают все новые программы, замечает член совета директоров Бинбанка Кирилл Любенцов. «Естественно, требования мы будем выполнять, – подчеркивает он – Но, я считаю, сейчас не то время, чтобы давить банки дополнительной нагрузкой на капитал, да еще и по IT-безопасности». Будет это сделано через резервы или через расчет дополнительной нагрузки на капитал, не принципиально – капитал в любом случае будет уменьшен, добавляет Любенцов. Представитель «Юникредит банка» говорит, что там предпочли бы надбавку.

Для борьбы с мошенничеством Центробанк планирует законодательно обязать все банки проводить антифрод-мониторинг транзакций, рассказал Сычев. В конце 2015 г. банки стали внедрять инновационные сервисы, мошенники их изучили и начали использовать для хищения средств, указывает он, итог – в январе – августе 2016 г. количество несанкционированных операций по переводу средств физлиц составило более 1,6 млрд руб., из них в III квартале – лишь 400 млн руб.

По его данным, у юридических (включая банки) и физических лиц мошенники с начала года пытались похитить 5 млрд руб., из них украдено 2,7 млрд руб. Центр информационной безопасности ФСБ оценивал ущерб банков от заражения вредоносным программным обеспечением автоматизированных рабочих мест в 10 млрд руб. ЦБ ждет всплеска атак на банки к концу года.

Состояние информационной безопасности банков – это переменная, поскольку постоянно появляются новые схемы, говорит руководитель направления противодействия мошенничеству компании SAS по России и СНГ Дмитрий Коновалов.

По его словам, хакеры теперь готовы вкладывать время и ресурсы в подготовку серьезной атаки, которая в результате принесет большую наживу, и мелкое воровство у физлиц уже не так интересно. Масштаб проблемы киберугроз достиг такого уровня, что предлагаются новые, более явные шаги для перехода к конкретным действиям по управлению рисками, резюмирует он.