Статья опубликована в № 4182 от 14.10.2016 под заголовком: Защищайся или плати

Кибербезопасность стоит капитала

Центробанк попросит системно значимые и уязвимые банки увеличить капитал

Если банк не считает правильным и важным для себя заниматься регулированием операционного риска, частью которого являются риски информационной безопасности, то банк должен за это платить», – предупредил замначальника главного управления информационной безопасности и защиты информации Центробанка Артем Сычев. Либо банк занимается безопасностью, либо на величину существующего риска создает резервы или увеличивает капитал, пояснил он. Добавив, что это соответствует подходу Базельского комитета, а вопрос прорабатывается с надзорным блоком ЦБ. Таким образом, для банкиров повышение уровня безопасности обретает конкретную цену.

«В рамках «Базеля II» у регуляторов есть право при фиксации недостатков управления рисками потребовать большую достаточность капитала», – подтвердил зампред ЦБ Василий Поздышев. Что касается создания резервов, это более сложный вопрос, потому что резервы можно создавать только на идентифицированные риски, рассказал он: «Мы не практикуем подход «создайте несколько миллиардов резервов вообще», я сам не сторонник создания общих резервов, их можно требовать только на каждый конкретный актив или если высока вероятность, что риск реализуется, например, в случае подачи иска к банку».

А подход, связанный с надбавкой на капитал, уже включен во второй компонент «Базеля II», указал Поздышев, для системно значимых банков это начнет действовать с 1 января 2017 г., для остальных ­– с 2018 г. Надбавку на капитал Поздышев считает более простым решением вопроса, чем создание резервов.

Полмиллиарда в неделю

Мошенники пытаются вывести 450–500 млн руб. в неделю, уточнил зампред правления Сбербанка Станислав Кузнецов.

Риски, связанные с информбезопасностью, существенные – несколько банкиров рассказывали «Ведомостям», что были случаи, когда банк в результате атаки утрачивал капитал.

Профессионализм киберпреступников растет, пропорционально с ним растут внутренние IT-структуры банков и внешние вендоры придумывают все новые программы, замечает член совета директоров Бинбанка Кирилл Любенцов. «Естественно, требования мы будем выполнять, – подчеркивает он – Но, я считаю, сейчас не то время, чтобы давить банки дополнительной нагрузкой на капитал, да еще и по IT-безопасности». Будет это сделано через резервы или через расчет дополнительной нагрузки на капитал, не принципиально – капитал в любом случае будет уменьшен, добавляет Любенцов. Представитель «Юникредит банка» говорит, что там предпочли бы надбавку.

Однако опрошенные банки отказались оценивать собственные траты в связи с надбавкой. Представители ВТБ и Газпромбанка не стали это комментировать.

Для борьбы с мошенничеством Центробанк планирует законодательно обязать все банки проводить антифрод-мониторинг транзакций, рассказал Сычев. В конце 2015 г. банки стали внедрять инновационные сервисы, мошенники их изучили и начали использовать для хищения средств, указывает он, итог – в январе – августе 2016 г. количество несанкционированных операций по переводу средств физлиц составило более 1,6 млрд руб., из них в III квартале – лишь 400 млн руб.

По его данным, у юридических (включая банки) и физических лиц мошенники с начала года пытались похитить 5 млрд руб., из них украдено 2,7 млрд руб. Центр информационной безопасности ФСБ оценивал ущерб банков от заражения вредоносным программным обеспечением автоматизированных рабочих мест в 10 млрд руб. ЦБ ждет всплеска атак на банки к концу года.

Состояние информационной безопасности банков – это переменная, поскольку постоянно появляются новые схемы, говорит руководитель направления противодействия мошенничеству компании SAS по России и СНГ Дмитрий Коновалов.

По его словам, хакеры теперь готовы вкладывать время и ресурсы в подготовку серьезной атаки, которая в результате принесет большую наживу, и мелкое воровство у физлиц уже не так интересно. Масштаб проблемы киберугроз достиг такого уровня, что предлагаются новые, более явные шаги для перехода к конкретным действиям по управлению рисками, резюмирует он.

Пока никто не прокомментировал этот материал. Вы можете стать первым и начать дискуссию.
Комментировать