Банки не скажут о хакерской атаке без разрешения ЦБ

Они должны за день уведомлять регулятора о планах раскрыть, что на них напали
Сами банки практически никогда не раскрывают информацию об атаках, они считают, что это может нанести удар по их репутации и вызвать отток средств, говорит консультант по безопасности Cisco Алексей Лукацкий/ Steve Marcus / REUTERS

Банки должны предупреждать ЦБ о планах раскрыть информацию о кибератаке – будь то публикация на своем сайте, выпуск пресс-релиза или организация конференции. Об этом говорится во вступившем силу 1 июля положении ЦБ, регулирующем требования к безопасности при переводах денежных средств.

Уведомить регулятора нужно не позднее, чем за один рабочий день до раскрытия. ЦБ нужно будет сообщить дату и время, место публикации, а также текст сообщения, говорится в стандарте Банка России.

Объективное освещение в публичном поле инцидентов — важный фактор противодействия злоумышленникам, объясняет представитель ЦБ. Из его слов также следует, что ЦБ будет принимать информацию к сведению, но не уполномочен согласовывать публикации.

ЦБ разъяснял, что речь идет исключительно о случаях, когда пострадавшая от кибератаки организация самостоятельно принимает решение о раскрытии информации об этом в СМИ, говорит представитель Сбербанка. По его словам, изменения вызваны необходимостью контролировать распространение информации об инцидентах в публичном пространстве, поэтому Сбербанк не возражал против изменений.

Остальные банки на запросы не ответили. Также с 1 июля банки должны направлять в Центр мониторинга и реагирования на компьютерные атаки (Fincert Банка России) в обязательном порядке сведения о хакерских атаках и их технических параметрах, раньше такой обмен был добровольным.

Fincert уведомляет банки об угрозах информационной безопасности, а также консультирует их по вопросам противодействия атакам, говорит технический директор Qrator Labs Артем Гавриченков. С этой точки зрения требование ЦБ заранее уведомлять его о планируемом раскрытии данных о кибератаках совершенно разумно, продолжает он. Fincert должен успеть предупредить об атаках другие финансовые организации до того, как информация будет опубликована и станет известна всем, включая злоумышленников. В особенности если это новый тип угрозы или атака оказалась успешной, подчеркивает Гавриченков.

Сами банки практически никогда не раскрывают информацию об атаках, они считают, что это может нанести удар по их репутации и вызвать отток средств, говорит консультант по безопасности Cisco Алексей Лукацкий. Но все зависит от того, как подавать эту информацию, указывает он. Один небольшой банк даже хвалился, что смог привлечь новых клиентов после раскрытия информации об атаке, вспоминает Лукацкий, по сути, банк признал ошибку и рассказал, как он усилил безопасность.