17.02.2023

Добрый день!

В своем выступлении я хотел бы кратко осветить Основные направления развития информационной безопасности на ближайшие три года.

 Этот документ содержит стратегическое видение информационной безопасности как для финансовых организаций, так и для всей отрасли в целом. В нем мы отразили основные направления развития и цели, которым будем уделять повышенное внимание.

Работа над документом продолжалась весь прошлый год, который, надо отметить, оказал серьезное влияние на ландшафт актуальных киберугроз.

Это и кратный рост кибератак. Уход с рынка иностранных поставщиков оборудования и программного обеспечения. Острые вопросы импортозамещения и технологического суверенитета. Атаки кибермошенников на деньги граждан.

Отвечая в том числе и на эти современные вызовы, мы сформулировали наши Основные направления.

Конечно, они тесно взаимосвязаны с другими стратегическими документами: от Доктрины информационной безопасности до Основных направлений развития финансового рынка.

Итак, на ближайший трехлетний период мы определили три ключевые цели. Я их перечислю.

Первая — защита прав потребителей финансовых услуг и повышение доверия к цифровым технологиям.

Вторая — безопасные цифровые и платежные технологии, обеспечение технологического суверенитета.

И третья цель — контроль рисков информационной безопасности для непрерывного оказания финансовых услуг.

Достижение этих целей неразрывно связано с соблюдением баланса интересов граждан, бизнеса и государства.

Мы визуализировали структуру Основных направлений в виде макета здания, на котором представлены как сами цели и направления развития, так и формы их реализации.

Под каждое направление сформирован набор конкретных мероприятий.

Основной приоритет — это защита прав и законных интересов наших граждан. Проблема кибермошенничества остается по-прежнему актуальной. И поэтому именно эту тему мы выбрали для центральной панельной дискуссии форума.

Во вторник мы опубликовали статистику операций без согласия [клиента — Ред.] за 2022 год. Поэтому не буду подробно останавливаться на цифрах.

Отмечу только, что в прошлом году объем потерь по операциям без согласия увеличился по сравнению с 2021 годом на 4% и составил чуть больше 14 млрд рублей.

Основным инструментом злоумышленников остается использование социальной инженерии, с помощью которой в прошлом году было совершено более половины операций без согласия.

Для защиты наших граждан от кибермошенников мы планируем реализовать целый комплекс мероприятий.

Мы считаем, что необходимо совершенствовать механизмы сохранения и возврата похищенных денег. Поэтому нам нужно:

• повышать качество антифрод-процедур;
• наладить мониторинг операций по выявлению аномалий поведения клиентов;
• отключать ЭСП (электронные средства платежа) дропперам;
• ввести обязанность банка возвращать клиенту деньги, если банк не выполнил обязательные антифрод-процедуры.

Следующее направление работы — организация эффективного информационного обмена с МВД.

Осенью этого года МВД станет участником автоматизированной системы ФинЦЕРТ с данными об операциях без согласия. Так правоохранительные органы смогут в оперативном режиме получать информацию о мошеннических операциях. Это повысит скорость и качество расследования дел о кибермошенничестве.

И также важно для скорости реагирования правоохранителей обеспечить возможность для граждан подать заявление о краже через «Госуслуги» и онлайн-сервисы банка.

Топ-менеджеры банков, отвечающие за информационную безопасность, должны нести персональную ответственность за защиту информации клиентов. Нарушения и утечки будут наказываться вплоть до дисквалификации.

Есть проблема роста мошенничеств с онлайн-займами.

Для повышения безопасности и снижения рисков мошенничества при оформлении кредитов онлайн в законе будет закреплена возможность для граждан устанавливать самозапрет на получение кредитов.

Микрофинансовым организациям тоже нужно улучшить процедуры идентификации и антифрод при выдаче онлайн-займов.

Следующее — наладить между финансовыми организациями и операторами связи обмен информацией о клиентах и абонентах.

Защита клиентов должна стать неотъемлемой частью бизнес-процессов финансовых организаций. Поэтому мы будем дополнять оценку операционных рисков показателями качества антифрод-процедур.

И пара слов про развитие ФинЦЕРТ. Мы будем совершенствовать информационный обмен, анализировать и предоставлять банкам информацию по тактике и технике совершения компьютерных атак. И будем развивать техническую инфраструктуру ФинЦЕРТ, что позволит повысить скорость
и эффективность взаимодействия.

Кроме того, планируем провести оценку готовности ФинЦЕРТ выполнять функции аккредитованного центра ГосСОПКА и обеспечим реализацию финансовыми организациями, являющимися субъектами критической информационной инфраструктуры, мер по противодействию целевым компьютерным атакам в зависимости от установленного уровня опасности.

И последнее по этой теме — финансовая киберграмотность.

Мы продолжим реализацию программ по повышению финансовой киберграмотности и пропаганде кибергигиены, уделяя особое внимание социально уязвимым категориям населения. Для этого будут реализованы как информационно-просветительские, так и образовательные мероприятия с применением современных технологий и форматов взаимодействия.

При проведении обучающих мероприятий для школьников и студентов мы будем опираться на единую рамку компетенций в области киберграмотности, описывающую знания и навыки, которыми должен обладать человек для безопасного использования финансовых продуктов и услуг.

Банк России совместно с Правительством, субъектами Российской Федерации планирует продолжить разработку информационно-просветительских материалов для размещения в общественных местах и транспорте, а также освещение тематики киберграмотности в средствах массовой информации.

Мы будем постоянно обновлять эти материалы, чтобы вовремя предупреждать людей о новых мошеннических схемах.

Также мы ожидаем от банков, что они будут активно информировать своих клиентов о том, как распознать мошенников.

Перейдем ко второй цели — безопасности цифровых и платежных технологий и технологической независимости.

Хотел бы отметить, что активное развитие цифровых технологий значительно изменило потребности и ожидания получателей финансовых услуг.

В последнее время увеличился спрос на удаленные сервисы, а участники финансового рынка ускорили переход к новым бизнес-моделям.

Клиенты становятся более требовательными, и большое значение приобретает пользовательский опыт. Людей интересует возможность дистанционного получения широкого спектра услуг, и они отдают предпочтение простым, удобным и быстрым сервисам.

Однако ускоренное развитие технологий создает и существенные риски кибератак на клиентов и финансовые организации, а также мошенничества на финансовом рынке.

Наша задача — найти баланс между защищенностью информационных технологий и удобством их использования конечными пользователями. Необходимо взвешенно оценить риски информационной безопасности, а также бесшовно интегрировать методы и средства защиты информации в клиентский путь.

Это требует в том числе развития регулирования. Мы должны на нормативном уровне определить требования к информационной безопасности высокотехнологичных проектов, таких как цифровой профиль, Открытые API, единая биометрическая система.

Теперь о киберзащите национальной платежной инфраструктуры и цифрового рубля.

Мы планируем закрепить стандарты информационной безопасности по обеспечению непрерывности и доступности платежных сервисов, а также снижения потерь участников финансового рынка от мошенничества.

Эти стандарты способствуют развитию платежной системы Банка России, СБП, СПФС, цифрового рубля.

В цифровом рубле с точки зрения обеспечения информационной безопасности мы сфокусируем внимание:

• на определении требований к защите информации, предъявляемых к участникам платформы цифрового рубля;
• на создании правовой, организационной и технологической основ в части вопросов информационной безопасности;
• на развитии антифрод-механизмов с учетом специфики операций в цифровых рублях.

Банк России продолжит формировать условия для безопасного внедрения цифровых и платежных технологий, уделяя повышенное внимание:

• развитию новых способов идентификации и аутентификации, в том числе и удаленной идентификации для резидентов и нерезидентов;
• цифровым финансовым активам;
• повышению доступности электронной подписи для массового сегмента;
• развитию взаимодействия финансовых организаций с органами власти, включая доступ к государственным информационным системам.

Будем формировать требования к информационной безопасности этих проектов, а также проводить мониторинг фактического уровня их защищенности. Требования, методология и практические инструменты информационной безопасности будут разрабатываться во взаимодействии с органами власти и участниками рынка с учетом принципов «разумной централизации», а также «максимальной автоматизации процессов обмена информацией».

Теперь об экспериментальных правовых режимах и регулятивной «песочнице».

Банк России продолжит практику исследования инновационных финансовых продуктов, предложенных участниками рынка, на предмет информационной безопасности и киберустойчивости в регулятивной «песочнице», а также будет формировать подходы по обеспечению информационной безопасности при их пилотировании.

Апробация будет проводиться с учетом комплексного анализа риска информационной безопасности и формирования моделей угроз, возникающих при их использовании.

Аналогичный подход будет применяться и к новым бизнес-моделям и решениям в рамках экспериментальных правовых режимов.

По результатам рассмотрения финансовых продуктов в регулятивной «песочнице» и их пилотирования в экспериментальных правовых режимах Банк России будет готовить предложения по внесению необходимых изменений в законодательство.

И о технологической независимости. Банк России продолжит координировать участников рынка, чтобы находить лучшие решения, в том числе с учетом санкционных рисков.

Для этого в прошлом году мы создали отраслевой центр компетенций. Центр занимается определением приоритетов по замене иностранного программного и аппаратного обеспечения, тестированием и оценкой зрелости российских решений, выступает своего рода лоббистом для финансовой индустрии, формируя единый запрос от отрасли на разработку необходимых отечественных технологий.

Кроме того, мы считаем, что Банк России должен участвовать в разработке требований информационной безопасности к субъектам критической информационной инфраструктуры из финансового сектора.

И теперь к третьей цели Основных направлений — контролю операционной надежности.

Создавая условия для безопасного оказания финансовых услуг, в том числе с использованием инновационных цифровых и платежных технологий, Банк России учитывает общие надзорные тенденции как для финансового сектора, так и для сферы информационной безопасности.

Наша задача — обеспечение операционной надежности (то есть непрерывности предоставления услуг) и контроль рисков информационной безопасности.

Для этого мы планируем ряд проектов в области RegTech и SupTech. Первый из них — совершенствование системы внешнего аудита информационной безопасности.

Мы считаем необходимым внедрить дополнительные правовые механизмы повышения качества оценки соответствия защиты информации, а также формирования требований к достоверности результатов внешнего аудита.

При внедрении системы мониторинга и анализа операционных рисков важным направлением станет качественный переход к системному использованию методов мониторинга и продвинутой аналитики для анализа операционных рисков финансовых организаций с учетом данных:

• об инцидентах информационной безопасности;
• расчета риск-профиля финансовых организаций;
• результатов киберучений;
• данных, получаемых из форм отчетности.

Банк России продолжит развитие стресс-тестирования по информационной безопасности и операционной надежности в рамках киберучений.

Это позволит обеспечить мониторинг операционных рисков финансовых организаций в условиях перехода к технологическому суверенитету, а также установить контроль за уровнем качества предоставляемых клиентам и контрагентам ИТ-сервисов.

Также мы будем развивать сценарный подход в стресс-тестировании для оценки устойчивости финансовых организаций при инцидентах информационной безопасности.

Дополнительно проработаем методики оценки возможностей организаций выявлять такие инциденты, реагировать на них и восстанавливаться в случае их реализации.

Результаты киберучений будут использоваться в системе мониторинга и анализа операционных рисков.

Банк России продолжит практику формирования риск-профиля финансовых организаций для оценки фактических рисков информационной безопасности и операционной надежности.

Результаты такого риск-профилирования будут использоваться в том числе и для определения режима надзора.

И об аутсорсинге информационных технологий и облачных сервисов. Он, бесспорно, нужен, но требования к информационной безопасности, по нашему мнению, должны соблюдать обе стороны — и заказчик, и поставщик. Такой подход соответствует международной практике.

Мы планируем сформировать правовые условия для размещения, хранения и обработки сведений облачными провайдерами, а также определить их правовой статус, то есть распространить на них требования по защите банковской и других тайн.

В Основных направлениях также предусмотрены мероприятия по международному сотрудничеству. Мы планируем продолжать принимать участие и мониторить деятельность международных организаций.

Продолжим интеграционное сотрудничество и взаимодействие с центральными банками государств − членов ЕАЭС и БРИКС. Прежде всего по вопросам выработки единых стандартов и методик, а также обмену информацией о кибератаках.

В рамках двустороннего сотрудничества с заинтересованными иностранными регуляторами будем взаимодействовать по вопросам обмена информацией, а также изучать лучшие практики.

И об управлении данными в сфере информационной безопасности.

Наша ближайшая задача — более эффективное использование данных для расчета риск-профиля, глубокой аналитики компьютерных атак, повышения качества и оперативности предоставления данных по операциям без согласия.

И в завершение — о подготовке кадров.

Сфера информационной безопасности, как и сфера информационных технологий в целом, сталкивается с дефицитом кадров и недостаточно высоким уровнем их подготовки.

А без подготовленных, отвечающих современным требованиям специалистов реализовать запланированные нами мероприятия будет практически невозможно.

Мы будем внедрять утвержденный в конце прошлого года профессиональный стандарт «Специалист по информационной безопасности в кредитно-финансовой сфере».

В нем сформулированы требования к знаниям и умениям специалистов по информационной безопасности различных уровней.

Для планирования общей потребности отрасли в кадрах по информационной безопасности Банк России продолжит мониторинг рынка. Анализ результатов позволит сформировать прогнозную модель необходимого количества выпускников в области информационной безопасности, а также стать основой для образовательных программ и продуктов.

Будем делать упор на развитие практических навыков специалистов.

Мы также будем расширять на базе Университета Банка России образовательные курсы для участников рынка и сотрудников органов власти в рамках программы «КиберКурс». Только в 2022 году обучение по ней прошли более 4 тыс. специалистов.

И мы буквально только что наградили победителей молодежной программы форума. У ребят очень впечатляющие проекты, например победивший проект «Защита клиентов банка от кибермошенничества с помощью видеоидентификации». В общем с такими ребятами можно за наше будущее не так сильно беспокоиться. Но пока за информационную безопасность отвечаем мы с вами, надо вместе постараться реализовать те планы, которые намечены в Основных направлениях. Это фундамент долгосрочной эффективности системы защиты от фрода, атак и других киберугроз.

Благодарю вас за внимание!