Центробанк РФ опубликовал проект положения «О требованиях к защите информации в платежной системе Банка России», сообщает «Коммерсантъ«. Согласно документу, банки обязаны информировать FinCERT (Центр мониторинга и реагирования на компьютерные атаки в финансовой сфере) при ЦБ об уже свершившихся и возможных киберинцидентах в отношении банков в течение трех часов с момента обнаружения индикаторов компрометации.

Банки, подвергшиеся кибератаке или компрометации, должны прислать уведомление на электронную почту fincert@cbr.ru, даже если банк не участвует в информационном обмене с FinCERT. ЦБ обязует банки обеспечить исполнение требований к 30 июня 2017 года.

Еще несколько рекомендаций получили статус обязательных требований. Например, если компьютер подключен к платежной системе, он должен быть недоступен по локальной сети банка. Кроме того, компьютеры, участвующие в осуществлении платежей в ЦБ, должны постоянно мониториться на предмет модификации ПО или попыток подключения к неизвестным серверам.

ЦБ оставляет за банками решение, сообщать ли о киберинцидентах, связанных исключительно с банком. Например, банк может не докладывать в ЦБ о DDoS-атаке, но обязан уведомить в кратчайшие сроки обо всех инцидентах, затрагивающих инфраструктуру ЦБ.

Для банков нововведение представляется неоднозначным. Раньше банки оставляли вопрос информирования регулятора о хакерских атаках на собственное усмотрение, полагаясь на размер убытка. По мнению банкиров, при сравнительно небольших убытках репутационный ущерб может причинить банку намного больше вреда при публикации подобных сведений. Также банки умалчивают о киберинцидентах из опасений, что регулятор наложит на учреждение санкции за несоблюдение норм безопасности.

После публикации новых требований ЦБ банки, умолчавшие об инцидентах, могут быть наказаны; меры могут быть довольно строгими, вплоть до отключения от системы БЭСП и крупного штрафа до 1% от размера уставного капитала.

Кроме того, ИБ-эксперты сомневаются, что предложенная ЦБ схема информирования по электронной почте может быть сама достаточно надежна — например, письмо должно заверяться электронной подписью, а в случае полномасштабной атаки, скомпрометировавшей работу всей системы, отправить сообщение с рабочего компьютера вообще может быть затруднительно. Также отправка ложных сообщений о кибератаках в конкурирующих банках может привести к прямым убыткам и репутационному ущербу у жертвы подобного «розыгрыша».

Специалисты считают, что необходим четкий регламент действий регулятора и банка на случай нештатной ситуации. В ЦБ утверждают, что подобный регламент будет согласован с каждым банком в отдельности.

Категории: Главное, Кибероборона, Хакеры