Киберпреступность в банковской сфере и способы защиты

- Павел Михайлович, расскажите, пожалуйста, как на сегодняшний день обстоит ситуация в России и в мире по киберпреступности?
- По данным исследования Symantec,  уровень ущерба от киберпреступлений во всем мире достиг $110 млрд за последние 12 месяцев. Казалось бы, это гигантские цифры. Но с другой стороны, объем инвестирования в средства безопасности на данный момент достигает $50-60 млрд, по данным Gartner.

Доходы хакеров в России оцениваются  компанией  Group-IB  в $2,3 млрд. За этот год, по оценке компании Symantec,  31,4  млн  человек стали жертвами киберпреступников, их ущерб в целом составил $2 млрд* в виде ворованных транзакций.

Ворованная транзакция - это та же банковская транзакция, только совершенная неавторизованно, в ходе которой производится кража денег со счета. Но если изучить статистику, опубликованную на сайте Центрального банка, для всей банковской системы России ущерб составляет 0,006% всего объема транзакций по России за год.

При ущербе в $2 млрд по России, основываясь на данных компании Symantec, средняя величина одной ворованной транзакции составляет около $64.

По данным компании Group-IB, доходы русскоязычных киберпреступников составляют $4,5 млрд, при этом компания IDC утверждает, что инвестиции в безопасность составляют $445 млн - классические страховые 10% от суммы потенциального ущерба.

В результате мы наблюдаем явный перекос рынка: стоимость решений по безопасности значительно выше, чем средняя цена риска. Что еще более интересно, по данным Symantec, по всему миру мы видим соотношение инвестиций и ущерба - $60 млрд и $110 млрд соответственно То есть рынок безопасности "перегрет" и весь мир вкладывает в безопасность сейчас более 50% общей суммы ущерба. Сразу же возникает идея о страховании от киберпреступников - и мы увидим, что страховые компании также гонятся за прибылью, выставляя завышенные цены.

-  Как вы оцениваете риски информационной безопасности в банковском секторе?
- Оценивая риски, мы сталкиваемся с трудностью их подсчета. Тут и количество вариантов их происхождения, и сугубо субъективная оценка риска каждого из них. Никогда нельзя угадать, сколько ноликов к своему счету подрисует хакер, проникнув в информационную систему процессинга. А от количества ноликов зависит оценка ущерба (низкая, высокая, критическая). Кроме того, обсуждение этих аспектов требует довольно много времени, которое нам, как правило, не предоставляется.

Так что на данный момент ИБ в банках можно представить в виде линейной однонаправленной функции, включающей в себя наше осознание всех аспектов защиты и желание лиц, принимающих решения, разрешить эту проблему.

В большинстве случаев это решение так и не принимается, и при ответе на вопрос "Что делать?" мы можем подойти к задаче с другой стороны.

Главной целью для любого топ-менеджера банка является норматив достаточности капитала, который регулирует риск несостоятельности банка и определяет требования по минимальной величине банковских средств, необходимых для покрытия кредитного, операционного и рыночного рисков.

Риски ИБ - это немалая составляющая операционного риска, то есть фактически в него входят все риски ИБ, вместе взятые. С другой стороны, 31 мая 2012 г. вышло постановление № 380 "О порядке осуществления наблюдения в национальной платежной системе", по которому Центробанком, как регулятором, "в случае выявления недостатков в деятельности наблюдаемых организаций могут быть разработаны предложения повышения уровня финансового состояния наблюдаемых организаций, обеспечивающих функционирование ЗПС, в том числе посредством     дополнительной капитализации".

Получается, что основной риск, составной частью которого являются все риски И Б, в формуле Центробанка учитывается с довольно неплохим коэффициентом. То есть получается, что сами риски учитываются в расчете норматива достаточности капитала (кредитные, операционные), но при этом по кредитным рискам учитываются еще и резервы на эти риски (уменьшающие), а вот по операционным рискам - вложения в ИБ, которые, по сути, являются теми же самыми резервами на покрытие операционного риска, почему-то не учитываются. В результате получается, что, сколько бы мы ни вкладывали в ИБ, "мы портим норматив достаточности капитала", то есть капитал уменьшается, а результаты чаще всего "пощупать" нельзя.

-  Как лично вы относитесь к выведенной Центробанком формуле, по которой учитываются все риски информационной безопасности?
- Я попытался несколько модифицировать эту формулу и из операционного риска вычел вложения в ИБ текущего года, в 2 раза самортизировал вложения в ИБ прошлого года и в 4 - позапрошлого, так, чтобы можно было учитывать сделанные ранее инвестиции. Из отчета Центробанка мною была взята отчетность по 919 банкам (см. рисунок). Я уменьшил операционный риск на 10% и пересчитал значения норматива. Посмотрим, как этот процент повлияет на норматив достаточности капитала: если мы будем учитывать в нормативе достаточности капитала вложения в информационную безопасность на уровне 10% от операционного риска, то у 235 банков из 919 норматив достаточности капитала увеличится на 0,1 %, у 226 - на 0,2%; у 126 - на 0,3%, то есть фактически для 2/3 всей банковской системы норматив изменится, но не сильно.

При этом, если посмотреть на абсолютные значения этих 10% от операционного риска, окажется, что три четверти банков России могут вложить в систему И Б не более 5 млн в год.

Проблема противодействия киберпреступности - это комплексная проблема.

Необходимо понимать, что полностью уничтожить киберпреступность невозможно. Так же как невозможно полностью победить преступность "физическую" или уничтожить все болезни. Единственное, что можно, - сделать этот процесс контролируемым и соответствующим  требованиям, предъявляемым современными уровнем и темпом развития технологий. Поэтому, не отрицая необходимости проведения целенаправленной работы по гармонизации и совершенствованию законодательств, регулирующих информационные технологии, считаю, что на первый план должны выйти вопросы обучения всех пользователей информационных систем правилам "информационной гигиены", а также осознание разработчиками продуктов и услуг того, что об информационной безопасности их продукции необходимо заботиться также, если не больше, как и о рыночной привлекательности. К сожалению, для этого должно пройти значительное время и еще немало людей пострадать. Таковы человеческая природа и природа рыночных отношений.