ЦБ обяжет банки усилить защиту финансовых приложений
Новые требования единого стандарта Центробанка станут обязательными к исполнению с 2019 года.[/i]Источник: ReutersБанки должны уделять особое внимание безопасности собственных финансовых приложений — интернет- и мобильного банка, корпоративных приложений и внутренних порталов. Это следует из последней версии стандарта по кибербезопасности ЦБ, с которым ознакомились «Известия». Документ обязывает кредитные организации регулярно проводить анализ приложений на наличие уязвимостей или — если они проходили сертификацию Федеральной службы по техническому и экспортному контролю (ФСТЭК) — использовать их сертифицированные версии. В пресс-службе регулятора подчеркнули, что это — одно из ключевых требований к банкам в рамках нового стандарта. По словам экспертов, должное внимание защите финансовых приложений уделяют немногие кредитные организации, и введение единого стандарта позволит снизить уровень кибермошенничества.Выход нового стандарта по кибербезопасности ЦБ анонсировал на прошлой неделе, не раскрыв его содержание.По словам официальных представителей регулятора, для банков стандарт станет обязательным к исполнению не ранее 2019 года.— После установления в нормативных актах Банка России ссылок об обязательности применения банками стандарта его выполнение будет проверяться ЦБ в ходе проведения инспекций и надзорных мероприятий, — рассказали «Известиям» в пресс-службе регулятора. — Центробанк рассчитывает, что введение стандарта в должной степени будет способствовать существенному снижению киберрисков финансовых организаций, в первую очередь рисков, связанных с несанкционированными переводами денежных средств.Читайте такжеЦБ РФ предупредил банки о возможной атаке вирусов-шифровальщиковОсновной акцент в новом стандарте сделан на защите любых банковских приложений, включая интернет- и мобильный банк, веб-приложения кредитных организаций, а также их корпоративных приложений и внутренних порталов. В ЦБ отметили, что это является одним из ключевых требований к банкам в рамках нового стандарта.Мер защиты, которые должны будут соблюдать банки, стандарт содержит более десятка. В частности, кредитные организации должны обеспечить шифрование и возможность дистанционного удаления данных. Также, по мнению ЦБ, необходимо проводить и проверку клиентов при входе в интернет- или мобильный банк со смартфонов и компьютеров (сотрудников финансовых учреждений будут проверять при доступе к корпоративным приложениям и порталам). Если клиент какое-то время был неактивен в приложении, потребуется повторная верификация. Согласно стандарту, банки должны управлять настройками, обновлениями и составом приложений на смартфонах и ПК клиентов и сотрудников, а также — информацией, используемой для организации защищенного сетевого взаимодействия. Кроме того, у кредитных организаций должна иметься возможность определения местонахождения смартфона или ПК клиента или сотрудника, регистрации SIM-карт.— ЦБ делает акцент на новом блоке требований, так как это — ответ на массовые взломы банковских систем в последнее время, — пояснил «Известиям» замдиректора центра информационной безопасности компании «Инфосистемы джет» Андрей Янкин. — Во многих банках бытует мнение, что к внутренним системам злоумышленник доступ не получит, поэтому об их безопасности можно не беспокоиться. Эта устаревшая концепция уже стала причиной большого числа взломов, потери от которых измеряются миллиардами рублей. В стандарте перечислен набор базовых мер безопасности. Это некоторый минимум, ниже которого опускаться недопустимо.Читайте такжеЦБ начинает выпуск полимерных денегДиректор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов отметил, что на практике защитой своих приложений от компьютерных атак сегодня занимаются немногие банки. По данным Positive Technologies, 71% мобильных банков, 25% интернет-банков и 33% веб-приложений банков имеют уязвимости, позволяющие хакерам получить доступ к финансам клиентов и банков с последующей кражей средств.По прогнозам экспертов, стандарт поможет снизить объем кибермошенничества. Однако, каким будет эффект от его введения на фоне усилий FinCERT (подразделение ЦБ по борьбе с кибермошенничеством), работы ЦБ по отслеживанию и блокировке мошеннических операций и деятельности правоохранителей, специалисты по информационной безопасности оценить затруднились.
Вернуться назад
Вернуться назад