Регулярную оценку рисков информационной безопасности проводят менее трети российских банков — около 26%, подсчитали эксперты Zecurion и Ассоциации российских банков (АРБ). Главными препятствиями для развития данного направления банкиры называют нормативный прессинг, недостаток финансирования и нехватку специалистов.
По мнению авторов исследования, уровень зрелости отечественных кредитных организаций нельзя назвать высоким. В результате опроса финансовых специалистов (в нем приняли участие 134 банка — члена АРБ) выяснилось, что специальное подразделение по информационной безопасности есть лишь у 63,5% банков. Главными факторами, мешающими развитию этого направления, участники исследования назвали строгий нормативный контроль (76,9% респондентов), недостаток финансирования (38,8%), а также нехватку квалифицированного персонала (38,1%). Банкиры жалуются, что специалисты по безопасности должны учитывать требования пяти регуляторов: ЦБ, ФСБ, Роскомнадзора, Росфинмониторинга и Федеральной службы по техническому и экспортному контролю.
Кроме того, руководство банков не всегда выделяет должный размер средств на обеспечение информбезопасности. Только у 31,3% кредитных организаций есть отдельный бюджет для этого сегмента работы, в то же время по рекомендациям ЦБ таким отдельным бюджетом должны располагать все подразделения. Нелегко и подобрать нужных специалистов — 62,7% банков признались, что испытывают кадровый голод в сегменте информбезопасности.
Валерий Торхов, председатель правления банка «Авангард»:
Вряд ли можно говорить о том, что банки сейчас ощущают нормативный прессинг со стороны ЦБ в сфере информационной безопасности. Да, к нам постоянно приходят письма и инструкции от регулятора, но они не мешают принимать собственные решения в этой области. Думаю, сейчас кредитные организации будут уделять защите информации все больше внимания. Такая тенденция видна уже сейчас. Дело в том, что с 1 января 2014 года в силу вступают требования ст. 9 закона «О национальной платежной системе». По новым правилам банки должны будут возмещать клиентам потери, понесенные до уведомления о проведенной операции по счету. Из-за возрастающих рисков в интересах кредитных организаций прикладывать все возможные усилия, чтобы предотвратить мошеннические действия. Сами клиенты иногда тоже вольно или невольно способствуют хищению средств, раскрывая третьим лицам конфиденциальную информацию о себе и своих банковских счетах и картах.
Иван Янсон, заместитель руководителя службы информационной безопасности Промсвязьбанка:
Иногда утечка информации может произойти по вине клиентов. В частности, если клиент использовал ненадежный компьютер при проведении операций по каналам ДБО, то ответственность не может быть только на стороне банка. Банки со своей стороны прикладывают огромные усилия для обеспечения безопасности при работе в сети Интернет в рамках взаимодействия клиент — банк, но все эти инвестиции будут бесполезными, если клиент не будет соблюдать правила работы в сети Интернет и элементарные меры безопасности. Важно понимать, что это не просто формальные требования, а требования, нацеленные на защиту самого клиента, выполнение которых в конечном итоге позволяет защитить средства клиента и существенно осложняет деятельность мошенников. Важно помнить, что к банковским картам, к используемым для аутентификации и авторизации в системах дистанционного банковского обслуживания данным или средствам следует относиться так же бережно, как и к самим наличным денежным средствам.
Дмитрий Стуров, начальник управления информационной безопасности «Ренессанс Кредита»:
Я бы выделил три проблемы, которые могут возникнуть у всех российских банков. Во-первых, критичным для этой сферы является внимание руководства к вопросам информационной безопасности, что влияет на вопросы финансирования и подбора кадров. Во-вторых, я бы отметил низкую зрелость большинства систем управления информационной безопасностью, когда отсутствует комплексный подход, не налажены процессы оценки рисков и многие действия носят реакционный характер, плохо выстроена коммуникация с бизнесом. В-третьих, на российском рынке уделяется мало внимания лучшим практикам, в том числе международным, качество аудита процессов управления информационной безопасностью невысоко, поэтому стоит использовать международные стандарты.