Цифровой бронежилет для банков: ЦБА усилит борьбу с киберугрозами Обзор Caliber.Az
В последние годы банковский сектор Азербайджана прикладывает немало усилий для расширения инфраструктуры безналичных платежей, развития услуг е-банкинга, и сегодня готовится к массовому применению финтех-решений. Локализация различных мировых трендов способствует максимальной цифровизации операционной среды в стране, что, безусловно, позитивная цель, но в то же время создает определенные риски для финсектора ввиду ощутимо возросших киберугроз. В целях обеспечения стабильной работы финансовых структур, внедрения эффективных механизмов контроля за цифровым пространством, предотвращения сетевых угроз Центральный банк Азербайджана (ЦБА) накануне утвердил «Стратегию кибербезопасности на финансовых рынках», рассчитанную на 2023-2026 годы.
В большинстве стран мира повышение доли безналичных денежных расчетов в период пандемии коронавируса вызвало активность кибермошенников, и многие секторы экономики подверглись кибератакам. И этот глобальный негатив в последующие три года лишь усиливался в связи с цифровизацией банковского сектора, расширением удаленной работы, ростом платежей в интернете, в первую очередь на порталах электронной торговли. Согласно оценкам международного рейтингового агентства S&P Global Ratings, банки, платежные системы, другие финансовые структуры и их клиенты – наиболее привлекательная мишень для киберпреступников, стремящимся получить доступ к ценным персональным данным, механизмам транзакций, а потому учреждения со слабой системой управления рисками особенно уязвимы для кибератак. Финансовые организации и их клиенты постоянно сталкиваются с DDoS-атаками, фишинговыми рассылками. Так, в последнее время стало больше кибернападений на устаревшую двухфакторную аутентификацию, такую как SMS, возросли угрозы в отношении систем многофакторной аутентификации на основе push-уведомлений. Вместе с тем активизируются и атаки с целью захвата токенов аутентификации, в связи с чем необходимо ускорить процесс перевода пользователей финсулуг и организаций на беспарольные и аппаратные идентификационные токены. Серьезной проблемой для структур финансового рынка остается и использование библиотеки с открытым исходным кодом (Open Source) – программного обеспечения, исходный код которого свободно распространяется и доступен для изменения - до 78% кодов в аппаратных и программных базах хранится в общедоступных репозиториях, и использование такого софта представляет серьёзную угрозу корпоративному сектору.
Поскольку киберинциденты в финансовом и корпоративном секторах становятся все более частыми и сложными, повышение качества систем управления киберрисками в реальном времени, а также ликвидация их последствий ввиду стремительно меняющихся зловредных программ, способов атак и характера угроз становится для банков безальтернативной задачей. Причем наряду с использованием более современных инструментов банковские структуры и финансовые регуляторы усиливают координацию в целях формирования единых регуляционных механизмов, стандартов для укрепления общей системы защиты сетевого пространства финансового рынка.
В том же направлении движется и Азербайджан, где постепенно растут цифровые платежи и стремительно развиваются электронные банковские услуги. Так, объем карточных операций внутри страны к концу 2022 года составил 56,4 млрд манатов, увеличившись на 56%, в том числе объем безналичных операций с банковскими картами увеличился в 2,1 раза. Большая часть безналичных операций с платежными картами пришлась на долю электронной торговли, увеличившись на 261 млн транзакций, в 2,4 раза. На начало текущего года уже порядка 85% банков страны предоставляют услуги посредством мобильных приложений, и чуть менее четырех пятых цифровых операций клиентов осуществляется посредством электронного банкинга. Операции посредством мобильного банкинга также утроились.
Но наряду с плюсами цифровизации финансового рынка банковский и корпоративный секторы в последние годы ощущают усиливающееся давление киберпреступности. «В текущем году Центробанк совместно с международными организациями планирует приступить к подготовке новой стратегии, направленной на усиление цифровой трансформации ЦБА и всего финсектора», - сообщил в начале года председатель ЦБА Талех Кязымов. Он также подчеркнул, что для реагирования на различные вызовы и риски необходимо развивать информационные технологии в банковском секторе и платежных системах, и в этой связи совместно с Международной финансовой корпорацией (IFC) разрабатывается стратегия кибербезопасности финансового сектора.
Итогом этой работы стала разработка рассчитанной на 2023-2026 годы «Стратегии кибербезопасности на финансовых рынках», утвержденной накануне решением ЦБА. Как отмечается в преамбуле документа, на фоне внедряемых в современном мире инноваций в области цифровизации финансовых рынков, расширения ассортимента и доступности финансовых услуг, предоставляемых через интернет-ресурсы, возросли и риски, связанные с информационной и кибербезопасностью финансовых учреждений. Наблюдается это и в нашей стране, а потому Центробанк прилагает максимум усилий для повышения киберустойчивости и усиления информационной безопасности на финансовых рынках республики, в частности с 1 апреля 2022 года вступили в силу «Правила управления информационной безопасностью в банках», установившие минимальные требования к инфобезопасности азербайджанских банков. Следующим шагом в этом направлении стало принятие новой четырехлетней стратегии, направленной на формирование устойчивой среды кибербезопасности на финансовых рынках и предусматривающей эффективные шаги по пяти приоритетным направлениям. Так, намечено усилить структуры регулирования и надзора за информационной и кибербезопасностью, а также модернизировать нормативно-правовую базу. В числе приоритетов обозначено укрепление культуры управления киберрисками; формирование соответствующих отраслевых структур для управления İT-технологиями и укрепления уровня кибербезопасности; осуществить меры по укреплению киберустойчивости и формированию культуры инфо- и кибербезопасности на финансовом рынке.
Следует отметить, что оперативное решение поставленных задач по кибербезопасности стало насущной необходимостью именно сегодня – с учетом разрабатываемой новой стратегии развития безналичных платежей. В рамках этой стратегии особое внимание будет уделяться внедрению блокчейн-технологий в банковском секторе, формированию новых пакетов правовых актов, реализации новой концепции платежных систем. В частности, в ближайшее время банковский сектор, платежные системы и другие участники азербайджанского финансового рынка приступят к масштабному применению финтех-решений для внедрения в республике в скором времени платформы OpenBanking. Инициатором разработки законопроекта «О платежных услугах и платежных системах» выступает Центробанк. Проект разрабатывается при поддержке специалистов Ассоциации финансовых технологий (AzFina) и призван обеспечить большую открытость рынка для участия международных вендеров и финансово-технических организаций (FinTech). В то же время специалисты Центробанка и британской TheCityUK готовят проект «дорожной карты» открытого банкинга (OpenBanking) до 2026 года, предусматривающий реализацию планов по стандартизации инфраструктуры банков, усилению правовой базы. Ожидается, что процесс формирования правовой базы для OpenBanking стартует уже в 2023 году - будут разработаны стандарты в соответствии с требованиями AISP и PISP, сформированы механизмы их внедрения. Платформа открытого банкинга представляет каталог API-решений для банковского сектора и позволит централизованно развивать мобильные приложения банков страны на основе предпочтения пользователей, а также поможет привлечь на отечественный рынок новых финансовых игроков, новые стартап-проекты и услуги, что должно способствовать ускоренному развитию рынка финансовых услуг уже в ближайшей перспективе.
Вместе с тем в ЦБА не станут медлить с работой по усилению уровня защищенности финансового рынка страны от киберугроз, а потому внедрение FinTech решений и усиление сетевой безопасности банков будет продвигаться параллельными курсами.