Не все банки готовы перейти на новые стандарты кибербезопасности

В прошлом году международная система передачи банковской информации и осуществления платежей SWIFT использовалась хакерами для похищения крупных сумм из целого ряда банков по всему миру. Для предотвращения будущих кибератак было принято решение усилить безопасность SWIFT, и уже менее чем через месяц начнется проверка финансовых организаций на соответствие новым нормам.

Как сообщает «РБК», не все банки готовы принять новые стандарты. По мнению глав IT-отделов крупных финорганизаций, изменения могут повлечь за собой большие траты, проблемы с технической стороной вопроса и угрозу репутации.

Руководитель SWIFT по России, СНГ и Монголии Матвей Геринг на днях напомнил банкам о переходе на новые стандарты безопасности. По словам специалиста, 1 апреля будут опубликованы 27 контрольных пунктов – 16 обязательных и 11 рекомендуемых. К концу текущего года финансовые организации обязаны самостоятельно оценить свое соответствие новым нормам. Данные о не соответствующих стандартам банках будут переданы регуляторам. Это касается не только российских участников рынка, но и всех организациях, использующих SWIFT.

Новые нормы предполагают дополнительные требования к антивирусным решениям, обеспечению и проверке целостности ПО и баз данных, квалификации и организации работы специалистов, а также к местам хранения устройств. Новые требования касаются процесса выявления аномальной активности в SWIFT и введения двухфакторной аутентификации.

По словам одного из источников «РБК», для соответствия новым требованиям придется перенастраивать всю IT-систему. Если процесс перенастройки затянется, работать с системой будет невозможно, поскольку с 1 сентября следующего года прекратится поддержка необновленных SWIFT.

Как сообщают банкиры, с наименьшими рисками в связи с переходом на новые требования столкнутся организации, являющиеся непосредственными участниками международных платежных систем (Visa, MasterCard и пр). Остальные же (особенно небольшие и региональные банки) столкнутся с гораздо большими рисками, поскольку им придется реализовывать требования SWIFT с нуля, уверен глава IT-отдела финорганизации из топ-100. Установка, обновление и обеспечение ПО и БД может обойтись среднему банку в довольно приличную сумму – 10-15 млн руб.

Могут также возникнуть трудности с выполнением требования по повышению осведомленности сотрудников. Как показывает практика, тренинги и обучение являются неэффективными, и персонал по-прежнему использует ненадежные пароли, хранящиеся на бумажках на рабочем месте.

Алексей Коняев, старший консультант SAS Россия/СНГ по решениям для обеспечения безопасности и противодействия мошенничеству

То, что SWIFT всерьез взялось за разработку собственных стандартов безопасности, безусловно, является правильным решением, однако, как представляется, немного запоздалым. К слову сказать, международные карточные платежные системы такие, как VISA или Mastercard, уже давно разработали и применяют в своей деятельности собственные стандарты безопасности, которые, кстати говоря, во многом пересекаются с новыми правилами SWIFT. В этой связи, банкам, которые имеют прямые договорные отношения с МПС и которые, как следствие, обязаны выполнять их требования по безопасности, не должны испытать серьезных сложностей в части соблюдения стандартов SWIFT.

Однако таких банков не так уж и много, и более того – это, как правило, крупные банки, для которых это и так не должно было стать большой проблемой. Серьезные трудности могут возникнуть у остальных – ведь процесс адаптации к данным стандартам потребует от организаций существенных усилий и материальных затрат.

При этом шансов не выполнять или игнорировать новые правила по всей видимости нет. Мировая практика тех же международных платежных систем показывает, что это может обернуться крупными штрафами для таких организаций. С другой стороны менеджмент SWIFT в России настроен серьезно и обещает не только сообщать в ЦБ о банках, невыполняющих требования по безопасности, но и принимать смелые решения вплоть до отключения от системы при грубых нарушениях.