Los bancos con una licencia básica no presentarán un informe completo sobre los ataques cibernéticos.

Los criterios para evaluar los "cyberries" para bancos con una licencia básica y universal variarán, informó Izvestia al Banco de Rusia. Al mismo tiempo, todas las instituciones de crédito enviarán informes sobre ciberataques a FinCERT. Además, los bancos proporcionarán informes adicionales sobre las pérdidas realizadas, sobre el cumplimiento de los límites de pérdidas y otros puntos de referencia para el nivel de riesgo operacional y cibernético. Dependiendo del tamaño de las pérdidas y violaciones de los puntos de referencia para los bancos, se establecerán requisitos adicionales para el capital necesario, asignado por ellos para cubrir estos riesgos, explicado en el regulador. Dado que el objetivo de los ciberdelincuentes generalmente son las grandes organizaciones de crédito, esto no distorsionará los informes y no afectará negativamente a los clientes; por el contrario, los bancos podrán cambiar sus esfuerzos para mejorar las condiciones de sus productos.

Desde 2019, el Banco de Rusia introducirá una regulación proporcional: las organizaciones se dividirán en grupos según la cantidad de capital. Está previsto que para los bancos con una licencia básica, se reduzca el número de indicadores monitoreados, dijo el Banco Central. Por ejemplo, los bancos pequeños reportarán la proporción de ataques perdidos a todos los registrados, y durante las inspecciones, el Banco Central identificará los incidentes que los bancos no han informado a FINCert.

Para los bancos con una licencia básica, el criterio para la eficacia del sistema de gestión de scripts cibernéticos puede seguir siendo más simple para el cálculo y el control. Esta es la proporción de incidentes significativos perdidos (realizados) de seguridad de la información en relación con todos los incidentes registrados durante el período del informe, dijo el servicio de prensa del Banco de Rusia a Izvestia.

Como se explica en el Banco de Rusia, más fieles a los requisitos para los bancos con una licencia de base debido al hecho de que él no puede tener un componente financiero para evaluar las pérdidas por ataques cibernéticos necesitan herramientas tecnológicas y de matemáticas avanzadas que un pequeño banco con una licencia base. En este caso, la exigencia de informar a FinTsERT todos los ataques cibernéticos en los sistemas y operaciones de remesas de pago sigue siendo válida para todos los bancos, incluidos los que tienen una licencia básica, ya que los problemas de seguridad de funcionamiento de los sistemas de pago y el sistema de pago Banco de Rusia son críticos y están siempre con alta prioridad

Esto se debe al hecho de que todos los participantes del sistema de pago - incluso una pequeña olla con una licencia básica - puede ser un "caballo de Troya" para el operador y otros participantes en el sistema de pagos debido a la generada a través de los delincuentes cibernéticos, y el Banco de Rusia debería ser el mecanismo de detección oportuna, respuesta y supresión de tales ataques, explicó el servicio de prensa del regulador.

Los documentos que los bancos envían al Banco Central hoy en día, se deben registrar todos los casos relacionados con irregularidades en la transferencia de dinero en efectivo de los clientes: por ejemplo, el robo, la CVV-código y otra tarjeta de datos cuando se paga una factura en un restaurante o los casos de retirada (cuando los atacantes fijan en los cajeros automáticos especiales lectores, y luego robar dinero). Las instituciones financieras proporcionan el Banco Central de la mesa, lo que refleja el hecho de que el incidente con el proceso de daño, su fecha, el operador del sistema de pago, las consecuencias de violaciónes, las medidas adoptadas para hacer frente a sus consecuencias, así como el hecho de las fuerzas del orden. Si no hay violaciones, se ponen ceros en todos los gráficos correspondientes.

Sobre la base de informes sobre ciberataques, el Banco Central forma y evalúa los problemas más comunes para garantizar la seguridad de los bancos rusos y, como resultado, desarrolla documentos normativos y recomendaciones. Su ejecución permite a los bancos evitar tales problemas en el futuro. La principal fuente de dichos informes son los grandes bancos: cuanto mayor es la infraestructura del banco, más atractivo es para los atacantes, dijo el Director de Tecnologías Positivas para la metodología y estandarización Dmitry Kuznetsov. Por lo tanto, el Banco Central confía en la información de grandes bancos como una muestra representativa, explicó el experto.

La innovación es necesaria para no aumentar la carga sobre las pequeñas organizaciones de crédito, explicó el socio gerente de la compañía de auditoría "2K" Tamara Kasyanova. Los informes completos sobre ciberataques requieren recursos financieros y humanos adicionales, señaló. Para protegerse contra ataques cibernéticos y eliminar sus consecuencias, los bancos rusos gastan enormes presupuestos. Por ejemplo, sólo dos grandes jugadores - Sberbank y VTB - el año pasado se le envió unos 124 mil millones de rublos, mientras que en la estructura de estos gastos luchar contra los ataques cibernéticos en las instituciones de crédito de infraestructura ya lleva cerca de 15%.

Gestión de Grupo de Expertos socio Veta Ilya Zharsky señalar que la escala de descuentos para soluciones bancarias desarrolladores de defensa cibernética no lo está haciendo es menor que el banco y menores serán los costes de TI, mayor es su estructura de la parte de los gastos directamente sobre la protección contra los ataques cibernéticos. Teniendo en cuenta que la primera mitad del número de ataques en los organismos de crédito de Rusia aumentó en más del 30%, está gastando todos sin excepción los participantes en el sistema bancario a ser protegidos están creciendo. Entonces, la falta de obligaciones para proporcionar información sobre el número de ataques al regulador es razonable, cree Ilya Zharskiy.

Los bancos pequeños, como regla general, trabajan en las regiones. A menudo, estas organizaciones están estrechamente vinculadas a una industria en particular, como la construcción, y dependen de la situación financiera de sus clientes. No les resulta fácil competir con las redes bancarias federales, pero a menudo conocen mejor a sus clientes y pueden trabajar con una pequeña empresa en la que un gran banco no está interesado. La regulación proporcional está diseñada para reducir la carga de las pequeñas instituciones de crédito y permitirles competir con los gigantes de la industria al ocupar su propio nicho. La negativa de un informe detallado sobre los ataques cibernéticos sigue la línea general de reducir la presión sobre los bancos pequeños y puede tener un impacto positivo en su situación financiera, siempre que continúen observando las reglas básicas de seguridad.

Por Anastasia Alexeevsky & Tatiana Gladysheva

Publicado 28 de agosto de 2018.


Información de fuentes abiertas, FA:- https://bit.ly/2on6CLy