Надзор за кибербезопасностью в банках
Автор: Бектенова Д.Ч., Даиров Р.Р.
Журнал: Экономика и бизнес: теория и практика @economyandbusiness
Статья в выпуске: 12-2 (118), 2024 года.
Бесплатный доступ
Исследованы ключевые аспекты надзора за кибербезопасностью в банках и их влияние на финансовую стабильность. Выявлены подходы к регулированию и управлению киберрисками, включая необходимость учета локальной среды и цифровизации. Предложены меры по повышению осведомленности, укреплению кибергигиены и внедрению систематизированного подхода к управлению и надзору за ИКТ/киберрисками.
Киберриски, финансовая стабильность, кибергигиена, управление рисками, адаптивное регулирование, банковский надзор
Короткий адрес: https://sciup.org/170208091
IDR: 170208091 | DOI: 10.24412/2411-0450-2024-12-2-57-60
Текст научной статьи Надзор за кибербезопасностью в банках
Пруденциальные стандарты и регулирование в финансовой сфере предоставляют рекомендации о минимальных требованиях надзорных органов в области корпоративного управления и управления рисками. Они служат основой для оценки зрелости финансовых учреждений и принятия надзорными органами проактивных мер, что имеет решающее значение для эффективного функционирования пруденциального надзора. Учитывая их важность, необходимо обеспечить эффективность и практическую применимость стандартов и регулирования.
При разработке пруденциальных стандартов и регулирования крайне важно, чтобы они были четко сформулированы с акцентом на достижение необходимого результата. Пруденциальные стандарты и регулирование также должны учитывать особенности конкретной отрасли, например, банковской сферы, страхования или инфраструктуры финансовых рынков.
Без полного набора ясных, кратких и конкретных пруденциальных требований надзорным органам сложно эффективно контролировать деятельность учреждений. Наконец, необходимо найти четкий баланс между обеспечением финансовой стабильности и принципом пропорциональности.
Когда речь идет о регулировании кибербезопасности, эти принципы должны стать основой для разработки эффективных стандартов и правил.
В 2016 году страны Большой семерки (Группа семи, G7) опубликовали документ «Фундаментальные элементы кибербезопасности для финансового сектора» с целью укрепления готовности финансового сектора к киберугрозам [1, 6].
Независимо от выбранного подхода, регулирование должно быть четким, кратким и устанавливать ожидаемый результат. Цифровая среда различается в разных странах в зависимости от уровня внедрения технологий в финансовом секторе, ожиданий клиентов и окружающей среды. Регуляторные рамки должны учитывать местные условия, цифровую среду и защиту потребителей, не теряя из виду необходимость регуляторной гармонизации.
Надзор включает в себя изучение финансового состояния, а.т.ж. безопасности и устойчивости организаций финансового сектора. Регулирование является основой для надзорных оценок, а надзорные органы обеспечивают эффективное применение различных нормативных требований. Кроме того, надзорные органы постоянно мониторят деятельность подконтрольных организаций (ПКО) и используют свои профессиональные суждения, даже в тех случаях, когда существуют пробелы в регулировании, неясности или когда нормы трактуются вопреки их первоначальному замыслу.
Таблица. э ффективность , прозрачность и простота в подходе к надзору и регулированию учреждений [4]
Регулирование |
Надзор |
Регулирование банковской деятельности включает установление правил и руководящих принципов для банковской системы. |
Надзор включает изучение финансового состояния отдельных банков и оценку их соответствия законам и нормативным требованиям. |
|
Надзорные органы изучают банковские организации, чтобы убедиться, что они работают безопасно и устойчиво, соблюдая законы и нормативные требования. |
Регулирование и его интерпретации адаптируются в зависимости от размера и сложности банка. |
Надзорная работа адаптирована таким образом, чтобы наиболее строгие стандарты применялись к наиболее системно значимым финансовым учреждениям. |
Надзорные органы находятся в лучшем положении для предоставления ценной обратной связи властям о том, какие нормы работают, какие требуют пересмотра, и какие новые области необходимо охватить. Они распределяют ресурсы на основе оценки рисков, при этом наиболее строгие стандарты применяются к ПКО, представляющим более высокий риск для финансовой стабильности.
Основные принципы эффективного банковского надзора, выпущенные Базельским комитетом, охватывают надзорные полномочия, обязанности и функции, а также пруденциальные банковские нормы и требования. Особое внимание уделяется принципам надзорных подходов, методов и инструментов, отчетности, а также полномочий надзорных органов в отношении корректирующих мер и санкций.
Принципы корпоративного управления, процессов управления рисками, операционных рисков, внутреннего контроля и аудита, а также предотвращения злоупотреблений в финансовой сфере имеют значение с точки зрения пруденциального регулирования и способствуют надзору за рисками ИКТ и киберрисками.
Принципы для инфраструктуры финансовых рынков (PFMI) и рекомендации по киберустойчивости для инфраструктуры финансовых рынков, выпущенные CPMI – IOSCO, предоставляют основу для регулирования и надзора за киберрисками в инфраструктуре финансовых рынков (FMI). Регулируемые организации также используют различные стандарты и фреймворки, такие как ISO 27001, стандарты NIST и фреймворк COBIT [2, 5].
Риски, связанные с ИТ, являются частью операционных проблем, с которыми сталки- ваются учреждения. В рамках ИТ-рисков киберриск выделяется в отдельную и четко определенную категорию.В финансовом секторе инфраструктуры финансовых рынков в основном сталкиваются с операционными рисками, в то время как банки сталкиваются с кредитными рисками.
Организация надзора за киберрисками в различных странах зависит от таких факторов, как уровень цифровизации финансового сектора, осведомленность потребителей о цифровых продуктах, технические возможности организаций финансового сектора, внедрение новых технологий, наличие надежных нормативных актов, охватывающих ИКТ/киберриски, зрелость управления киберрисками в финансовых учреждениях и текущий уровень киберугроз. Организация надзора также определяется общей архитектурой надзорной системы страны.
Основные элементы надзора за киберрисками, определенные Торонтским центром в его заметках по надзору за киберрисками (TC NotesonCyberRiskSupervision), включают в себя:
-
1. Природа кибер риска;
-
2. Существующий надзорный режим или практики в юрисдикции;
-
3. Состояние практик управления киберрисками в финансовой и ИТ-индустриях [3].
Обеспокоенность среди надзорных органов набирает обороты, и многие регуляторы создали специализированные подразделения для надзора за ИКТ/киберрисками. Центральные банки развивающихся стран, а также стран с низким уровнем дохода, предпринимают шаги по усилению своих надзорных возможностей в этой области, сталкиваясь вызовами: Ресурсы для надзора; технологические и опе- рационные риски; распространение платформ FinTech; сроки вывода продуктов на рынок (разработка продуктов).
Оценки ИКТ/киберрисков должны учитывать взаимосвязи как внутри группы, так и за ее пределами, например, с поставщиками услуг.
В этой связи возможные первые шагив организации функции надзора за киберрисками в КР должны включать в себя:
-
- внутри НБКР необходимо повысить осведомленность Правления Национального банка о кибербезопасности и киберрисках.
-
- также важно информировать руководство и членов совета директоров коммерческих банков с помощью семинаров, тренингов или индивидуальных встреч.
-
- Необходимо чтобы было четкое понимание, о том, что советы директоров банков несут ответственность за любые крупные киберинциденты.
-
- Вопросы, связанные с технологиями и кибербезопасностью, должны быть включе-ныв надзорные отчеты с целью формирования конкретныхрекомендации для улучшений, которые должны быть обсуждены с высшим руководством коммерческих банков.
-
- Следующим шагом является изучение технологической среды банков в КР. Необходимо использовать опросы и отчеты для сбора информации. Необходимо обязать крупные банки провести презентации об их ИТ-архитектуре и встроенных мерах безопасности, для выяснения, какие они видят пробелы по сравнению с лучшими практиками.
Программа надзора не должна ограничиваться только проверкой соблюдения норма- тивов. Необходимо разработать надзорные ожидания, учитывая размер, масштаб, сложность и уровень цифровизации банков. Это поможет сделать надзор пропорциональным.
Киберриски имеют последствия для финансовой стабильности. НБКР должен повы- шать осведомленность соответствующих органов и сделатьвопросы кибербезопасности регулярным пунктом обсуждения. Сбор информации о киберинцидентах, особенно значимых или необычных, – это хороший начальный шаг. Должна быть создана система сбора и обработки сводной информацию обо всех киберинцидентах, классифицируя их по типам. НБКР должен сосредоточиться на трех наиболее распространенных типах киберинцидентов в КР в первую очередь.
Большинство киберинцидентов происходит из-за недостаточного уровня кибергигиены. Быстрое улучшение кибергигиены может значительно сократить количество инцидентов.
Для НБКР важно сформировать команду с необходимыми знаниями и навыками. Необходимо постоянно инвестировать в обучение сотрудников. На первоначальном этапе можно использовать стороннюю поддержку. Некоторые страны создали дочерние компании в области ИТ для поддержки таких инициатив.
В заключение, надзор за киберрисками прежде всего является вопросом людей. Образование и информированность – ключевые аспекты. НБКР должен быть проактивным в информировании руководства коммерческих банков, советов директоров коммерческих банков, государственных органов и агентстви клиентов.
Список литературы Надзор за кибербезопасностью в банках
- Dermengi, D. (2023). Regulation of the banking sector - between the needs of the market and the risks of over-regulation. Development through Research and Innovation - 2022. - [Электронный ресурс]. - Режим доступа: https://www.semanticscholar.org/paper/2f9c8840b651e4f632a8dfbc825a2fc9050ce9ad.
- Davitaia, N. (2023).International Capital Requirements in Banks and Insurance Companies. Caucasus // Journal of Social Sciences. - [Электронный ресурс]. - Режим доступа: https://www.semanticscholar.org/paper/c2aab19f3980e528b5610ac7a67bd80c5e394e21.
- Brownbridge, M. (2002). Policy Lessons for Prudential Regulation in Developing Countries. ERN: Regulation (IO) (Topic). - [Электронный ресурс]. - Режим доступа: https://www.semanticscholar.org/paper/04e5c5b6535cccb46ffb9f27a44726f3fd74e560.
- Brock, P.L. (2012). Financial Safety Nets. World Bank Research Observer. - [Электронный ресурс]. - Режим доступа: https://www.semanticscholar.org/paper/162300f09aef0604967c45d3738f02c71df2e6a6.
- Основные Принципы для эффективного банковского надзора, Банк для международных расчетов, Сентябрь 2012. - [Электронный ресурс]. - Режим доступа: http://www.bis.org.
- Кибер риск и финансовая стабильность, IMF, Декабрь 2020, SDN/20/07.