Надзор за кибербезопасностью в банках

Автор: Бектенова Д.Ч., Даиров Р.Р.

Журнал: Экономика и бизнес: теория и практика @economyandbusiness

Статья в выпуске: 12-2 (118), 2024 года.

Бесплатный доступ

Исследованы ключевые аспекты надзора за кибербезопасностью в банках и их влияние на финансовую стабильность. Выявлены подходы к регулированию и управлению киберрисками, включая необходимость учета локальной среды и цифровизации. Предложены меры по повышению осведомленности, укреплению кибергигиены и внедрению систематизированного подхода к управлению и надзору за ИКТ/киберрисками.

Киберриски, финансовая стабильность, кибергигиена, управление рисками, адаптивное регулирование, банковский надзор

Короткий адрес: https://sciup.org/170208091

IDR: 170208091   |   DOI: 10.24412/2411-0450-2024-12-2-57-60

Текст научной статьи Надзор за кибербезопасностью в банках

Пруденциальные стандарты и регулирование в финансовой сфере предоставляют рекомендации о минимальных требованиях надзорных органов в области корпоративного управления и управления рисками. Они служат основой для оценки зрелости финансовых учреждений и принятия надзорными органами проактивных мер, что имеет решающее значение для эффективного функционирования пруденциального надзора. Учитывая их важность, необходимо обеспечить эффективность и практическую применимость стандартов и регулирования.

При разработке пруденциальных стандартов и регулирования крайне важно, чтобы они были четко сформулированы с акцентом на достижение необходимого результата. Пруденциальные стандарты и регулирование также должны учитывать особенности конкретной отрасли, например, банковской сферы, страхования или инфраструктуры финансовых рынков.

Без полного набора ясных, кратких и конкретных пруденциальных требований надзорным органам сложно эффективно контролировать деятельность учреждений. Наконец, необходимо найти четкий баланс между обеспечением финансовой стабильности и принципом пропорциональности.

Когда речь идет о регулировании кибербезопасности, эти принципы должны стать основой для разработки эффективных стандартов и правил.

В 2016 году страны Большой семерки (Группа семи, G7) опубликовали документ «Фундаментальные элементы кибербезопасности для финансового сектора» с целью укрепления готовности финансового сектора к киберугрозам [1, 6].

Независимо от выбранного подхода, регулирование должно быть четким, кратким и устанавливать ожидаемый результат. Цифровая среда различается в разных странах в зависимости от уровня внедрения технологий в финансовом секторе, ожиданий клиентов и окружающей среды. Регуляторные рамки должны учитывать местные условия, цифровую среду и защиту потребителей, не теряя из виду необходимость регуляторной гармонизации.

Надзор включает в себя изучение финансового состояния, а.т.ж. безопасности и устойчивости организаций финансового сектора. Регулирование является основой для надзорных оценок, а надзорные органы обеспечивают эффективное применение различных нормативных требований. Кроме того, надзорные органы постоянно мониторят деятельность подконтрольных организаций (ПКО) и используют свои профессиональные суждения, даже в тех случаях, когда существуют пробелы в регулировании, неясности или когда нормы трактуются вопреки их первоначальному замыслу.

Таблица. э ффективность , прозрачность и простота в подходе к надзору и регулированию учреждений [4]

Регулирование

Надзор

Регулирование банковской деятельности включает установление правил и руководящих принципов для банковской системы.

Надзор включает изучение финансового состояния отдельных банков и оценку их соответствия законам и нормативным требованиям.

  • -    Иногда регулирование ограничительное, что означает, что оно ограничивает деятельность банка.

  • -    В других случаях оно позволяет банкам осуществлять определенную деятельность.

  • -    Иногда регулирование предписывает конкретные действия.

Надзорные органы изучают банковские организации, чтобы убедиться, что они работают безопасно и устойчиво, соблюдая законы и нормативные требования.

Регулирование и его интерпретации адаптируются в зависимости от размера и сложности банка.

Надзорная работа адаптирована таким образом, чтобы наиболее строгие стандарты применялись к наиболее системно значимым финансовым учреждениям.

Надзорные органы находятся в лучшем положении для предоставления ценной обратной связи властям о том, какие нормы работают, какие требуют пересмотра, и какие новые области необходимо охватить. Они распределяют ресурсы на основе оценки рисков, при этом наиболее строгие стандарты применяются к ПКО, представляющим более высокий риск для финансовой стабильности.

Основные принципы эффективного банковского надзора, выпущенные Базельским комитетом, охватывают надзорные полномочия, обязанности и функции, а также пруденциальные банковские нормы и требования. Особое внимание уделяется принципам надзорных подходов, методов и инструментов, отчетности, а также полномочий надзорных органов в отношении корректирующих мер и санкций.

Принципы корпоративного управления, процессов управления рисками, операционных рисков, внутреннего контроля и аудита, а также предотвращения злоупотреблений в финансовой сфере имеют значение с точки зрения пруденциального регулирования и способствуют надзору за рисками ИКТ и киберрисками.

Принципы для инфраструктуры финансовых рынков (PFMI) и рекомендации по киберустойчивости для инфраструктуры финансовых рынков, выпущенные CPMI – IOSCO, предоставляют основу для регулирования и надзора за киберрисками в инфраструктуре финансовых рынков (FMI). Регулируемые организации также используют различные стандарты и фреймворки, такие как ISO 27001, стандарты NIST и фреймворк COBIT [2, 5].

Риски, связанные с ИТ, являются частью операционных проблем, с которыми сталки- ваются учреждения. В рамках ИТ-рисков киберриск выделяется в отдельную и четко определенную категорию.В финансовом секторе инфраструктуры финансовых рынков в основном сталкиваются с операционными рисками, в то время как банки сталкиваются с кредитными рисками.

Организация надзора за киберрисками в различных странах зависит от таких факторов, как уровень цифровизации финансового сектора, осведомленность потребителей о цифровых продуктах, технические возможности организаций финансового сектора, внедрение новых технологий, наличие надежных нормативных актов, охватывающих ИКТ/киберриски, зрелость управления киберрисками в финансовых учреждениях и текущий уровень киберугроз. Организация надзора также определяется общей архитектурой надзорной системы страны.

Основные элементы надзора за киберрисками, определенные Торонтским центром в его заметках по надзору за киберрисками (TC NotesonCyberRiskSupervision), включают в себя:

  • 1.    Природа кибер риска;

  • 2.    Существующий надзорный режим или практики в юрисдикции;

  • 3.    Состояние практик управления киберрисками в финансовой и ИТ-индустриях [3].

Обеспокоенность среди надзорных органов набирает обороты, и многие регуляторы создали специализированные подразделения для надзора за ИКТ/киберрисками. Центральные банки развивающихся стран, а также стран с низким уровнем дохода, предпринимают шаги по усилению своих надзорных возможностей в этой области, сталкиваясь вызовами: Ресурсы для надзора; технологические и опе- рационные риски; распространение платформ FinTech; сроки вывода продуктов на рынок (разработка продуктов).

Оценки ИКТ/киберрисков должны учитывать взаимосвязи как внутри группы, так и за ее пределами, например, с поставщиками услуг.

В этой связи возможные первые шагив организации функции надзора за киберрисками в КР должны включать в себя:

  • -    внутри НБКР необходимо повысить осведомленность Правления Национального банка о кибербезопасности и киберрисках.

  • -    также важно информировать руководство и членов совета директоров коммерческих банков с помощью семинаров, тренингов или индивидуальных встреч.

  • -    Необходимо чтобы было четкое понимание, о том, что советы директоров банков несут ответственность за любые крупные киберинциденты.

  • -    Вопросы, связанные с технологиями и кибербезопасностью, должны быть включе-ныв надзорные отчеты с целью формирования конкретныхрекомендации для улучшений, которые должны быть обсуждены с высшим руководством коммерческих банков.

  • -    Следующим шагом является изучение технологической среды банков в КР. Необходимо использовать опросы и отчеты для сбора информации. Необходимо обязать крупные банки провести презентации об их ИТ-архитектуре и встроенных мерах безопасности, для выяснения, какие они видят пробелы по сравнению с лучшими практиками.

Программа надзора не должна ограничиваться только проверкой соблюдения норма- тивов. Необходимо разработать надзорные ожидания, учитывая размер, масштаб, сложность и уровень цифровизации банков. Это поможет сделать надзор пропорциональным.

Киберриски имеют последствия для финансовой стабильности. НБКР должен повы- шать осведомленность соответствующих органов и сделатьвопросы кибербезопасности регулярным пунктом обсуждения. Сбор информации о киберинцидентах, особенно значимых или необычных, – это хороший начальный шаг. Должна быть создана система сбора и обработки сводной информацию обо всех киберинцидентах, классифицируя их по типам. НБКР должен сосредоточиться на трех наиболее распространенных типах киберинцидентов в КР в первую очередь.

Большинство киберинцидентов происходит из-за недостаточного уровня кибергигиены. Быстрое улучшение кибергигиены может значительно сократить количество инцидентов.

Для НБКР важно сформировать команду с необходимыми знаниями и навыками. Необходимо постоянно инвестировать в обучение сотрудников. На первоначальном этапе можно использовать стороннюю поддержку. Некоторые страны создали дочерние компании в области ИТ для поддержки таких инициатив.

В заключение, надзор за киберрисками прежде всего является вопросом людей. Образование и информированность – ключевые аспекты. НБКР должен быть проактивным в информировании руководства коммерческих банков, советов директоров коммерческих банков, государственных органов и агентстви клиентов.

Список литературы Надзор за кибербезопасностью в банках

  • Dermengi, D. (2023). Regulation of the banking sector - between the needs of the market and the risks of over-regulation. Development through Research and Innovation - 2022. - [Электронный ресурс]. - Режим доступа: https://www.semanticscholar.org/paper/2f9c8840b651e4f632a8dfbc825a2fc9050ce9ad.
  • Davitaia, N. (2023).International Capital Requirements in Banks and Insurance Companies. Caucasus // Journal of Social Sciences. - [Электронный ресурс]. - Режим доступа: https://www.semanticscholar.org/paper/c2aab19f3980e528b5610ac7a67bd80c5e394e21.
  • Brownbridge, M. (2002). Policy Lessons for Prudential Regulation in Developing Countries. ERN: Regulation (IO) (Topic). - [Электронный ресурс]. - Режим доступа: https://www.semanticscholar.org/paper/04e5c5b6535cccb46ffb9f27a44726f3fd74e560.
  • Brock, P.L. (2012). Financial Safety Nets. World Bank Research Observer. - [Электронный ресурс]. - Режим доступа: https://www.semanticscholar.org/paper/162300f09aef0604967c45d3738f02c71df2e6a6.
  • Основные Принципы для эффективного банковского надзора, Банк для международных расчетов, Сентябрь 2012. - [Электронный ресурс]. - Режим доступа: http://www.bis.org.
  • Кибер риск и финансовая стабильность, IMF, Декабрь 2020, SDN/20/07.
Еще
Статья научная