Надзор за кибербезопасностью в банках

Пруденциальные стандарты и регулирование в финансовой сфере предоставляют рекомендации о минимальных требованиях надзорных органов в области корпоративного управления и управления рисками. Они служат основой для оценки зрелости финансовых учреждений и принятия надзорными органами проактивных мер, что имеет решающее значение для эффективного функционирования пруденциального надзора. Учитывая их важность, необходимо обеспечить эффективность и практическую применимость стандартов и регулирования.

При разработке пруденциальных стандартов и регулирования крайне важно, чтобы они были четко сформулированы с акцентом на достижение необходимого результата. Пруденциальные стандарты и регулирование также должны учитывать особенности конкретной отрасли, например, банковской сферы, страхования или инфраструктуры финансовых рынков.

Без полного набора ясных, кратких и конкретных пруденциальных требований надзорным органам сложно эффективно контролировать деятельность учреждений. Наконец, необходимо найти четкий баланс между обеспечением финансовой стабильности и принципом пропорциональности.

Когда речь идет о регулировании кибербезопасности, эти принципы должны стать основой для разработки эффективных стандартов и правил.

В 2016 году страны Большой семерки (Группа семи, G7) опубликовали документ «Фундаментальные элементы кибербезопасности для финансового сектора» с целью укрепления готовности финансового сектора к киберугрозам [1, 6].

Независимо от выбранного подхода, регулирование должно быть четким, кратким и устанавливать ожидаемый результат. Цифровая среда различается в разных странах в зависимости от уровня внедрения технологий в финансовом секторе, ожиданий клиентов и окружающей среды. Регуляторные рамки должны учитывать местные условия, цифровую среду и защиту потребителей, не теряя из виду необходимость регуляторной гармонизации.

Надзор включает в себя изучение финансового состояния, а.т.ж. безопасности и устойчивости организаций финансового сектора. Регулирование является основой для надзорных оценок, а надзорные органы обеспечивают эффективное применение различных нормативных требований. Кроме того, надзорные органы постоянно мониторят деятельность подконтрольных организаций (ПКО) и используют свои профессиональные суждения, даже в тех случаях, когда существуют пробелы в регулировании, неясности или когда нормы трактуются вопреки их первоначальному замыслу.

Таблица. э ффективность , прозрачность и простота в подходе к надзору и регулированию учреждений [4]

Регулирование	Надзор
Регулирование банковской деятельности включает установление правил и руководящих принципов для банковской системы.	Надзор включает изучение финансового состояния отдельных банков и оценку их соответствия законам и нормативным требованиям.
-    Иногда регулирование ограничительное, что означает, что оно ограничивает деятельность банка. -    В других случаях оно позволяет банкам осуществлять определенную деятельность. -    Иногда регулирование предписывает конкретные действия.	Надзорные органы изучают банковские организации, чтобы убедиться, что они работают безопасно и устойчиво, соблюдая законы и нормативные требования.
Регулирование и его интерпретации адаптируются в зависимости от размера и сложности банка.	Надзорная работа адаптирована таким образом, чтобы наиболее строгие стандарты применялись к наиболее системно значимым финансовым учреждениям.

Надзорные органы находятся в лучшем положении для предоставления ценной обратной связи властям о том, какие нормы работают, какие требуют пересмотра, и какие новые области необходимо охватить. Они распределяют ресурсы на основе оценки рисков, при этом наиболее строгие стандарты применяются к ПКО, представляющим более высокий риск для финансовой стабильности.

Основные принципы эффективного банковского надзора, выпущенные Базельским комитетом, охватывают надзорные полномочия, обязанности и функции, а также пруденциальные банковские нормы и требования. Особое внимание уделяется принципам надзорных подходов, методов и инструментов, отчетности, а также полномочий надзорных органов в отношении корректирующих мер и санкций.

Принципы корпоративного управления, процессов управления рисками, операционных рисков, внутреннего контроля и аудита, а также предотвращения злоупотреблений в финансовой сфере имеют значение с точки зрения пруденциального регулирования и способствуют надзору за рисками ИКТ и киберрисками.

Принципы для инфраструктуры финансовых рынков (PFMI) и рекомендации по киберустойчивости для инфраструктуры финансовых рынков, выпущенные CPMI – IOSCO, предоставляют основу для регулирования и надзора за киберрисками в инфраструктуре финансовых рынков (FMI). Регулируемые организации также используют различные стандарты и фреймворки, такие как ISO 27001, стандарты NIST и фреймворк COBIT [2, 5].

Риски, связанные с ИТ, являются частью операционных проблем, с которыми сталки- ваются учреждения. В рамках ИТ-рисков киберриск выделяется в отдельную и четко определенную категорию.В финансовом секторе инфраструктуры финансовых рынков в основном сталкиваются с операционными рисками, в то время как банки сталкиваются с кредитными рисками.

Организация надзора за киберрисками в различных странах зависит от таких факторов, как уровень цифровизации финансового сектора, осведомленность потребителей о цифровых продуктах, технические возможности организаций финансового сектора, внедрение новых технологий, наличие надежных нормативных актов, охватывающих ИКТ/киберриски, зрелость управления киберрисками в финансовых учреждениях и текущий уровень киберугроз. Организация надзора также определяется общей архитектурой надзорной системы страны.

Основные элементы надзора за киберрисками, определенные Торонтским центром в его заметках по надзору за киберрисками (TC NotesonCyberRiskSupervision), включают в себя:

• 1.    Природа кибер риска;

• 2.    Существующий надзорный режим или практики в юрисдикции;

• 3.    Состояние практик управления киберрисками в финансовой и ИТ-индустриях [3].

Обеспокоенность среди надзорных органов набирает обороты, и многие регуляторы создали специализированные подразделения для надзора за ИКТ/киберрисками. Центральные банки развивающихся стран, а также стран с низким уровнем дохода, предпринимают шаги по усилению своих надзорных возможностей в этой области, сталкиваясь вызовами: Ресурсы для надзора; технологические и опе- рационные риски; распространение платформ FinTech; сроки вывода продуктов на рынок (разработка продуктов).

Оценки ИКТ/киберрисков должны учитывать взаимосвязи как внутри группы, так и за ее пределами, например, с поставщиками услуг.

В этой связи возможные первые шагив организации функции надзора за киберрисками в КР должны включать в себя:

• -    внутри НБКР необходимо повысить осведомленность Правления Национального банка о кибербезопасности и киберрисках.

• -    также важно информировать руководство и членов совета директоров коммерческих банков с помощью семинаров, тренингов или индивидуальных встреч.

• -    Необходимо чтобы было четкое понимание, о том, что советы директоров банков несут ответственность за любые крупные киберинциденты.

• -    Вопросы, связанные с технологиями и кибербезопасностью, должны быть включе-ныв надзорные отчеты с целью формирования конкретныхрекомендации для улучшений, которые должны быть обсуждены с высшим руководством коммерческих банков.

• -    Следующим шагом является изучение технологической среды банков в КР. Необходимо использовать опросы и отчеты для сбора информации. Необходимо обязать крупные банки провести презентации об их ИТ-архитектуре и встроенных мерах безопасности, для выяснения, какие они видят пробелы по сравнению с лучшими практиками.

Программа надзора не должна ограничиваться только проверкой соблюдения норма- тивов. Необходимо разработать надзорные ожидания, учитывая размер, масштаб, сложность и уровень цифровизации банков. Это поможет сделать надзор пропорциональным.

Киберриски имеют последствия для финансовой стабильности. НБКР должен повы- шать осведомленность соответствующих органов и сделатьвопросы кибербезопасности регулярным пунктом обсуждения. Сбор информации о киберинцидентах, особенно значимых или необычных, – это хороший начальный шаг. Должна быть создана система сбора и обработки сводной информацию обо всех киберинцидентах, классифицируя их по типам. НБКР должен сосредоточиться на трех наиболее распространенных типах киберинцидентов в КР в первую очередь.

Большинство киберинцидентов происходит из-за недостаточного уровня кибергигиены. Быстрое улучшение кибергигиены может значительно сократить количество инцидентов.

Для НБКР важно сформировать команду с необходимыми знаниями и навыками. Необходимо постоянно инвестировать в обучение сотрудников. На первоначальном этапе можно использовать стороннюю поддержку. Некоторые страны создали дочерние компании в области ИТ для поддержки таких инициатив.

В заключение, надзор за киберрисками прежде всего является вопросом людей. Образование и информированность – ключевые аспекты. НБКР должен быть проактивным в информировании руководства коммерческих банков, советов директоров коммерческих банков, государственных органов и агентстви клиентов.