Надзор за системными киберрисками в финансовой системе

В 90-х годах инструменты для взлома были ограничены и сложны в использовании, и для их применения требовались обширные специализированные знания. Сочетание сложных инструментов и нехватки знаний делало взлом относительно редким явлением. Однако вскоре эти инструменты стали более мощными и простыми в использовании. По сути, стало возможно достигать большего с меньшими знаниями и за меньшее время. Технологии взлома стали значительно доступнее с появлением графических пользовательских интерфейсов и интегрированных платформ [1].

Эволюция в сторону более умных и эффективных инструментов никогда не прекращалась. Как отметил известный исследователь в области безопасности, «атаки никогда не становятся слабее, они только совершенствуются». То же самое относится и к инструментам для взлома. Сложные и редкие знания о способах проникновения в системы теперь интегрированы в дешевые и удобные наборы инструментов, которые благодаря даркнету стали доступнее, чем когда-либо. Таким образом, хотя высококвалифицированные хакеры и крайне сложные атаки остаются редкостью, взлом и киберпреступность стали широко распространенными, поднимая уровень киберрисков на новый уровень.

Киберриск стал одной из ключевых угроз финансовой стабильности после недавних атак на финансовые учреждения. В данной работе представлена новая документация по киберрискам в финансовых учреждениях по всему миру путем анализа различных типов киберинцидентов (утечки данных, мошенничество и нарушение работы бизнеса) и выявления закономерностей с использованием различных наборов данных.

Мотивы атак также помогают лучше понять их характер. На первом месте находятся прибыль или финансовая мотивация. Большинство атак происходит из-за того, что киберпреступники хотят заработать деньги. Другой источник мотивации для атак, так называемая вторичная мотивация, возникает, когда жертва не является конечной целью -она используется как промежуточный этап.

Довольно часто киберриски воспринимаются как исключительно проблема IT или технологий, и лучшим способом борьбы с ними считается передача ответственности информационно-технологическому (IT) - отделу, чтобы защитить организацию от угроз. Популярность вторичной мотивации показывает две вещи. Во-первых, взаимосвязи в цепочке поставок передают киберриски.Во-вторых, риски от третьих сторон должны быть ключевым элементом целостного подхода к управлению киберрисками [7].

Действительно, в 2020-2024 годах наблюдался рост атак на цепочки поставок в финансовом секторе. Постоянно растущая цифровизация практически всех аспектов нашей жизни, включая финансы, играет важную роль в ухудшении тренда киберугроз с течением времени.С течением лет методы атак изменились кардинально. Например, значительное снижение числа атак с использованием извлечения данных из оперативной памяти или POS-терминалов произошло по сравнению с началом 2000-х годов, когда такие атаки были основными причинами киберинцидентов [4].

В этом типе атак злоумышленники извлекают информацию о кредитных картах прямо из памяти POS-терминалов. Например, вредоносное ПО для извлечения данных из оперативной памяти было использовано в атаке на Target, которая затронула 70 миллионов клиентов.

С другой стороны, атаки, связанные с ошибочной доставкой или некорректной конфигурацией, особенно в облаке, растут. Настолько, что, согласно исследовательской компании Gartner, к 2025 году более 99% нарушений безопасности облаков будут связаны с ошибками конфигурации или ошибками пользователей.

Для лучшего понимания этих тенденций необходимо рассмотреть две ключевые характеристики киберпреступности: оппортунизм и стремление к прибыли. Злоумышленники обычно выбирают более простые или более прибыльные цели.Эволюция угроз напоминает динамику хищник–жертва среди живот-ных.Более сложные киберугрозы возникают в результате сложной эволюции технологий.

В данном контексте финансовые учреждения подвергаются высоким киберрискам из-за сочетания различных факторов. Копп и др. (2017) показывают, что уровень угроз особенно высок для финансовых учреждений из-за киберпреступности, хактивизма, проксиорганизаций – высококвалифицированных атакующих, проводящих шпионаж в интересах бенефициаров, – и наблюдения за коммуникациями со стороны третьих лиц. Уязвимость к киберинцидентам (включая кибератаки) считается высокой, поскольку финансовые учреждения зависят от высоко интегрированных сетей и критически важных инфраструктур [5].

Кроме того, многие учреждения используют устаревшие системы, которые могут быть неустойчивыми к кибератакам (Фридман, 2016). Повышенный уровень изощренности киберпреступников, наряду со снижением стоимости запуска кибератак, делает учре- ждения с устаревшими системами особенно уязвимыми. Последствия кибератак также являются значительными, так как финансовая деятельность дематериализована и, следовательно, сильно зависит от технологий [3, 6].

Финансовые учреждения особенно подвержены киберрискам из-за своей зависимости от критически важных инфраструктур и высоко интегрированных сетей. Критически важные финансовые рыночные инфраструктуры включают платежные и расчетные системы, торговые платформы, центральные депозитарии ценных бумаг и центральные контрагенты. Эти критические инфраструктуры представляют собой единую точку отказа, и любая успешная атака может иметь широкомасштабные последствия.

Нарушение работы финансовой рыночной инфраструктуры или группы крупных финансовых учреждений может оказать значительное влияние из-за концентрации рисков (Копп и др., 2017) и отсутствия замен в случае финансовых рыночных инфраструктур (FMI). Если платежные и расчетные системы выйдут из строя в течение дня, участники рынка не смогут обрабатывать транзакции, что приведет к возникновению рисков ликвидности и платежеспособности. Аналогично, если один или несколько крупных банков столкнутся с перебоями и не смогут обрабатывать транзакции, их контрагенты также подвергнутся рискам ликвидности и платежеспособности.

Оценочные убытки на несколько порядков превышают возможности покрытия ки-берстрахового рынка на данный момент. Рынок страхования киберрисков в последние годы вырос и в 2017 году достиг около 3 миллиардов долларов США в виде премий по всему миру, а к следующему десятилетию ожидается его рост до 12-20 млрд долл. США (FitchRatings, 2017). Однако большинство учреждений не имеют киберстраховки – уровень проникновения составляет менее 30% среди всех секторов – покрытие ограничено, и страховым компаниям сложно оценить стоимость киберрисков из-за неопределенности в отношении масштабов возможных убытков и рисков коррелированных воздействий [2, 8].

Киберриски являются новой угрозой для всех типов финансовых учреждений, включая центральные банки и финтех-компании. В перспективе необходимо дальнейшее изуче- ние разработки и оценки возможных политических мер (частных и государственных) для снижения киберрисков. Среди возможных вариантов – обновление регуляторных и надзорных рамок с учетом киберрисков, а также развитие возможностей для оценки ключевых уязвимостей.

Важно развеять некоторые мифы о кибербезопасности, так как это помогает проводить более реалистичную оценку рисков. Аналогично, знание динамики эволюции угроз помогает создавать более сильные и долговечные системы защиты.

Сложно эффективно осуществлять надзор за учреждениями без набора четких, лаконичных и конкретных пруденциальных требований. Наконец, необходимо найти баланс между обеспечением финансовой стабильности и пропорциональностью. Финансовая стабильность – это состояние, при котором механизмы экономики для ценообразования, распределения и управления финансовыми рисками – например, кредитными, ликвидными, контрагентскими или рыночными – работают достаточно хорошо, чтобы способствовать успешной работе экономики.

Понимание уникальных характеристик киберрисков является важным аспектом при разработке стандартов и регулирования для обеспечения финансовой стабильности.

Хотя управление киберрисками должно быть частью общей структуры управления операционными рисками финансового учреждения, некоторые уникальные характеристики киберрисков создают трудности для традиционных структур управления операционными рисками финансовых организаций.

Киберриски стали системной угрозой для финансового сектора, вызванной стремительной эволюцией методов атак и растущей зависимостью от цифровой инфраструктуры. Для устранения этих рисков требуется целостный подход, который объединяет строгие меры регулирования, улучшенные отраслевые стандарты и проактивные действия по укреплению устойчивости. Политики и финансовые учреждения должны сотрудничать для разработки адаптивных рамок, которые не только минимизируют текущие угрозы, но и предвидят будущие вызовы. Приоритетное внимание интеграции кибербезопасности в управление операционными рисками и формирование культуры бдительности помогут финансовому сектору обеспечить свою стабильность и защитить экономику в целом от каскадных эффектов кибератак.