Только специалисты банка по защите информации отделяют данные россиянина от тех, кто желает ими воспользоваться для собственной выгоды. Однако выяснилось, что в 36,6% банков даже нет такого отдела, а соответствуют стандартам банка России лишь 16,4%.
Информационная безопасность всегда была дополнительной головной болью для банков, страховщиков и иных финансовых организаций. Тут и дополнительные риски, и затраты на содержание компетентных специалистов, а то и целого отдела. Но у банкира или страховщика альтернативы нет — с одной стороны на него давят предписания регулятора, а с другой — заинтересованные в безопасности клиенты.
Только за последние полгода произошло сразу несколько связанных с информационной безопасностью инцидентов. В феврале разразился крупный скандал со Сбербанком, когда его сотрудники были уличены в хищении денег с зарплатных карт. Подозреваемые получали сведения о счетах и с помощью хитрой схемы получали доступ к средствам на них. Предполагаемый ущерб составил 50 млн рублей.
Участились подобные случаи в последние два месяца — в конце июня от утечки информации пострадала ГК "ФосАгро". Руководитель отдела продаж компании тайно передавал служебную информацию заинтересованным лицам и нанес компании ущерб на $2 млн. Финансисты в последнее время с темой информационной безопасности столкнулись дважды: в конце июля злоумышленники похитили данные более чем на 1 млн клиентов страховой компании "Цюрих", а в августе был вынесен приговор шантажистам из Уфы, которые завладели данными клиентов "ИнвестКапиталБанка" и вымогали у руководства банка 8 млн рублей.
При этом в отчете, который эксперты Zecurion Analytics подготовили при поддержке Ассоциации российских банков, указано, что на данный момент далеко не все банки даже имеют специальное подразделение, занимающееся информационной безопасностью. Специалисты опросили 134 банка, и выяснили, что среди опрошенных лишь 63,4% имели отдел, специализирующийся на защите информации.
"Вопрос о выделении финансов на защиту информации еще сильнее подчеркивает недостатки российских банков при организации службы ИБ. Лишь 31,3% организаций планируют расходы на ИБ и выделяют безопасникам соответствующий бюджет. Между тем, согласно рекомендациям стандарта Банка России по информационной безопасности, службы ИБ должны располагать собственным бюджетом. Широко распространено смешение бюджетов ИТ и ИБ (23,1%)", — сетуют специалисты компании.
В Zecurion Analytics отмечают, что бюджеты этих двух служб должны быть обязательно раздельными, чтобы не возникало конфликта интересов. А в 31,3% опрошенных банков вообще не планируют расходов на информационную безопасность. Впрочем, здесь часть проблемы, возможно, кроется не в прижимистости банкиров, а в недостатке квалифицированных кадров — на это жаловались 38,1% респондентов. Всего о кадровых проблемах в этой области сообщили 62,7% банков.
Кадровый голод в банковской сфере настолько силен, что в финансовых организациях уже и не ждут на сто процентов подходящего специалиста. 73,8% банков готовы самостоятельно оплатить соискателю учебные курсы, а 14,2% готовы даже оплатить сертификационные экзамены. На передачу опыта от старших коллег готовы положиться лишь 6,7% банков.
"Хочется обратить внимание на сложность, которая заняла второе место — слабое понимание информационной безопасности сотрудниками бизнес-подразделений. Представляется, что как раз непонимание бизнесом роли и места ИБ — ключевая причина многих проблем. Отсюда отсутствие поддержки со стороны топ-менеджмента и, как следствие, отсутствие служб ИБ, выделенного бюджета и взгляд на проекты по ИБ как на что-то нужное только из-за требований регуляторов", — отмечает Александр Велигура, председатель комитета по информационной безопасности АРБ.
Однако даже при желании некоторых банков все же заниматься информационной безопасностью мотивация руководства остается не в поле интересов клиентов. 91,2% банкиров заявили, что всеми мероприятиями по ИБ они занимаются ради соответствия требованиям регулятора. Лишь 33,6% опрошенных среди своих мотивов упомянули и повышение качества бизнеса, то есть защиту потребителя.
При этом, как ни парадоксально, все требования стандарта ЦБ учтены лишь у 16,4% респондентов. Еще 20,1% по большей части соответствуют стандарту. При этом участники рынка не прекращают жалоб на сильное давление со стороны регуляторов.
"Деятельность кредитных организаций регулирует большое количество регуляторов, причем цели регулирования не всегда бывают синхронизированы. В результате возникают нормативные требования, которые создают для кредитных организаций определенные обременения. Из отчета не понятно, кто именно создает эти обременения, но хочется надеяться, что это не ЦБ. Если же такие факторы выявляются, они, безусловно, требуют устранения, и мы всегда открыты для диалога на уровне ассоциаций", — обещает Андрей Курило, заместитель директора Департамента регулирования расчетов Банка России.