РИА Новости Украина — радиостанция Голос cтолицы
Нацбанк обязал банки заняться своей кибербезопасностью. По мнению экспертов, фактически регулятор требует заново выстроить всю систему информационной безопасности в банках: от процедур доступа к оборудованию и информации, до прокладки коммуникаций и воспроизведения их схем.
Многое из этого невозможно будет выполнить без закупки дорогостоящего оборудования. При этом в самом сложном положении окажутся крупные банки с разветвленной сетью и устаревшими технологиями. Особенно в старых отделениях, где об инвестициях в IT не думали со времен их открытия.
Требования к кибербезопасности прокомментировал в эфире радиостанции Голос cтолицы управляющий директор "Кредит Оптима Банка" Игорь Львов.
Как вы оцениваете положение НБУ относительно кибербезопасности банков?
— Последний вирус Petya.A он создал проблему, которая есть в банковской системе с точки зрения информационной кибербезопасности. Дело в том, что банки, которые сегодня работают в ЕС, США давно уже перешли на новое оборудование и они уделяют достаточно большое внимание инвестиции в эту сферу. В данном случае этот вирус показал то, что наше оборудование, собственно, не только в банковской системе, наверное, у нас в стране, возьмите любой завод, любое предприятие, которое работает на старом оборудовании… Наши банки 20-25 лет назад которые создавались, то оборудование, которое было тогда, еще при СССР, по сути, оно использовалось и используется до сих пор.
Модернизацию банки не проводят, потому что это дорого?
— Вы знаете, как раз тот случай, когда гром грянет, мужик не перекрестится. Как раз гром грянул. То есть в данном случае то, что было и есть сегодня в банковской системе, оно всех устраивало. То есть вроде оно себе как-то работает и работает. Можно и на счет отсчитать, а можно, в принципе, и на счетной машинке. Это вопросы коммерческих банков. То есть коммерческие банки не вкладывали деньги в оборудование, а в модернизацию. Почему? Потому что все-таки решили экономить. Основная задача любого коммерческого банка — это получение прибыли. А прибыль можно получать за счет увеличения доходов или сокращения расходов и эта одна из статей, на которой все время экономили.
Не стоит ли тогда все оставить так, как есть и считать на счетах?
— Технологии пошли дальше. За последние 20-25 лет вопросы кибербезопасности, информационной безопасности стали на первый план и 20-25 лет назад о вирусах мы вообще не знали, что это такое, то есть мы только начинали работу. Сейчас вирус — это одна из форм экономического шантажа, экономической безопасности страны и в данном случае тут нужно бороться не только в банковской системе, а тут вопрос нужно комплексно решать. Если мы говорим сегодня о банках, то да, действительно, вы совершенно правы. Дело в том, что сегодня вызовы перед банковской системой стоят достаточно высокие, а оборудование и, что самое главное, специалисты, которых никто не готовит в области кибербезопасности и никогда не готовил, они на прежнем уровне. Поэтому сейчас мы, с одной стороны, хотели бы соответствовать тому уровню, а, с другой стороны, у нас нет ни оборудования, я говорю о лицензионном оборудовании. Наши заводы не выпускают такое оборудование, а то оборудование и специалисты, которые нам нужны, они достаточно дорого стоят.
После того, как были масштабные кибернетические атаки, известны ли вам примеры финансовых учреждений, которые сами решили обновить штат и техническую базу?
— Распоряжение никто не ждал и не будет ждать. Дело в том, что это очевидные вещи. Здесь каждый спасается, как может. У кого есть деньги, тот вкладывает деньги в безопасность. У кого этих денег нет, значит, они каким-то образом усовершенствуют свою технологию, свое программное обеспечение, какие косметические вещи делают и, как говорится, до следующей хакерской атаки. Поэтому здесь есть рекомендации НБУ. Скажем так, не только рекомендации. Есть требования определенные. Их достаточно много. Они достаточно жёсткие, но на эти требования нужно время и, самое главное, деньги, которых, к сожалению, в банковской системе сегодня нет.
Рекомендации появились и если определенное финансовое учреждение не будет их выполнять, НБУ будет отзывать лицензию?
— Как раз есть требования, но, с другой стороны, по поводу штрафных санкций нигде ничего не прописано. Поэтому, скажем так, коммерческие банки на это смотрят, понимая, что это может затрагивать с точки зрения того, что, действительно, вдруг ляжет их программное обеспечение в случае их хакерской атаки, а с другой стороны, пока штрафных санкций никаких нет, а банки посчитали, что если, допустим, самое простое оборудование стоит порядка несколько миллионов долларов, цена вопроса, а если мы говорим о системном банке, где 50-100 отделений, то там речь идет о 3-7 миллионах долларов. Поскольку тут нужно начинать менять, начиная от компьютера, заканчивая процессингом, который сам стоит недешево. Плюс вам нужно будет вкладывать деньги в технологическое обеспечение. То есть какая-то компания, например, западная берет технологически обеспечивать это оборудование, а оно стоит от 50 до 150 тысяч долларов в год, это только обеспечение. Поэтому в данном случае банки, когда посчитали все это дело и тут же надо с чего-то эти доходы иметь, а если доходов нет, то, соответственно, тут другого выхода нет, как сокращать тогда расходы и каким образом сокращать. Сейчас многие банки сокращают отделения. Сейчас очень многие банки сокращают свой персонал. Да, сейчас упор делается на транзакционные операции, а они предполагают собой как это европейские стандарты, предполагают собой 60-70% вкладывать деньги в новые технологии, в частности, информационную безопасность.
Читайте также: Все на борьбу с нищетой! О новых зарплатах депутатов и чиновников
Напомним, по мере наказания киберпреступление в США приравнивается к убийству, а в нашей стране с хакерами заключают сделку, после чего отпускают на свободу, заявил эксперт Ярослав Гришин.
Ранее политический эксперт Михаил Павлив предположил, что появление вируса после обновления программы, которую используют госорганы и банковский сектор Украины, связано с планируемым визитом ревизора США, который должен проверить ход борьбы с коррупцией.
