Банк России усиливает требования к кибербезопасности для организаций, занимающихся переводами денежных средств, после того как злоумышленники вывели почти 7 млрд рублей только в первом квартале. Вводится обязательное использование более высокого уровня криптозащиты и усиленной электронной подписи, а также криптозащиты для подтверждения операций по биометрии. Другие участники платежного рынка столкнутся с еще большими затратами, сообщает .
В новых правилах, опубликованных 9 июля, прописаны более строгие условия по защите информации, включая обязательное использование криптографии не ниже начального уровня. Также будут уточнены требования для трансграничных переводов, участие филиалов иностранных банков и операторов электронных платформ. Время для информирования об инцидентах сокращено до 3 часов, а на расследование отведено до 30 дней.
Эксперты отмечают, что эти изменения акцентируют внимание на стандартизации и контроле со стороны Банка России, особенно в области защиты информации и использования биометрии с усиленной электронной подписью.
Директор по работе с финансовым сектором компании SafeTech Ирина Чурикова подчеркивает необходимость внедрения механизмов для защиты электронных сообщений и биометрических данных от искажений и несанкционированного доступа. Также важно, чтобы операторы синхронизировали время на своей инфраструктуре хотя бы раз в сутки с использованием ГЛОНАСС: расхождение не должно превышать 3 секунд для критических объектов и 5 секунд для остальных.
Участники рынка отметили требования по шифрованию персональных данных российской криптографией при передаче по каналам связи. Директор департамента кибербезопасности Абсолют-банка Руслан Ложкин сказал, что подтверждение личности клиента может осуществляться через биометрию, при этом передаваться будет только цифровой отпечаток, который также нужно шифровать. Крупные банки реализуют этот функционал самостоятельно, в то время как мелкие и средние чаще обращаются к сторонним сервисам.
Новые требования затрагивают и банки, которые должны внедрить комплекс мер по информационной безопасности. По мнению главы комитета по кибербезопасности Ассоциации российских банков Андрея Федорца, это потребует значительных финансовых затрат и увеличит нагрузку на рынок, поскольку изменения могут повлиять на маржинальность бизнеса. Оценка соответствия требованиям обойдется организациям в сумму от миллиона рублей, и под новые правила попадают тысячи компаний.
Ранее мы сообщали, что Минцифры подготовило законопроект, по которому банки и операторы связи должны будут возмещать клиентам деньги, похищенные мошенниками, если те не приняли должных мер защиты. Поправки направлены на борьбу с телефонным и интернет-мошенничеством и находятся на стадии межведомственного согласования.
