ЦБ оценил безопасность аудиторов
Банк России оценил уровень защищенности аудиторских организаций, проверяющих общественно значимые организации финансового рынка, как крайне низкий. Регулятор предложил им планировать и обеспечивать меры по уменьшению рисков утечек. По мнению экспертов, это имеет критическое значение, поскольку аудиторы работают с обширным объемом чувствительных данных клиентов. Однако, не все смогут обеспечить достаточный уровень информационной безопасности.
ЦБ расценивает угрозу утечки информации из аудиторских организаций как высокую, как следует из сообщения регулятора, отправленного аудиторским компаниям из списка проверяющих общественно значимые организации финансового рынка. "С учетом обработки и хранения... чувствительной информации, утечка которой может оказать отрицательное воздействие на работу в области финансовых рынков, а также учитывая увеличивающееся количество атак на информационную инфраструктуру Российской Федерации со стороны неприятельских государств, Департамент информационной безопасности предлагает планировать и гарантировать выполнение мероприятий", - говорится в сообщении. Предварительный план участники рынка должны представить в Департамент информационной безопасности Центробанка не позднее 1 сентября.
Ранее, согласно письму, ЦБ провел опрос среди участников рынка относительно шагов, которые предпринимают аудиторы для снижения рисков утечек. Из результатов опроса следует, что аудиторы должны соблюдать стандарты, обычно соблюдаемые банками, в том числе стандарт 57580.1-2017, определяющий основные меры по защите информации в финансовом секторе, отмечают аудиторы.
Согласно специалистам по информационной безопасности, требования Центробанка являются крайне актуальными. Законодательство об аудиторской деятельности обязывает аудиторов собирать и хранить обширные объемы конфиденциальной информации о своих клиентах, утверждает партнер компании ДРТ Владимир Бирюков. Часто эта информация является чувствительной, обращает внимание генеральный директор SafeTech Lab Александр Санин.
В зависимости от сферы аудита это могут быть данные об информационно-технологической инфраструктуре, используемом программном обеспечении, бизнес-процессах, финансовой информации, указывает господин Санин. В частности, аудиторы работают с личными данными клиентов, данными о проведенных операциях, финансовыми и налоговыми документами, информацией, являющейся коммерческой тайной, подчеркивает ведущий аналитик отдела мониторинга информационной безопасности "Спикател" Алексей Козлов.
Утечка такой информации может послужить основанием для шантажа, инсайдерской торговли, недобросовестной конкуренции — все зависит от фантазии и желаний злоумышленников и масштаба компании, данные которой могут быть скомпрометированы, подчеркивает генеральный директор компании "Эксперт Бизнес-Решения" Павел Митрофанов. Утечка информации может привести к дальнейшему мошенничеству с использованием социальной инженерии или несанкционированному доступу к другим системам, что повлечет прямые финансовые потери и репутационные риски, поясняет господин Козлов.
Борьба с киберпреступниками: усиление мер защиты
Специалисты отмечают значительный рост атак на поставщиков финансового сектора, который может достигать 20–30% по сравнению с прошлым годом. Киберпреступники направляют свои усилия на внедрение вредоносного кода в цепочки поставок ИТ-решений, получение доступа к инфраструктуре компании через доверенные ресурсы или нанесение ущерба через поставщиков услуг.
Однако, построение надежной инфраструктуры для защиты может быть дорогим удовольствием. Полный комплекс мер включает в себя различные технологии, процессы и обучение персонала. Согласно экспертам, стоимость таких мер может достигать десятков и даже сотен миллионов рублей.
С ужесточением требований со стороны Банка России становится очевидно, что высокое качество и уровень информационной безопасности смогут поддерживать лишь крупные аудиторские компании с высоким доходом. В случае нарушения требований, Центральный Банк имеет право применять меры надзорного реагирования в соответствии с законодательством.
