ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СФЕРЕ ФИНАНСОВЫХ ТЕХНОЛОГИЙ Текст научной статьи по специальности «Экономика и бизнес»

Обеспечение информационной безопасности в сфере финансовых технологий Ensuring information security in the field of financial technologies

Яговкина Анастасия Игоревна*

Студентка 1 курса магистратуры Юридического факультета Финансового университета при Правительстве РФ

Россия, Москва

Yagovkina Anastasia Igorevna

1st year master's student Faculty of Law

Financial University under the Government of the Russian Federation

Russia, Moscow

Аннотация.

В статье анализируется современное состояние финансовых технологий в России и обеспечение информационной безопасности в финтех-проектах. Рассмотрено российское законодательство, а также рекомендации Банка России для обеспечения информационной безопасности организаций финансовой сферы. Сделаны выводы о состоянии и дальнейшем развитии системы информационной безопасности в сфере финансовых технологий.

Annotation.

The article analyzes the current state of financial technologies in Russia and ensuring information security in fintech projects. The Russian legislation is considered, as well as the recommendations of the Bank of Russia for ensuring information security of financial sector organizations. Conclusions are drawn about the state and further development of the information security system in the field of financial technologies.

Ключевые слова: финтех, информационная безопасность, киберриски, киберугрозы, профилактика преступлений.

Key words: fintech, information security, cyber risks, cyber threats, crime prevention.

Российская экономика в современных условиях столкнулась с беспрецедентным санкционным давлением, что также сказалось на рынке финансовых технологий. Во-первых, наблюдается миграция квалифицированных кадров, которые потенциально могли обеспечивать информационных безопасности на различных уровнях, а также заниматься разработкой необходимого программного обеспечения и развития финансовых технологий. Во-вторых, большая часть компаний, предоставлявших в России системы информационной защиты, ушли с рынка, что делает субъекты российской экономики более уязвимыми. Поэтому цифровая трансформация, ускоренные темпы технологической независимости в современных реалиях становятся для России как никогда наиболее важными и перспективными. Однако при реализации этих направлений выделяется комплексная проблемы обеспечения информационной безопасности как самих финтех-проектов и сервисов, так и данных, которые используются при функционировании финансовых технологий.

Сфера финансовых технологий в России является значительно развитой, опережающей большинство стран мира по темпам внедрения и использования финансовых технологий [5]. Конечно, речь в данном случае не идет об одновременном совершенствовании законодательной базы и устранения всех имеющих противоречий. Однако сегодня рынок российских финансовых технологий достаточно широк - облачные системы, роботизация, искусственный интеллект, блокчейн, цифровой профиль и др. По общему мнению, финансовые технологии несут в себе положительные стороны как для клиентов, так и для организаций финансовой сферы - возможность высоких темпов масштабирования бизнеса, повышение конкурентоспособности, простой и легкий доступ к финансовым продуктам и услугам, снижение издержек, быстрое осуществление расчетов [4; С. 2]. Однако

внедрение финтех сопровождается значительными рисками, основным из которых является киберриски (сочетание рисков информационной безопасности и информационных технологий). Именно это определяет проблему важности обеспечения информационной безопасности финансовых технологий.

Задачи информационной безопасности в финтех выражаются в следующем:

- Безопасность ресурсов организации (к примеру, информационная инфраструктура, веб-ресурсы и цифровые данные);

- Защита конченых устройств от нарушения информационной безопасности;

- Защита персональных данных;

- Обеспечение соответствия требованиям, которые выдвигаются регулятором (Центральным Банком);

- Предотвращение возможных утечек информации и персональных данных;

- Выявление злоупотреблений на уровне организаций (к примеру, должностных лиц).

Данные задачи информационной безопасности также предопределяют и основные киберриски. Банк России в качестве основных киберрисков выделяет [6]:

- Хищение клиентских средств (с банковских счетов);

- Финансовые потери участников финансового рынка;

- Нарушение в целостности предоставления финансовых услуг;

- Возможность развития системного кризиса, который возникает в результате кибератак на крупные организации финансового сектора.

Помимо указанных Банком России рисков, также можно отметить возможность утечки персональных данных (подобные случаи в России за прошедшие несколько лет фиксируются достаточно часто); потеря репутации организаций, что впоследствии скажется на их конкурентоспособности на финансовом рынке.

Наиболее распространенными кибератаками на организации являются преступления, предусмотренные Главой 28 УК РФ (Преступления в сфере компьютерной информации), которые непосредственно влияют на инфраструктуру организации и вмешиваются в хозяйственную деятельность; в отношении же потребителей финансовых услуг наиболее распространенными являются мошеннические действия, квалифицируемые по статьям 159-159.6 УК РФ [1]. Особенности финансовых технологий предполагают наличие повышенных рисков как дли клиентов, так и для организаций, так как методы и способы совершения таких преступлений постоянно совершенствуются - субъекты преступлений, которые обладают профессиональными знаниями в сфере компьютерной информации и информационных технологий, наиболее чаще объединяющиеся в организованные преступные группы, используют уязвимости финансовых технологий в целях кражи денежных средств, информации или причинения вреда для критической инфраструктуры. Таким образом, логичным является вывод о том, что помимо системы противодействия данным видам преступлений, также необходимо обеспечивать должный уровень информационной безопасности при предоставлении финансовых услуг.

Необходимость в обеспечении информационной безопасности определена Федеральным законом «Об информации, информационных технологиях и защите информации». Так, ст. 16 ФЗ «Об информации» закрепляет, что подразумевается под самой защитой информации, то есть обеспечение защиты от неправомерного доступа, уничтожения иди модификации информации, соблюдение конфиденциальности, а также соблюдение прав на доступ к информации [2]. Соответственно, при предоставлении финансовых услуг посредством финансовых технологий (либо иных информационных технологий и технологичный решений) финансовая организация должна обеспечивать должный уровень защиты информации. Однако в современных фактически абсолютная безопасность данных представляется невозможной. Во-первых, в самих организациях

отсутствуют необходимые квалифицированные кадры. Во-вторых, методы совершения кибератак совершенствуются быстрее, чем методы защиты.

В целях формирования единой системы обеспечения информационной безопасности был принят Стандарт Банка России СТО БР ИББС-1.0. В нем отражены основные модели киберугроз (указаны предметы преступного посягательства), определяется характеристика личности преступника (указывается, что более часто происходит объединение в преступные группы и сообщества), а также конкретные обязанности кредитных организаций по обеспечению информационной безопасности [3]. Стандарт устанавливает единые требования для всех кредитных организаций. Однако охарактеризовать предусмотренные методы для организаций как совершенные нельзя - все вновь упирается в проблему более быстрого развития и совершенствования преступных схем и способов их реализации. Это подтверждается и данными официальной статистики. Банк России отмечает следующие данные: за III квартал 2022 года было совершено 229 757 операцией без согласия клиентов, при этом, несмотря на сокращение количества зарегистрированных случаев (256 тыс. за аналогичный период 2021 года), сокращается количество возвратов денежных средств, а также увеличивается их объем [7]. Более того, если рассматривать статистику преступлений, то согласно данным МВД РФ, в 2022 году количество преступлений, совершенных с использованием информационных технологий, продолжает оставаться на высоком уровне, при этом раскрываемость таких преступлений достаточно низкая (ниже 30% от количества зарегистрированных дел) [9]. Отмечая высокую латентность преступлений в сфере информационных технологий, можно также сделать вывод о том, что многие случаи остаются вне поля деятельности правоохранительных органов.

Таким образом, в рамках формирования политики по развитию финансового рынка, в том числе регулировании финансовых технологий, особая роль отводится Центральному Банку Российской Федерации. На основе предлагаемого ЦБ РФ комплекса мероприятий формируются стратегические цели развития. Ключевыми являются «Основные направления развития финансового рынка Российской Федерации на 2023 год и на период 2024 и 2025 годов» [8]. В данных направления развития финансового рынка Банк России отмечает, что обеспечение технологической независимости и информационной безопасности в финансовом секторе являются одной из наиболее важных задач. Так, в качестве необходимых мероприятий выделяются:

- Совместная деятельность ЦБ РФ, Ассоциации Финтех, участников финансового рынка по реализации комплекса мероприятий по импортозамещению, что предполагает создание Центра компетенций, который будет осуществлять поиск, анализ и тестирование имеющегося на российском рынке программного обеспечения, а также разрабатывать этапы политики импортозамещения, в том числе содействие национальным компаниям в разработки отечественных ПО;

- Более комплексный анализ влияния киберрисков на финансовую сферу, в том числе финансовые технологии и экосистемы, что предполагает создание Банком России «киберполигона», который станет основой для оценки защищенности той или иной организации (или продукта), а также проведение новых форм контроля и надзора в целях защиты от кибератак;

- Обеспечение возможности использования для потребителей финансовых услуг усиленной квалифицированной электронной подписи;

- Формирование совместно с Банком России системы мероприятий для формирования о потребителей среды доверия при получении ими финансовых услуг удаленно, что также предполагает созданные необходимой правовой, организационной, методологической основы для самих организаций финансовой сферы;

- Повышение эффективности взаимодействия участников финансовой и кредитной сферы совместно с ФинЦЕРТ.

Указанные направления по большей части носят практический характер - большая часть предложенных к решению задач предполагает создание специальных структур для взаимодействия ЦБ РФ и иных участников рынка. Так, в рамках деятельности Банка России существует специальное подразделение ФинЦЕРТ ФинЦЕРТ является центром взаимодействия и реагирования на компьютерные атаки, в который входят более 1000 организаций, в том числе российские банки [10]. В целом деятельность такого структурного подразделения ЦБ РФ основано на формировании информационного обмена между участниками отношений (организациями, операторами связи, разработчиками ПО, правоохранительными органами). ФинЦЕРТ предполагает формирование методических рекомендаций по противодействию преступности в сфере деятельности финансовых организаций.

Таким образом, на сегодняшний день в России существует система противодействия нарушениям в сфере финансовых технологий, а также система обеспечения информационной безопасности в финансовой сфере. Авторская позиция заключается в том, что существующие методы не являются достаточными как на уровне законодательства, так и на уровне формирования общей политики информационной безопасности. Поэтому предполагается совершенствование системы обеспечения информационной безопасности в сфере финансовых технологий на двух уровнях: законодательном и организационном.

Совершенствование на уровне законодательства предполагает модернизацию существующих Стандартов Банка России, которые бы отвечали актуальным тенденциям и рискам; внесение изменений в отраслевое законодательство; совершенствование систем профилактики и противодействия преступлениям в финансовой сфере (в том числе путем изменения наказаний и развития понятийного аппарата уголовного закона).

Совершенствование на организационном уровне предполагает: использование внутренних компонентов защиты финтех-проектов (WAF, HSM, защищенные протоколы, системы Anti-Fraud, применение технологий BigData, CWYS; проведение на регулярной основе для организаций и их сотрудников консультации и тренинги по обеспечению информационной безопасности; проведение регулярного аудита информационной безопасности.

Предполагается, что данные методы позволят сократить киберриски при использовании финансовых технологий, а также позволит обеспечить должный уровень информационной безопасности организаций в финансовой сфере.

Список используемой литературы:

1. Уголовный кодекс Российской Федерации от 13.06.1996 № 63-Ф3 // Российская газета. - 18.06.1996.

- № 114.

2. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» // Российская газета. - № 165. - 29.07.2006.

3. Стандарт Банка России СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации/ Общие положения» / Гарант. - URL: https://www.garant.ru/products/ipo/prime/doc/70567254/?ysdid=ld12gw1z17415648914 (дата обращения: 15.01.2023).

4. Перцева, С. Финтех-индустрия и информационная безопасность / С. Перцева // Мировое и национальное хозяйство. - 2018. - № 4 (46). - С. 1 - 5.

5. В «Сколково» сообщили, что Россия стала одним из лидеров по распространенности финтехуслуг / ТАСС. - URL: https://tass.ru/ekonomika/12994619?ysclid=ld13wpe1ol905740639 (дата обращения: 17.01.2023).

6. Информационная безопасность / Банк России. - URL: https://cbr.ru/information security/ (дата обращения: 15.01.2023).

7. Обзор отчетности об инцидентах информационной безопасности при переводе денежных средств (III квартал 2022 года) / Банк России. - URL: https://cbr.ru/analytics/ib/review_3q_2022/ (дата обращения: 15.01.2023).

8. Основные направления развития финансового рынка Российской Федерации на 2023 год и на период 2024 и 2025 годов / Центральный банк. - URL: https://cbr.ru/Content/Document/File/143773/onfr 2023-2025.pdf (дата обращения: 15.01.2023).

9. Состояние преступности / МВД РФ. - URL: https://MBA^/reports?ysdid=ld13k0n9su54318954 (дата обращения: 15.01.2023).

10. ФинЦЕРТ / Банк России. - URL: https://cbr.ru/information_security/fincert/ (дата обращения: 15.01.2023).