Риски информационной безопасности коммерческих банков в условиях новой экономической и технологической реальности Текст научной статьи по специальности «Экономика и бизнес»

Риски информационной безопасности коммерческих банков в условиях новой экономической и технологической реальности

о

CS

о

CS

in

О Ш

m

X

3

<

m О X X

Нестерова Диана Алексеевна

студент, Финансовый университет при Правительстве Российской Федерации, nesdial@yandex.ru

В статье анализируются риски информационной безопасности, которым подвержена отечественная банковская система. Автором приведена классификация рисков информационной безопасности, причины и факторы их появления. Описана важность создания системы информационной безопасности, её состава, структуры и функций. Представлена статистика случаев реализации риска информационной безопасности, выявлены основные тенденции киберугроз в мире и в отечественной практике. Была выявлена особая роль в обеспечении информационной безопасности организаций таких технологий, как: BigData, блокчейн, машинное обучение, биометрия и т.д. Приведено описание основных нормативно-правовых актов, регулирующих процессы, связанные с обеспечением информационной безопасности организаций банковского сектора. Автором были выделены меры, которые необходимо предпринять банкам для обеспечения информационной защиты данных и улучшения системы информационной безопасности. Ключевые слова: банковская деятельность, российская банковская система, экономическая и информационная безопасность, система информационной безопасности, угрозы и риски, финансовая устойчивость, финтех, внедрение технологий, эффективность

Статья подготовлена по результатам исследований, выполненных за счет бюджетных средств по государственному заданию Финуниверситета

В 21 веке информация является крайне важным ресурсом, который используется обществом повсеместно. Процессы информатизации затрагивают практически все отрасли экономики в настоящее время. Для того чтобы соответствовать растущим требованиям рынка и увеличению спроса потребителя, организации внедряют технологии, направленные на развитии информационных и коммуникационных технологий [1]. Современные компьютерные системы способны собирать, обрабатывать, анализировать большие объемы информации в кратчайшие сроки, минимизируя при этом количество ошибок при выполнении операций. Таким образом, новейшие информационные технологии позволяют увеличить скорость выполнения поставленных задач, при этом экономя человеческие, временные и финансовые ресурсы организации.

Легендарный афоризм немецкого банкира Натана Майера Ротшильда: «Кто владеет информацией - тот владеет миром» остается актуальным и на сегодняшний день. Однако помимо владения данными, их необходимо защищать от возможной утечки. Постоянное развитие технологий, расширение возможностей персональных компьютеров и их стремительное распространение, появление и развитие Интернета делает вопрос информационной безопасности все более важным, острым и первостепенным для государства и современного общества в целом [2].

Проблемы экономической безопасности являются основополагающими при условиях современной ситуации развития нашей страны. Устойчивость и безопасность банковской системы во многом определяют также и устойчивость экономической системы страны.

Цифровая трансформация банковского бизнеса, внедрение информационных технологий оказывают все большее влияние на деятельность организаций в краткосрочной и долгосрочной перспективе, становятся ключевым фактором успешной реализации стратегии и достижения бизнес-целей, способствуют повышению ее конкурентоспособности. Однако вместе с повышением уровня производительности труда, внедрением новых финансовых продуктов и технологий появляются и сопутствующие риски, требующие повышенного внимания и комплексных решений.

Российская банковская система является достаточно уязвимой, так как наши компании в основном используют иностранные программы и средства передачи данных (международная межбанковская система передачи информационных данных и совершения платежей SWIFT, платежные системы Visa и Mastercard). Именно поэтому крайне важным является создание удобной, гибкой и высококачественной ИТ-системы, способствующей нейтрализации рисков информационной безопасности (ИБ). Для защиты коммерческих банков от такого типа угроз обычно используют специализированные системы информационной безопасности (СИБ).

Большая часть специалистов коммерческих банков считают, что наличие СИБ - неотъемлемая черта практически любой кредитной организации, так как за счет нее становится возможным минимизировать риски информационной безопасности. Однако пока еще никто не знает, как должна выглядеть идеальная СИБ, какой у нее будет состав и структура, ведь крайне важно обосновать достаточно большой объем финансовых средств, который будет потрачен на ее создание. В настоящее время бюджеты подразделений, отвечающих за информационную безопасность и построение СИБ, не имеют проработки научного характера, а определены лишь возможностями организаций профинансировать данный проект. Чаще всего руководители компаний руководствуются авторитетом представителей служб безопасности банка, которые имеют опыт использования каких-либо систем информационной безопасности, а также действуют под влиянием рекламы услуг компаний, занимающихся продвижением систем на рынке.

Создание банковской СИБ важно оценивать с точки зрения соотношения стоимости и эффективности ее будущей деятельности, поскольку архитектура, техническое оснащение, программное обеспечение могут существенно различаться в зависимости от масштабов деятельности кредитной организации. Для этого необходимо создание методики, позволяющей оценивать эффективность СИБ с выделенными этапами, образующими алгоритм [3], согласно которому должна производиться оценка рисков информационной безопасности [4].

Для того чтобы качественно исследовать риски, связанные с ИБ, требуется провести анализ отечественных и зарубежных нормативных документов, разработанных следующими организациями и ведомственными структурами: Международная организация по стандартизации (ИСО); Федеральное агентство по техническому регулированию и метрологии (Росстандарт); Федеральная служба безопасности (ФСБ России); Федеральная служба по техническому и экспертному контролю (ФСТЭК России) и др.

Предметы ведения данных организаций также отличны друг от друга, имеются расхождения в стандартах, безопасности, экономической деятельности на внешнем рынке, деятельности на рынке предоставления банковских услуг и т.д.

При этом процесс анализа присущих рисков должен быть основан на применении таких отраслевых стандартов, как: ГОСТ 34.12-2018 [5], ГОСТ 34.13-2018 [6], ГОСТ-Р 50922-2006 [7], а также должен быть скорректирован согласно стандартам и рекомендациям Банка России, включая СТО БР ИББС-1.0-2014 [8]).

Выделяют более 350 уязвимостей, которые противостоят адекватной деятельности системы информационной безопасности. Так как полный перечень всех рисков использовать достаточно затруднительно, необходимо выделение и формирование ограниченного перечня рисков, необходимых для учета в работе системы, при этом ранжирование и систематизация данных рисков должны быть проведены с учетом их соответствия наиболее важным положениям нормативно-правовой базы.

ГОСТу Р ИСО/МЭК 27001-2006 [9] определяет влияние основных рисков информационной безопасности на свойства доступности, целостности и конфиденциальности информации, так как:

• Конфиденциальность защищает систему от нежелательных атак на скрытые от общего пользователя данные. Считается, что данный аспект является наиболее проработанным, поскольку регламентируется большим количеством нормативных актов и опытом различного рода служб.

• Целостность системы отвечает за актуальные и непротиворечивые данные, защищенные от несанкционированных изменений.

• Доступность позволяет в кратчайшие сроки получать необходимую информацию и услуги.

Требуется выделение некоторых групп рисков для реализации политики информационной безопасности на практике: организационных рисков, связанных с выполнением требований по документам определенного типа, и рисков репутационного характера, связанных с вероятностью нанесения ущерба репутации банка и его имиджу.

В Методике оценки рисков нарушения информационной безопасности [9] Центральный банк России разделяет возможные риски (около 40) на 7 классов в зависимости от основных источников угроз. К первому классу относятся события, имеющие неблагоприятный характер (природные, техногенные, социальные) и др. Ко второму классу относят деятельность преступников, правонарушителей и террористов. Третий класс отводится деятельности различных поставщиков и партнеров. К четвертому классу следует отнести различного рода сбои, разрушения или повреждения средств программного или технического типа. Пятый класс отводится на деятельность, связанную с внутренними нарушителями информационной безопасности. Шестой класс относится к внешним нарушителям ИБ. К седьмому классу относят различные несоответствия требованиям органов, регулирующих информационную безопасность, а также надзорным подразделениям и действующим нормативно-правовым актам.

Для формирования перечня рисков информационной безопасности необходимо учитывать факторы, которые могут воздействовать на безопасность защищаемой информации, способствовать появлению рисков. Согласно ГОСТу Р 51275-2006 [10], факторы по отношению к природе возникновения подразделяются на объективные и субъективные классы, а по отношению к объекту информации - на внутренние и внешние факторы.

Совокупный анализ субъектов рисков, различных факторов и причин их возникновения, а также данных, полученных опытным путем, позволил сформировать обобщенный перечень рисков, влияющих на уровень безопасности информационной системы. Данный перечень рисков для кредитной организации представлен в Таблице 1.

Существует огромное количество нормативно-правовых актов, регулирующих процессы, связанные с информационной безопасностью, в том числе коммерческих банков:

• Указ Президента РФ № 683 «О Стратегии национальной безопасности Российской Федерации» [11];

• Указ Президента РФ № 208 «О Стратегии экономической безопасности Российской Федерации на период до 2030 года» [12];

• Указ Президента РФ № 620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий от компьютерных атак на информационные ресурсы Российской Федерации» [13];

X X

о

го А с.

X

го т

о

2 О

м о

• Федеральный закон № 161-ФЗ «О национальной платежной системе» [14];

• стандарты информационной безопасности организаций банковской системы России;

• Федеральный проект в рамках национальной программы «Цифровая экономика Российской Федерации» [15].

Таблица 1

Обобщенный перечень рисков информационной безопасности банка

о см о см

!Л

О Ш

т

X

3

<

т О X X

2.

Группа рисков

Риски организационного характера

1. Ошибки сотрудников, их низкая классификация и уровень профессионализма, компетенции.

2. Вред умышленного характера, который наносится внутренними сотрудниками.

3. Несоблюдение принципа «двух пар глаз» -совмещения обязанностей администраторов ИС и ИБ.

4. Отсутствие средств, подающих сигналы о возникновении ситуаций, не вписывающихся в регламент.

Риски ре-путацион-ного характера

1. Размещении информации, связанной с внутренними процессами организации и угрожающей репутации банка, во внешней среде.

2. Использование продуктов, которые не были сертифицированы, у которых нет лицензии и

др.

Риски кон-фиденци-альности

Риски целостности и

доступности

Риски финансового характера

Содержание

1. Доступ к данным в ИС и ПК, паролям и ключам, который не был санкционирован.

2. Утечка служебной информации и перехват важных данных.

3. Некачественная идентификация пользователей ИС.

4. Отсутствие в системах ДБО мер, которые позволили бы защитить и обеспечить безопасность клиентов и сотрудников (например, ЭЦП)_

1. Сбой в работе технических средств и программ, потеря необходимых данных или же их недоступность в результате влияния форс-мажорных обстоятельств.

2. Заражение информационных систем банка вирусами.

3. DDoS-атаки на АБС и компьютеры сотрудников банка.

4. СПАМ-сообщения.

1. Недополучение прибыли в связи с издержками, связанными с регулированием последствий некорректной работы систем информационной безопасности

2. Средства, направленные на поддержание уровня информационной безопасности, ее модернизацию в связи с повышением киберак-тивности, ее неоптимальной архитектурой, стоимостью оборудования

3. Завышенная стоимость услуг страхования от киберрисков

4. Недополучение прибыли в связи с издержками альтернативных возможностей

5. Недостаточная ликвидность в связи с чрезмерным инвестированием в систему информационной безопасности

6. Изменение ценовой политики банка в связи с необходимостью покрытия расходов на разработку или модернизацию системы информационной безопасности_

Также следует выделить основные тенденции угроз, связанные с обеспечением информационной безопасности: рост количества кибератак, кибермошенничества и увеличение случаев кибертерроризма; совершенствование различных методов взлома, а также причинение вреда цифровым платформам и электронным устройствам; возникновение вирусов нового типа [16].

Ежегодно увеличивается количество попыток доступа к базам данных, которые являются закрытыми от обычных пользователей, количество кибератак при это увеличилось более чем на 45%. Национальный координационный центр по инцидентам в компьютерной сфере зафиксировал в России более 4,5 млрд. угроз внешнего характера, которые были направлены на инфраструктуру сферы информации [17]. Согласно данным, представленным на сайте крупнейшего отечественного банка - Сбербанка, ежегодно убытки от кибератак составляют более 650 млрд. рублей., при этом ущерб, наносимый мировой экономике, составил в 2018 году 1 трлн. Долларов США [18]. Также за 2018 год удалось предотвратить 41 млрд. случаев мошеннических действий в Интернете, направленных на получение идентификационных данных пользователей и доступ к информации конфиденциального характера. Около 23 млн. атак, использующих спам-рассылки, а также более 12 тысяч случаев подделывания электронной подписи также было зарегистрировано за данный период [19]. Наиболее подверженные кибератакам сферы - государственный и муниципальный аппарат, оборонные и военные структуры, банковские и финансовые институты.

В 2019 году все российские банки были подключены к автоматизированной системе, позволяющей обрабатывать инциденты, связанный с информационной безопасностью. Она была создана Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) - структурным подразделением Департамента информационной безопасности ЦБ РФ. Создание данной структуры говорит о том, что органы власти в нашей стране заинтересованы в создании системы защиты банковских процессов и конфиденциальной информации, касающейся отечественных финансов [20].

Помимо основных причин незащищенности от кибератак и угроз информационного характера: некачественные системы защиты данных, нелицензионное и слабое программное обеспечение, достаточно старые антивирусные программы и т.д., эксперты отмечают также и человеческий фактор. Примером некомпетентности банковского работника Центрального банка являлось открытие письма от неизвестного отправителя, которое оказалось фишинговым и позволило получить доступ к его рабочему месту из-за чего с корреспондентского счета были украдены 60 млн. рублей [21].

В то же время, отечественные банки снижают эффективность своих защитных систем, несвоевременно проведя профилактические мероприятия, направленные на защиту от кибератак [22]. Сбербанк стал активно совершенствовать свои системы защиты информации и обеспечивать более качественную безопасность данным только после ряда взломов баз данных и кражи информации о клиентах, что крайне вредило репутации крупнейшего отечественного финансового института [23].

Сегодня в сфере преступлений, осуществляемых виртуально, можно выявить несколько происходящих

5

тенденций, среди которых: увеличение количества махинаций, связанных с криптовалютой, использование методов социальной инженерии при осуществлении мошеннических операций. При этом внимание хакеров в большей степени уделяется процессам, связанным с обработкой платежей по различным типам банковских карт, которые объединены с платежными системами, нежели интернет-банкингу.

За счет развития современных технологий становится возможным предотвращать негативные тенденции увеличения количества угроз кибератак и обеспечивать бесперебойное функционирование коммерческих банков, которые в то же время помогают удовлетворить потребности клиентов, модернизировать действующий процесс предоставления банковских услуг. Такие инновации не только способствуют повышению показателей эффективности работы организации, но и являются инструментом обеспечения информационной безопасности.

При реорганизации деятельности банка посредством внедрения технологий будущего крайне необходимо учитывать показатели функционирования организации (ее рентабельность, величину активов, структуру доходов и расходов, клиентскую базу), анализировать зарубежный опыт, осуществлять на регулярной основе мониторинг появления новейших технологий, адаптируя их под отечественные банки. Связано это с тем, что последствия сбоев в системе информационной безопасности могут негативно сказаться на структуре активов и пассивов кредитного учреждения. Например, новости в СМИ о произошедшей утечке персональных данных или о хищении денежных средств со счетов могут привести к панике клиентов, оттоку денежных средств со счетов и, как следствие, возникновение проблем с ликвидностью у банка. Значительный объем денежных средств также необходимо будет вложить в улучшение системы безопасности, ее доработку и модернизацию.

Большой объем вложений денежных средств в разработку системы информационной безопасности будет требовать дополнительных инвестиций, которые повлекут за собой либо изменение ценовой политики банка, что может негативно сказаться на уровне его конкурентоспособности, либо же приведет к снижению требований банка по отношению к своим заемщикам и потенциальным клиентам, что может привести к реализации риска любого рода.

Зарубежные банки достаточно часто в своем арсенале используют технологии BigData, которые помогают им находить необходимые данные в больших массивах информации, а также обрабатывать их и структурировать. Данные действия помогают защитить нужный массив информации от угроз хищения, утраты, разглашения, уничтожения или искажения со стороны злоумышленников.

В кредитных организациях данная технология используется для выполнения множества задач, среди которых:

• проведение скоринга (помимо анализа финансового состояния клиента технология позволяет проанализировать значительный объем внешней информации, например, статьи в СМИ, прогнозы, соцсети);

• обеспечение безопасности информационных массивов;

• работа с персоналом (проверка кандидатов на вакансии);

• маркетинг (персонализация предлагаемых клиентам банковских продуктов) и др.

Внедрение технологии способствует росту качества обслуживания клиентов, повышению скорости обработки их запросов, помогая ускорить все банковские процессы, оптимизируя планирование производства и снижая издержки на сервисные услуги. К примеру, Центральный банк России привлек компанию-подрядчика, с чьей помощью занимается анализом сетевой BigData для выявления новых схем мошенничества и точек их распространения [24].

Другой активно используемой инновацией является технология блокчейн, которая способствует свободному хранению информации для лиц, являющихся заинтересованными в ней. Формируемая хронологическая информационная цепочка позволяет оценить законность действий банка и клиентов, снижая издержки у банка и обеспечивая безопасность [25].

В 2018 г. в нашей стране Банк России и Министерство цифрового развития создали проект единой цифровой платформы для проведения биометрической идентификации клиентов дистанционно - единая биометрическая система, где при регистрации клиента в системе информация шифруется согласно имеющимся требованиям. Развитие такой идентификации нацелено на противодействие несанкционированному доступу к охраняемым сведениям и предоставление возможности гражданам открыть счет, оформить кредит или открыть вклад без личного присутствия в отделении банка. Лидерами по сбору биометрической информации среди отечественных кредитных организаций являются ПАО Сбербанк и АО «Тинькофф Банк», где внедряются идентификация клиентов по голосу или отпечатку пальца. Однако пока такой способ взаимодействия между клиентом и банком не пользуется особой популярностью в связи с недоверием населения и возможными последствиями хищения такого рода информации.

Ряд крупных зарубежных банков считают, что крайне выгодно страховать риски информационной сферы, так как это способствует оптимальному покрытию их расходов, в связи с чем все большее распространение получает рынок страхования от киберугроз. В России также производятся расходы на киберстрахование, денежные средства идут из федерального бюджета, объем траншей в совокупности составит за 2019-2020 год сумму в 250 млн. рублей. Рынок страхования от хакерской деятельности в России является достаточно молодым, сравнительно недавно коммерческие банки увеличили расходы на системы информационной безопасности, поэтому вливания за ближайшие несколько лет должны вырасти вдвое по мнению экспертов [26].

В 2018 году достаточно большое количество инноваций было внедрено в систему информационной безопасности, что позволило снизить убытки банков от ки-бермошенничества и других угроз практически в 14 раз по сравнению с прошлым годом (77 млн. рублей против 1 млрд. 55 млн. рублей). Данная статистика лишь подтверждает тот факт, что разработки новейших технологий в сфере защиты информации должны развиваться все активнее с каждым годом, ведь только тогда станет возможным значительно минимизировать размер убытков. Данные действия не только помогут избежать потерь средств, но и повысят уровень надежности коммерческих банков, степень доверия к ним граждан, уровень функциональной оснащенности и т.д. [27].

X X

о

го А с.

X

го т

о

2 О

м о

о

CS

о

CS

in

О Ш

m

X

3

<

m О X X

Таким образом, в данной статье были обозначены основные тенденции, связанные с развитием киберугроз различного характера для банка, была подчеркнута необходимость усовершенствования систем защиты данных, выявлена высокая значимость разработки и внедрения инноваций во всем финансовом секторе.

Были выделены некоторые актуальные меры информационной защиты данных после проведения анализа технологических решений, которые необходимы для противодействия совершения преступлений в области ИБ, применяемые лидерами в банковском секторе:

• требуется усовершенствовать стандарты по информационной безопасности в финансовых и коммерческих организациях на государственном уровне и внедрить контроль за их исполнением;

• необходимо увеличить объем финансирования на развитие защиты баз данных;

• нужно применять зарубежный опыт и технологии, учитывая особенности российской банковской системы;

• должны применяться инновационные технологии по борьбе с кибератаками;

• требуется проводить профилактические работы, чтобы протестировать и оценить качество СИБ;

• банки с цифровыми экосистемами, венчурные фонды, предприниматели, научно-исследовательские центры и другие участники рынка должны участвовать в конкурсах по предоставлению гранта на разработку программ по противодействию рискам информационной безопасности;

• развивать отечественные разработки по защите информации с целью снижения зависимости от зарубежного программного обеспечения;

• повышение квалификации работников организаций с целью снижения ошибок практического характера, которые могут поспособствовать реализации риска информационной безопасности;

• необходимо создать саморегулируемую организацию, занимающуюся оценкой опыта и квалификации ИТ-специалистов, повышением их квалификации и т.д.

Перспективным направлением научных исследований представляется разработка методики оценки стоимости управления рисками информационной безопасности коммерческого банка, которая позволила бы оценить, сколько ресурсов потребуется для достижения стабильного функционирования, конкурентоспособности, устойчивого роста финансовых показателей банков, сокращения их издержек, а также пресечения мошенничества в киберпространстве и рационального распределения финансовых ресурсов. Самые современные способы борьбы с несанкционированными доступами к банковским системам позволили бы минимизировать риски различного характера, что сможет сократить вероятность наступления кризиса в банковской сфере и уменьшить материальный ущерб банков от кибератак. Проблема кибербезопасности является крайне важной в системе управления кредитными организациями как для самого банка, так и для интересов общества в целом.

Литература

1. Белоусов А. Л. Некоторые аспекты внедрения информационных технологий в финансовой сфере // Инновационное развитие экономики. Будущее России: материалы и доклады V Всероссийской (национальной) научно-практ. конференции. 2018. С. 7-12.

2. Сургуладзе В. Ш. Информационная политика Российской Федерации: доктрина информационной безопасности в системе целеполагающих документов государственного стратегического планирования // Власть. 2017. Т. 25, N° 2. С. 75-77.

3. Пчелин А.А. О рисках информационной безопасности кредитной организации // Горный информационно-аналитический бюллетень (научно-технический журнал). 2015. № 2. С. 320-328.

4. Kulik T., Larsen P. G. Towards formal verification of cyber security standards // Труды Института системного программирования РАН. 2018. Т. 30. № 4. С. 79-94.

5. ГОСТ 34.12-2018. Межгосударственный стандарт. Информационная технология. Криптографическая защита информации. Блочные шифры (введен в действие Приказом Росстандарта от 04.12.2018 N 1061-ст)

6. ГОСТ 34.13-2018. Межгосударственный стандарт. Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров (введен в действие Приказом Росстандарта от 04.12.2018 N 1062-ст)

7. ГОСТ Р 50922-2006. Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения (утв. и введен в действие Приказом Ростехрегулирования от 27.12.2006 N 373-ст)

8. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2014 (принят и введен в действие Распоряжением Банка России от 17.05.2014 N Р-399)

9. Рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности» (приняты и введены в действие распоряжением ЦБР от 11 ноября 2009 г. N Р-1190)

10. ГОСТ Р 51275-2006. Национальный стандарт Российской Федерации. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения (утв. и введен в действие Приказом Ростехрегулирования от 27.12.2006 N 374-ст)

11. Указ Президента РФ от 31.12.2015 № 683 «О Стратегии национальной безопасности Российской Федерации»

12. Указ Президента РФ от 13.05.2017 № 208 «О Стратегии экономической безопасности Российской Федерации на период до 2030 года»

13. Указ Президента РФ от 22.12.2017 № 620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»

14. Федеральный закон от 27.06.2011 № 161-ФЗ (ред. от 02.08.2019) «О национальной платежной системе» (с изм. и доп., вступ. в силу с 15.09.2019)

15. Постановление Правительства РФ от 02.03.2019 № 234 (ред. от 07.12.2019) "О системе управления реализацией национальной программы «Цифровая экономика Российской Федерации»

16. Бураева Л. А. Кибертерроризм как новая и наиболее опасная форма терроризма // Пробелы в российском законодательстве. 2017. № 3. С. 35-37.

17. За год на Россию было совершено более четырех миллиардов кибератак. URL: https://rg.ru/2018/12/12/za-

god-na-rossiiu-bylo-soversheno-bolee-chetyreh-milNardov-kiberatak.html (дата обращения 19.12.2019).

18. Кибератаки на банки: тренды, уязвимости и роль регулятора. URL: https://arb.ru/b2b/pointofview/kiberataki_na_banki_trendy_ uyazvimosti_i_rol_regu lyatora-10217521/ (дата обращения 19.12.2019).

19. Статистика по киберугрозам в мире за 2018 г. URL: https://www.itbestsellers.ru/companies-analytics/de-tail.php?ID=41543 (дата обращения 19.12.2019).

20. Солодкая А. М. Роль Центрального банка Российской Федерации в развитии финансовых технологий в отечественной экономике // Экономика и бизнес: теория и практика. 2019. № 1. С. 228-234.

21. ПИР для хакеров. URL: https://www.kommersant.ru/doc/3677400 (дата обращения 19.12.2019).

22. Mastercard допустила утечку данных 90 тыс. клиентов. URL: https://www.rbc.ru/finances/23/08/2019/5d6022d59a79473 df8a2c291 (дата обращения 19.12.2019).

23. Ефанова Е.А. Информационная безопасность банковской сферы в Российской Федерации // Молодежный научный форум: Общественные и экономические науки: электр. сб. ст. по мат. XLIX междунар. студ. науч.-практ. конф. № 9(49)

24. Падение пирамид URL: https://www.banki.ru/news/bankpress/?id=10260069 (дата обращения 19.12.2019).

25. Шайданов Т. Р. Повышение качества банковских услуг в условиях развития цифровой экономики // Иннов: электронный научный журнал. 2018. № 6 (39).

26. Сырецкий Г. А. Сквозные цифровые технологии и прорывные технологии кибербезопасности в контексте системного инжиниринга // Интерэкспо Гео-Сибирь. 2018. № 7. С. 254-260.

27. ЦБ назвал ущерб российских банков от кибератак в 2018 году. URL: https://www.rbc.ru/rbcfree-news/5bc881ea9a7947189fe00a9a (дата обращения 19.12.2019).

28. Иванов М.А., Гужина Г.Н. Особенности управления рисками в рыночных условиях // Вестник Российского государственного аграрного заочного университета. 2009. № 7 (12). С. 198.

29. Сысоева Е.В. Прибыль и убыток как финансовые результаты и важнейшие категории деятельности организации в рыночных отношениях // Транспортное дело России. 2015. № 3. С. 24-27.

Information Security Risks of Commercial Banks in the New

Economic and Technological Reality Nesterova D.A.

Financial University under the Government of the Russian Federation

The information security risks of domestic banking system are analyzed in this article. The author provides a classification of information security risks, causes and factors of their occurrence. The importance of creating an information security system, its composition, structure and functions are also described. The statistics of cases of information security risk implementation is presented, the main trends of cyber threats in the world and in domestic practice are identified. A special role of such technologies as BigData, blockchain, machine learning, biometrics is also identified in a process of ensuring the information security of organizations. The description of the main regulatory acts governing the processes associated with ensuring the information security of banking sector organizations is given. The

author highlights the measures that banks need to take to ensure information security of data and improve the information security system.

Keywords: banking, russian banking system, security of economy and information, information security system, threats and risks, financial sustainability, fintech, technology implementation, efficiency References

1. Belousov A. L. Some aspects of the implementation of infor-

mation technology in the financial sector // Innovative development of the economy. The future of Russia: materials and reports of the V All-Russian (national) scientific and practical. conferences. 2018.S. 7-12.

2. Surguladze V. Sh. Information policy of the Russian Federation: the

doctrine of information security in the system of goal-setting documents of state strategic planning // Power. 2017.Vol. 25, 2.P. 75-77.

3. Pchelin A.A. On the risks of information security of a credit insti-

tution // Mountain Information and Analytical Bulletin (scientific and technical journal). 2015. No. 2. P. 320-328.

4. Kulik T., Larsen P. G. Towards formal verification of cyber secu-

rity standards // Proceedings of the Institute for System Programming of the Russian Academy of Sciences. 2018.Vol. 30. No. 4. P. 79-94.

5. GOST 34.12-2018. Interstate standard. Information technology.

Cryptographic information security. Block ciphers (entered into force by the Order of Rosstandart dated 04.12.2018 N 1061-st)

6. GOST 34.13-2018. Interstate standard. Information technology.

Cryptographic information security. Operating modes of block ciphers (entered into force by the Order of Rosstandart dated 04.12.2018 N 1062-st)

7. GOST R 50922-2006. National standard of the Russian Federa-

tion. Data protection. Basic terms and definitions (approved and entered into force by the Order of the Russian Technical Regulation of December 27, 2006 No. 373-st)

8. The standard of the Bank of Russia "Ensuring the information

security of organizations of the banking system of the Russian Federation. General Provisions »STO BR IBBS-1.0-2014 (adopted and enforced by Order of the Bank of Russia dated 05.17.2014 N P-399)

9. Recommendations in the field of standardization of the Bank of

Russia RS BR IBBS-2.2-2009 "Ensuring the information security of organizations of the banking system of the Russian Federation. Methodology for assessing the risks of information security breaches "(adopted and enforced by order of the CBR of November 11, 2009 N P-1190)

10. GOST R 51275-2006. National standard of the Russian Federation. Data protection. The object of informatization. Factors affecting information. General Provisions (approved and enforced by Order of the Russian Technical Regulation of December 27, 2006 . 374-st)

11. Decree of the President of the Russian Federation of December 31, 2015 No. 683 "On the National Security Strategy of the Russian Federation"

12. Decree of the President of the Russian Federation of 05.13.2017 No. 208 "On the Strategy for the Economic Security of the Russian Federation for the period until 2030"

13. Decree of the President of the Russian Federation of December 22, 2017 No. 620 "On improving the state system for detecting, preventing and eliminating the consequences of computer attacks on the information resources of the Russian Federation"

14. Federal Law of June 27, 2011 No. 161 -FZ (as amended on August 2, 2019) "On the National Payment System" (as amended and supplemented, entered into force on September 15, 2019)

15. Decree of the Government of the Russian Federation of March 2, 2019 No. 234 (as amended on December 7, 2019) "On the system for managing the implementation of the national program" Digital Economy of the Russian Federation "

16. Buraeva L. A. Cyber terrorism as a new and most dangerous form of terrorism // Gaps in Russian law. 2017. No. 3. P. 35-37.

17. During the year, more than four billion cyberattacks were committed against Russia. URL: https://rg.ru/2018/12/12/za-god-na-rossiiu-bylo-soversheno-bolee-chetyreh-milliardov-kiberatak.html (accessed 12/19/2019).

X X О го А С.

X

го m

о

2 О M

о

18. Cyber attacks on banks: trends, vulnerabilities and the role of the regulator. URL: https://arb.ru/b2b/poin-tofview/kiberataki_na_banki_trendy_uyazvimostij_rol_reg-ulyatora-10217521/ (accessed 12/19/2019).

19. Statistics on cyber threats in the world for 2018. URL: https://www.itbestsellers.ru/companies-analytics/de-tail.php?ID=41543 (accessed 12/19/2019).

20. Solodkaya AM The role of the Central Bank of the Russian Federation in the development of financial technologies in the domestic economy // Economics and Business: Theory and Practice. 2019.No 1. S. 228-234.

21. PIR for hackers. URL: https://www.kommersant.ru/doc/3677400 (accessed 12/19/2019).

22. Mastercard leaked data to 90 thousand customers. URL: https://www.rbc.ru/fi-

nances/23/08/2019/5d6022d59a79473df8a2c291 (accessed 12/19/2019).

23. Efanova E.A. Information security of the banking sector in the Russian Federation // Youth Scientific Forum: Social and Economic Sciences: elektr. Sat Art. by mat. Xlix int. Stud. scientific-practical conf. No. 9 (49)

24. The fall of the pyramids URL: https://www.banki.ru/news/bankpress/?id=10260069 (accessed 12/19/2019).

25. Shaydanov T. R. Improving the quality of banking services in the development of the digital economy // Innov: electronic scientific journal. 2018. No. 6 (39).

26. Syretsky G. A. Cross-cutting digital technologies and breakthrough cybersecurity technologies in the context of system engineering // Interexpo Geo-Siberia. 2018.No 7.P. 254-260.

27. The Central Bank called the damage to Russian banks from cyber attacks in 2018. URL: https://www.rbc.ru/rbcfree-news/5bc881ea9a7947189fe00a9a (accessed 12/19/2019).

28. Ivanov M.A., Guzhina G.N. Features of risk management in market conditions // Bulletin of the Russian State Agrarian Correspondence University. 2009. No. 7 (12). S. 198.

29. Sysoeva E.V. Profit and loss as financial results and the most important categories of organization activity in market relations // Transport business of Russia. 2015. No 3. S. 24-27

o

CN O CN

U3

O HI

m x

3

<

m o x

X