«Наши исследования касались трех наибольших рынков: Америка, Европа и Азия. И тенденция говорит о том, что цифровые риски, с которыми сталкиваются банки во всех трех регионах, более-менее похожи. Это утечка данных. Второе – социальная инженерия. И третье – стремительное развитие новых цифровых каналов и быстрых платежей», – заявил старший консультант отдела консультирования по управлению рисками KPMG в Украине Артем Кобец в ходе круглого стола «Щеплення проти кібератак як сучасний підхід управління ризиками», проведенного «Финансовым клубом».

По его мнению, каждый из рисков должен рассматриваться индивидуально.

«Нет единого рецепта, как банкам защититься от этих рисков. Если взять социальную инженерию, когда злоумышленники вынуждают пользователей выдавать им ту информацию, которая может считаться конфиденциальной, то это совместная ответственность как пользователей банка, так и самого банка», – подчеркивает Артем Кобец.

Кибератаки приводят не только к репутационным потерям банков, сетует он. «Если злоумышленник попадает в информационную систему банка, то возможны прямые финансовые потери. Также не следует забывать, что киберинциденты могут приводить к сбоям в работе информационной системы, что может негативно сказаться на бизнес-процессах банка. А любой простой – это дополнительные деньги», – отмечает Артем Кобец.

Руководитель департамента информационной безопасности IBM Яков Шишков говорит, что, с одной стороны, банкам необходимо обеспечить безопасность карточных данных и безопасность клиентов, а с другой – банки не желают тратить большие деньги.

«Но постепенно весы склоняются в сторону безопасности. Возможно, через три-пять лет стандарт PCI DSS станет обязательным для банков. И за несоответствие этому стандарту будут серьезные санкции», – прогнозирует Яков Шишков.

Payment Card Industry Data Security Standard (PCI DSS) — стандарт безопасности данных при работе с платежными картами, разработанный Советом по стандартам безопасности индустрии платежных карт.

Украинское законодательство позволяет банкам оставаться гибкими с точки зрения IT-защиты, если они часть рисков берут на себя.

«Национальный банк ввел 95-м постановлением риск-ориентированный подход к построению информационной безопасности. Есть обязательные требования и рекомендации. Банк может на свой страх и риск принимать некоторые риски, но в случае инцидентов должен будет возвращать деньги, которые были украдены у клиента», – говорит начальник управления информационной безопасности Укргазбанка Сергей Недзельский.

Подписывайтесь на новости FinClub в Telegram, Viber, Twitter и Facebook.