В будущем ЦБ РФ может ввести еще один способ для контроля соблюдения финансовыми учреждениями требований по кибербезопасности — стресс-тестированию. Об этом заявил зампред Банка России Василий Поздышев в ходе XI Уральского форума «Информационная безопасность финансовой сферы».
Требования к стресс-тестированию планируется учесть при разработке новой системы управления операционными рисками. Работы по созданию такой системы сейчас ведутся Банком России. Регулятор планирует разработать систему сценариев для централизованного стресс-тестирования. Однако даже смоделировать их очень непросто, поэтому на текущий момент эта задача считается крайне сложной.
Решение о введении стресс-тестов в практику проверки финансовых организаций продиктовано международным опытом. По словам Артема Сычева, первого замдиректора департамента информационной безопасности Банка России, планируется привлечь к процессу разработки сторонние организации. Систему оценки качества их работы регулятор намерен обсуждать с Федеральной службой безопасности и Федеральной службой по техническому и экспортному контролю.
Рынок отнесся к инициативе ЦБ РФ крайне настороженно. Его участники полагают, что многое в итоге будет зависеть от доступности методик и инструментов, а также от квалификации организаций, чьими функциями будут пользоваться для проведения и оценки результатов стресс-тестов.
Более того, до сих пор непонятно, какие именно системы планируется подвергать стресс-тестам. В числе кандидатов называют общую систему безопасности финучреждений, их бизнес-системы, их бизнес-процессы, ИТ-инфраструктуру. Вполне возможно, что речь может идти также о так называемых глобальных «киберучениях».
Оценить возможные последствия от реализации новации ЦБ в настоящее время практически невозможно. Главная причина - отсутствие какой-либо статистической информации по этой проблеме.
Регуляторы многих стран мира в настоящее время заняты подготовкой перечня требований к стресс-тестированию банковских систем для оценки их уязвимости от киберугроз. Со слов Поздышева, пока в полной мере это еще нигде в мире не было реализовано. Однако примеры уже появились.
Так еще в 2012 году Банк Англии разработал метод добровольного тестирования для банков. В 2016 году системы оценки киберустойчивости банков были реализованы в Сингапуре, а спустя два года европейский ЦБ предложил для банков ЕС систему симуляции кибератак.
Слабым местом для существующих в мире решений, заявил Поздышев, является отсутствие общего подхода. Банк России намерен уже на старте исходить из того, что стресс-тестирование будет осуществляться только централизованным методом.
В настоящее время уже сформулированы требования, предъявляемые к финансовым учреждениям. Речь идет о необходимости обязательного проведения внешней оценки на соответствие требованиям по кибербезопасности и ежегодному проведению пентестов. Эти положения изложены в поправках к Положению Банка России №382-П.
Однако по словам одного из независимых экспертов по кибербезопасности до сих пор нет даже осознания, что между пентестом и стресс-тестом имеется существенная разница. Пентесты представляют собой способ контроля возможности несанкционированного проникновения в систему, тогда как стресс-тесты являются проверкой системы на способность функционировать в условиях активного противодействия.
В Евросоюзе тоже пока нет жесткого требования к финансовым учреждениям на проведение стресс-тестов. Обычно это делается на добровольной основе с привлечением готовых фреймворков, разработанных различными ассоциациями по кибербезопасности. В большинстве случаев речь идет о выполнении серии расширенных пентестов.