Эксперты полагают, что только 16 процентов банков готовы применять новый стандарт информационной безопасности, предложенный ЦБ для снижения рисков утечки данных о клиентах. Банкиры пока не видят экономической целесообразности внедрять дорогую технологию. Но ЦБ настойчив: к 2009 году рекомендации ЦБ по усилению информационной безопасности превратятся в требования.
Вопросы, связанные с информационной безопасностью банков, вышли на первый план после громких скандалов, связанных с утечками данных о клиентах различных банков, а также поступлением в продажу нелегальной базы данных заемщиков крупнейших российских банков.
При этом жертвами неизвестных мошенников стали 700 тысяч заемщиков. Все они попали в базы данных компаний, проводящих агрессивный маркетинг.
В России ежегодно происходит как минимум 2-3 крупных скандала, в которых замешаны банки, в частности, занимающиеся экспресс-кредитованием, когда утрачиваются сотни записей. Выходят на открытый рынок сотни тысяч записей об их заемщиках. В Америке эти утечки происходят по 10 раз в месяц.
В чем же причина столь низкой активности банков в области безопасности? Возможно, дело в высокой стоимости внедрения подобных систем - это сотни тысяч долларов. Такие расходы "не по зубам" не только мелким, но и средним банкам.
Некоторые эксперты, однако, считают, что дело не в стоимости, просто внедрение стандарта - достаточно трудозатратная вещь, сразу ее не осилить. Как правило, малым и средним банкам сложно разобраться в нем и подготовить весь комплекс защиты.
В 90-х годах, когда банки только озаботились вопросами безопасности, не было ясного понимания, от чего и от кого защищаться. Защищались от налетчиков, а ведь кража информации гораздо опаснее. При этом внутренние угрозы информбезопасности, нарушение конфиденциальности и утрата информации имеют больший приоритет перед внешними. Как же защититься от недобросовестных инсайдеров, своего рода "кротов", подрывающих авторитет собственных банков?
Стандарт ЦБ в первую очередь обращает внимание на организационные меры по защите. В этом документе прописано все, начиная от подготовки документации, политики информационной безопасности до модели потенциального нарушителя.
В принципе это достаточно стандартный набор, включающий определенные технологические процедуры, в частности, определенные ограничения от доступа, вещи, связанные с шифровкой данных, криптография, также обеспечение процедуры аудита на соответствие стандарта информационной безопасности.
Есть надежда, что стандарт все же станет обязательным требованием в контексте требований международного соглашения "Базель-2" по операционным рискам.
Справка по соглашению "Базель-2". Свод нормативов, соглашения, содержит рекомендации по совершенствованию техники оценки кредитных рисков и их управлению, а также рекомендации по развитию надзора над рисками, состоянием риск-менеджмента и рыночной дисциплины.
Но пока банки не торопятся укреплять безопасность. Главными причинами своей невысокой активности в части практического внедрения стандарта банкиры называют отсутствие методических материалов ЦБ по практическому внедрению (49 процентов), бюджетные ограничения (40 процентов) и отсутствие реальных экономических стимулов (31 процент). Лишь 5 процентов банков в той или иной степени внедрили стандарт ЦБ.