Перейти к основному содержанию

kursiv_in_telegram.JPG


1014 просмотров

Безопасность под прицелом: как работает система информационной безопасности в банках

Большое количество инцидентов в ИБ подрывают имидж компании, и этот вопрос более актуален для банков

Фото: Офелия Жакаева

Профессиональная банковская площадка, на которой бы поднимались вопросы ИБ, могла стать весьма полезным инструментом для всего сектора. Управляющий директор ИТ группы АО «Банк ЦентрКредит» Нурлан Сарсебеков поделился взглядом на безопасность в банках.

- Нурлан, расскажите насколько актуальны вопросы цифровой безопасности в банках? Какие риски сегодня стоят перед финансовыми организациями?

На фоне высокой конкуренции банки наращивают свой технологический потенциал. Фактически на ежедневной основе создаются новые продукты и сервисы, как это модно сейчас говорить, в цифровом формате. Т.е. в базисе современных финансовых сервисов большая доля технологичности, представленной в виде набора ИТ решений. А любое хорошее ИТ решение должно разрабатываться с учетом требований информационной безопасности. Все больше углубляясь в трансформацию традиционного банкинга, занимаясь цифровизацией процессов и услуг мы, банки, не должны забывать, что в фундаменте банковского бизнеса изначально заложен принцип надежности и стабильности. Следовательно, создавать современные финансовые сервисы без учета вопросов информационной безопасности - это подрывать основы банковского дела.

Если говорить о рисках технологических, то кибер угрозы растут, так как это обратная, хочется сказать «темная», сторона развития ИТ, развивающаяся параллельно. Но я считаю это естественным и, по большому счету, нормальным явлением. С одной стороны угрозы и технологии, направленные на нанесение ущерба, конечно негативный аспект, но с другой, в ответ на эти угрозы идет колоссальное развитие соответствующих технологий. Тут важно отметить, что к вопросу о рисках информационной безопасности, мы должны подходить системно и комплексно. Недостаточно просто в ответ на техно угрозу, установить техническую систему. Необходимо прорабатывать вопросы организации операционных процессов ИБ, и конечно, постоянно повышать компетенции специалистов ИБ.  Только при соблюдении правильного баланса между технологиями, процессами и уровнем компетенции специалистов можно организовать эффективную систему защиты от рисков ИБ.

- Сталкивались ли банки с такой историей?

Конечно в истории современного банкинга много кейсов связанных с событиями в области нарушения информационной безопасности.  В том, числе есть печальный опыт и в Казахстане. Но я могу отметить, что банковский сектор в области развития Информационной безопасности достаточно зрелый. У многих банков, есть отдельные службы ИБ, выстроены или выстраиваются процессы поддержки и обеспечения высокого уровня информационной безопасности. Есть программы развития внутренней компетенции. Банки проходят на периодической основе аудиты на соответствие международным стандартам и внутренним стандартам крупных компаний, таких как PCI DSS, ISO. Так же есть нормативные документы регулятора в виде отдельных требований и рекомендаций к участникам банковского рынка по вопросам обеспечения должного уровня ИБ. Клиентов банков в РК могу уверить в том, что в большинстве структур финансового сектора РК, работа, в направлении обеспечения информационной безопасности, проводится регулярно и под надзором, соответствующих компетентных органов.

- Какой экономический ущерб несут банки в результате кибератак?

Ущерб может быть разным. Помимо аспекта, связанного с прямыми финансовыми потерями, очень большое количество инцидентов в ИБ подрывают имидж компании, и этот вопрос более актуален для банков. Доля прямых финансовых потерь, на самом деле минимальная.  Но, как я упоминал, самое главное требование которое предъявляет клиент к банкам, это его надежность. Если надежность поставлена под сомнение, это может привести к оттоку клиентов.  Именно с этой позиции, любой даже самый безобидный инцидент ИБ, может нанести больший ущерб банку подорвав его имидж.  Кто будет хранить деньги в сейфе, который взломали? Обидно только, что иногда даже попытка взломать сейф, может вызывать сомнения клиентов в его надежности. Очень важно своевременно и адекватно реагировать, и отрабатывать такие вопросы. И без правильно организованных процессов тут никак.

- На какие системы чаще всего осуществляются атаки?

На сегодняшний день противозаконным действиям больше других подвергаются устройства дистанционного банковского обслуживания. И здесь срабатывает обычная психология. Что такое банковский банкомат или терминал самообслуживания? Это ящик с деньгами. Соответственно у людей, периодически возникает желание подорвать систему безопасности, но как правило это редко заканчивается большим финансовым ущербом для банка. Такие взломщики в основном наносят ущерб оборудованию.   Тут конечно идет речь о физической атаке.

Другое дело это цифровое поле, и тут количество всевозможных инцидентов, от компьютерных вирусных программ, атак, приводящих к отказу от обслуживания, до взлома системы и получения бизнес критической информации, значительно превышает физические. Другое дело, что большая доля всевозможных технических инцидентов обрабатывается и решается современными техническими системами в рамках организованных операционных процессов. Уровень зрелости этих процессов зависит от конкретной компании или банка.

- На ваш взгляд, почему банки не раскрывают данные об атаках и нужно ли это делать?

К вопросам уведомления широкой публики об инцидентах ИБ необходимо подходить очень аккуратно. Я скорее, против такой практики, и не потому, что сомневаюсь в уровне ИБ в Банках и компетенции соответствующих специалистов.  Подобные сообщения могут вызывать неправильную реакцию со стороны клиентов и партнеров, ввиду возможного отсутствия достаточной компетенции в технических вопросах. Безобидный инцидент, может обернуться в потерю доверия к компании, просто из-за неверного толкования произошедшего события.

Банки ежедневно сталкиваются с какими-то техническими проблемами и сбоями - 100% надежной системы не существует. Поэтому, информирование о таких случаях, при недостаточном понимании глубины этих процессов со стороны клиентов, может сыграть злую шутку с банками.  По этой причине я не сторонник, таких «благих инициатив» не хотел бы чтобы создавались условия для возможной дискредитации, не только какой-то конкретной финансовой структуры, но и системы в целом.

С другой стороны, создание отдельной профессиональной площадки, на уровне банковского сообщества, на которой бы поднимались вопросы ИБ, вырабатывались общие меры по противодействию, вырабатывались стандарты и т.п. безусловно, было бы полезным. Я больше за формат, когда узко специализированные вопросы, обсуждались на профессиональных площадках.  

- Расскажите, какие направления в IT-сегменте будут развивать банки в текущем году? К чему готовиться клиентам?

Технологическая часть очень сильно развивается, это очевидно. Происходит совершенствование банковских мобильных приложений, систем персонального банкинга. Все это будет естественно развиваться, будут дополнительно вводится какие-то новые элементы для облегчения процессов взаимодействия между банком и клиентом.

Интересное направление - это мобильные решения для малого и среднего бизнеса, которые будут нацелены на то, чтобы клиенты без посещения банка выполняли как можно больше финансовых операций. 

- К слову, на прошлой неделе Национальный банк РК сообщил о запуске системы по удаленной идентификации личности для финансового сектора в тестовом режиме. Расскажите подробнее об этой инициативе?

Цифровая аутентификация позволит любому гражданину РК получить доступ к услугам без физического посещения банка. Сейчас мы этого сделать не можем поскольку по правилам нужны определенные документы с физической подписью.

Безусловно, мы очень заинтересованы в том, чтобы решения по удаленной идентификации появились как можно скорее. Также мы ожидаем, создание новой технологической платформы поспособствует изменениям в законодательстве, пересмотру требований регулятора. На наш взгляд, эта важная работа, которая создаст условия для следующего этапа развития финуслуг в Казахстане.  

 


3432 просмотра

«КПМГ Аудит» не согласился с оценкой кредитного портфеля Цеснабанка в 2018 году

По их мнению, она не отражает во всех аспектах финансовое положение банка

Компания «КПМГ Аудит», проведя аудит финансовой отчетности АО «First Heartland Jýsan Bank» (бывший Цеснабанк) за 2018 год, выразила отрицательное мнение по представленной банком отчетности. Аудиторский отчет размещен сегодня на сайте KASE.

«Прилагаемая отчетность не отражает достоверно во всех существенных аспектах финансовое положение банка по состоянию на 31 декабря 2018 года, а также его финансовые результаты и движение денежных средств за год, закончившийся на указанную дату, в соответствии с международными стандартами финансовой отчетности», – говорится в аудиторском отчете.

В частности, отмечают аудиторы, существуют индикаторы того, что значительная часть выданных банком кредитов является кредитно-обесцененной, но они не были определены банком как таковые, и что резерв под обесценение кредитов был значительно занижен.

О серьезных проблемах в Цеснабанке общественность узнала в середине 2018 года, когда на рынок просочилась информация о том, что банк для поддержания ликвидности получил от регулятора стабилизационный заем в размере 150 млрд тенге. Дефицит ликвидности в банке объяснили досрочным изъятием значительной части средств ряда квазигосударственных компаний.

Осенью государство в лице Фонда проблемных кредитов (ФПК) выкупило за 450 млрд тенге токсичные ссуды банка. В январе 2019 года на те же цели ФПК потратил еще 604 млрд тенге.

2 февраля брокерская компания First Heartland Securities приобрела контрольный пакет акций Цеснабанка. В апреле бренд аграрного банка перестал существовать, на смену ему пришел бренд Jýsan. В примечаниях к неконсолидированной финансовой отчетности Jýsan Bank за 2018 год говорится, что 5 февраля 2019 года банк полностью погасил задолженность перед Нацбанком в размере 276,45 млрд тенге.

Официальная статистика, публикуемая на сайте регулятора, не позволяла судить о реальном положении дел в Цеснабанке и качестве его кредитного портфеля. На протяжении всего 2018 года доля кредитов с просрочкой свыше 90 дней в Цеснабанке не превышала 6,76%. Объективная картина стала видна только после смены акционера. На 1 февраля текущего года доля NPL 90+ в банке выросла до 15,76%, на 1 июля она составляет уже 39,81%.

Также сегодня стало известно о сумме заработка ключевых руководителей Цеснабанка за 2018 год. Данная информация была представлена на заседании совета директоров Jýsan Bank, состоявшегося 26 июля, и сегодня размещена на сайте KASE. В прошлом году в состав совета директоров Цеснабанка в разное время входило 9 человек, в состав правления – 13 человек. Суммарно им было выплачено 663,5 млн тенге, в том числе членам правления – 362,25 млн тенге, членам СД – 301,25 млн тенге.

Рейтинг прозрачности крупнейших компаний Казахстана

Читайте нас в TELEGRAM | https://t.me/kursivkz

Вопрос дня

Архив опросов

Как вы провели или планируете провести отпуск этим летом?

Варианты

 

Цифра дня

старше 20 лет
половина продаваемых авто в Казахстане

Цитата дня

Земля должна принадлежать тем, кто на ней работает. Земля иностранцам продаваться не будет. Это моя принципиальная позиция

Касым-Жомарт Токаев
президент Республики Казахстан

Спецпроекты

Рейтинг прозрачности крупнейших компаний Казахстана

Рейтинг прозрачности крупнейших компаний Казахстана

Биржевой навигатор от Freedom Finance

Биржевой навигатор от Freedom Finance


KAZATOMPROM - IPO уранового гиганта
Новый Курс - все о мире инвестиций

Банк Хоум Кредит

Home Credit Bank


Новый Курс - все о мире инвестиций
Новый Курс - все о мире инвестиций