Центральные банки и риски кибербезопасности
В 2021 г. 61% из почти 3500 экспертов в 60 странах, опрошенных Ipsos для французской инвестиционной компании AXA, включили риски, связанные с кибербезопасностью, в топ-3 главных рисков, которые будут влиять на общество в следующие 5–10 лет. В 2018 г. эта доля составляла 54%. В «общем зачете» киберриски опередили пандемии и инфекционные болезни, «уступив» лишь рискам, связанным с изменением климата. Риски для кибербезопасности продолжат расти, учитывая, что пандемические локдауны ускорили цифровизацию операций, предупреждали авторы отчета AXA. Финансовые институты и инфраструктура финансовых рынков в особой зоне риска, отмечают в своем обзоре киберрисков центральных банков эксперты Банка международных расчетов (BIS), а развитие криптовселенной еще больше увеличивает вероятность киберпреступлений в более широком финансовом секторе, включающем в себя традиционные финансовые институты.
Рост рисков кибербезопасности не ускользает от внимания центральных банков, показал опрос, проведенный BIS: они разрабатывают стратегии борьбы с кибератаками и существенно наращивают бюджеты на эти цели. В опросе принял участие 21 респондент из Global Cyber Resilience Group – группы, объединяющей директоров по информационной безопасности из центральных банков: на вопросы BIS ответили 9 представителей центробанков из развитых стран и 12 – из развивающихся.
Термин «киберриски» охватывает широкий набор рисков, связанных со сбоями и взломами IT-систем, и включает в себя как умышленные атаки на IT-инфраструктуру, так и непреднамеренные инциденты. По оценкам европейских экспертов, на кибератаки приходится 40% киберинцидентов. BIS особо выделяет три типа кибератак: фишинг, атаки на цепочки поставок (заражение программного обеспечения до момента его распространения пользователям) и распространение зловредного программного обеспечения с целью вымогательства – число инцидентов последнего типа выросло втрое только за последний год.
Мотивом для кибератак может служить как стремление заработать (вымогательство, промышленный шпионаж и т.п.), так и геополитические задачи (спонсируемые государствами атаки на критическую инфраструктуру) или общее недовольство и стремление продвигать политические идеи («хактивизм»).
Риски кибератак возрастают на фоне активного внедрения облачных технологий, так как это приводит к расширению «периметра безопасности» за пределы корпоративной сети – этот тренд особенно усилился из-за массового перехода на удаленную работу во время пандемии коронавируса.
В центральных банках самым распространенным типом атаки считают фишинг и другие формы социальной инженерии. В развитых странах центробанки сильнее, чем в развивающихся, обеспокоены атаками на цепочки поставок – и выше оценивают связанные с ними издержки. При этом с наибольшими издержками, по мнению представителей центральных банков, связаны атаки с использованием вредоносного ПО. Еще больше, чем о финансовых потерях непосредственно от кибератак, центральные банки беспокоятся о связанных с кибератаками операционных и репутационных рисках, затрагивающих доверие к центробанку и платежным системам.
Несколько по-разному центральные банки из развитых и развивающихся стран видят главных субъектов кибератак. Центробанки развитых стран главными виновниками считают организованную преступность и спонсируемые государствами группы; развивающихся – организованную преступность и отдельных «активистов». Интересно, что только один центробанк из развивающихся стран счел, что угрозу могут представлять внутренние субъекты, в то время как среди центробанков развитых стран так считает треть опрошенных, отмечает BIS. Внутренние угрозы могут восприниматься как незначительные, но их важность не следует недооценивать, советуют авторы обзора.
Издержки кибератак
В 2002–2019 гг. для компаний, столкнувшихся с реализацией киберрисков, издержки одного инцидента составили в среднем $2,6 млн, показал анализ на основе более 100000 таких инцидентов. Так, в 2021 г. кибератака на Colonial Pipeline, крупнейшую трубопроводную систему США, привела к ее остановке, спровоцировав дефицит и скачок цен на топливо в стране, компания была вынуждена заплатить хакерам около $5 млн; из-за кибератаки остановилась работа сети заводов JBS, одной из крупнейших в мире мясоперерабатывающих компаний.
В финансовом секторе кибератаки происходят в шесть раз чаще, чем в других, но издержки в среднем ниже и составляют $1,7 млн, что, по-видимому, связано с регулированием и надзором. Чаще всего финансовый сектор сталкивается с мошенничеством: на него приходится более 60% всех инцидентов – против 49% по выборке, охватывающей компании всех секторов. Для банков на киберриски приходилось лишь 0,2% всех операционных потерь, но частота реализации этих рисков растет, а доля дохода банков, на который может повлиять реализация рисков кибербезопасности, оценивается в 0,2–4,2%.
Центробанки отмечают, что потенциальные потери от системно значимых атак на финансовую инфраструктуру могут быть весьма существенными: чаще всего речь идет о потерях до 5% годового ВВП, но некоторые центробанки в развивающихся странах дают оценку выше 10% ВВП. Причем потери от уже происходящих кибератак на финансовый сектор за 2020–2021 гг. выросли: как правило, этот рост оценивается в пределах до 20%, но почти треть центробанков в развитых странах считает, что он превысил 20%.
Защита от киберугроз
Большинство опрошенных центробанков в ответ на рост угроз кибербезопасности наращивают IT-бюджеты: более 60% центральных банков в развитых странах и порядка 50% в развивающихся с 2020 г. увеличили бюджет на IT-инфраструктуру на 5–20%, еще порядка четверти центробанков развивающихся стран увеличили бюджеты более чем на 20%. В списке приоритетов – создание и поддержка протоколов безопасности, обеспечение непрерывности бизнес-процессов, обучение персонала и наем новых сотрудников с необходимыми навыками. При этом BIS в отчете указывает на трудности с поиском достаточного числа квалифицированных сотрудников: «Большинству центральных банков сложно нанимать, удерживать и постоянно переобучать свою рабочую силу, учитывая ограниченное предложение труда, высокие издержки и быстро меняющуюся технологическую среду». Опрос специалистов по кибербезопасности, проведенный в 2020 г. Enterprise Strategy Group и ISSA, показал: 70% респондентов полагают, что их организации страдают от глобального дефицита навыков в этой сфере, причем почти половина считает, что за последние годы дефицит лишь усилился, и только 7% оценивают, что ситуация стала лучше.
Дополнительно наращивать бюджеты на кибербезопасность придется в случае введения цифровых валют центральных банков (CBDC), так как это потребует усложнения и усовершенствования существующей IT-инфраструктуры.
Абсолютно все опрошенные центробанки разрабатывают план действий на случай, если будет атакована их собственная инфраструктура, порядка 80% также создают стратегию на случай атаки на финансовую систему в широком смысле. Все центральные банки проводят симуляции кибератак, моделируя в том числе сценарии атак на собственные системы и отключение критической инфраструктуры финансового рынка.
Как правило, центробанки предоставляют методологию по управлению киберрисками финансовым компаниям, а вот регулярное стресс-тестирование в этой области еще не стало универсальной практикой, отмечают в BIS: пока такие тесты проводит лишь треть центробанков в развитых странах и 15% – в развивающихся.
У большинства центробанков развивающихся стран есть система сбора информации о кибератаках на финансовые институты, но из развитых стран о такой работе сообщила лишь половина респондентов. Почти во всех развивающихся странах фирмы, попадающие под надзор центральных банков, обязаны отчитываться о потерях, связанных с реализацией рисков кибербезопасности, в то время как лишь две трети центробанков развитых стран ввели такое требование.
Более половины всех опрошенных центробанков считают, что инвестиции в кибербезопасность в финансовом секторе в последние годы были недостаточными. Кроме того, представители центральных банков сходятся на том, что страховые рынки пока не способны эффективно оценивать и покрывать риски кибербезопасности.