Вот уже почти две недели, как Банк России в лице Эльвиры Набиуллиной предложил ввести персональную ответственность топ-менеджеров банков за нарушения в области информационной безопасности и антифрод-процедур.

Иван Шилов ИА Регнум

Когда руководители государственного уровня объявляют о чем-то подобном, обычно вскоре обнародуются подробности, планы, проходят публичные обсуждения и т.п. Но проекта, как сказку сделать былью, за прошедшее время широкая общественность так и не увидела.

А те немногие, кто ознакомился с соответствующим законопроектом, остались не в восторге из-за чрезмерного закручивания гаек и сомнений в действенности предлагаемых мер.

Регулятор предложил несколько мер, главные из которых — штрафы и дисквалификация руководителей на 10 лет. Документ не внесен в Госдуму, он все еще проходит межведомственное согласование, а значит, будет подвергаться не только доработкам, но и переработкам.

Но действия ЦБ последовательны — осталось только встроить последние новости в цепь связанных между собой событий.

В этом смысле отсутствие дальнейших новостей в таком чувствительном для сотен финансовых организаций вопросе гораздо красноречивее слов.

Идея ЦБ на первый взгляд кажется логичной: если кто-то должен отвечать за утечки данных и мошеннические операции, то это руководители, курирующие информационную безопасность.

Предполагается, что нововведения затронут не только банки, но и других участников финансового рынка — страховые компании, брокеров и микрофинансовые организации.

Штрафы — наименее интересная тема. В конце концов среднемесячные зарплаты управленцев высшего звена исчисляются несколькими миллионами рублей, и небольшие потери не окажут серьезного влияния на их доход.

К тому же высокие штрафы легко компенсируются премиями членам правления по итогам любого отчетного периода.

С дисквалификацией гораздо интереснее. Мошенники атакуют каждый день, и остановить их невозможно.

Так, за 2024 год объем предотвращенных операций без добровольного согласия клиентов составил 13,5 трлн рублей. Для понимания: это три годовых бюджета Москвы.

Ежедневно злоумышленники совершают от 6 до 20 миллионов попыток дозвониться до потенциальных жертв.

Даже самый продвинутый банк, работающий совместно с операторами связи и интернет-провайдерами, эксплуатирующий мощные антифрод-системы, не в состоянии отбить все атаки. То есть наказать руководителя всегда есть за что.

По статистике, объем успешных мошеннических операций составляет всего 0,00 066%, то есть на 100 000 транзакций приходится 66 без согласия клиента. Это говорит о том, что технически наши деньги защищены очень надежно.

Но от констатации «всего 66» до возгласа «Какой ужас! 66!» один шаг. Ничтожный процент мошеннических операций на самом деле в абсолютных цифрах — это 1,2 миллиона!

Запрет на профессию

Любая техническая система безопасности имеет свои пределы, а подавляющее большинство краж со счетов граждан и компаний совершено с помощью методов социальной инженерии или комбинированных атак, когда жертву уговаривают установить программное обеспечение, которое и выведет деньги на «безопасный счет».

Так как принимать решение о дисквалификации будет ЦБ, то от настроя его высокопоставленных сотрудников будет зависеть судьба не только руководителя (а хорошего спеца, да еще с конкретными профессиональными навыками найти всегда сложно и дорого), но и работа всей финансовой организации.

Десять лет дисквалификации, своего рода запрет на профессию, — это дамоклов меч над головой любого человека, тем более руководителя, обладающего глубокой профессиональной технической экспертизой в такой постоянно изменяющейся области, как IT.

При этом, например, Уголовный кодекс предусматривает лишение права занимать определенные должности или заниматься определенной деятельностью сроком до пяти лет.

Наказание от ЦБ в два раза строже, что невольно вызывает ассоциации с внесудебным преследованием. Хотя на самом деле эта показная суровость — не что иное, как жесткое выстраивание организационной и кадровой иерархии под началом мегарегулятора.

Введение персональной ответственности, безусловно, способно в какой-то мере стать сдерживающим фактором для сотрудников банков, которые могут быть вовлечены в мошеннические схемы. Однако такой подход также несет в себе риски.

Например, есть риск увеличения бюрократической нагрузки, что в свою очередь замедлит процессы обслуживания клиентов. Кроме того, существует опасность того, что сотрудники, опасаясь ответственности, начнут избегать принятия решений, что негативно скажется на операционной деятельности.

В целом беспокойство регулятора понятно: в стране идет настоящая война с мошенниками, в том числе с многочисленными украинскими кол-центрами, доход от деятельности которых в том числе обеспечивает нужды ВСУ.

На этой финансовой войне требуется железная дисциплина, концентрация ресурсов и единое командование. Профессиональное сообщество уже тихо ропщет, что Банк России начинает приобретать черты министерства, переходя от регулирования всего многообразия финансовых решений, формулирования правил игры и контроля над их соблюдением к непосредственному единообразному управлению и раздачи обязательных к исполнению команд, относящихся к оперативной деятельности поднадзорных, прежде всего банков.

В недавнем своем выступлении руководитель Службы по защите прав потребителей Банка России Михаил Мамута отмечал низкий процент возврата средств, украденных мошенниками у клиентов кредитных организаций — по данным ЦБ, этот показатель не превысил 10%.

Закон обязует возвращать деньги, даже если перевод был осуществлен под влиянием социальной инженерии, но при условии, что счет получателя платежа есть в единой базе мошеннических счетов, которую ведет Банк России.

Правило действует с июля 2024 года, но оно почти не повлияло на процент возвращаемых средств. Регулятор подозревает, что закон не всегда добросовестно исполняется, и хочет усилить поведенческую экспертизу кредитных организаций, наказывая виновных.

И вот тут репрессивные меры в отношении банкиров, как представляется, поддержат все.

Игра в монополию

В подходе к внедрению системы наказания есть плюсы в краткосрочной и даже среднесрочной перспективе, но есть и системные минусы, которые становятся видны на горизонте нескольких лет.

И проект по ужесточению персональной ответственности — лишь шаг в ползучем процессе «министеризации» ЦБ и вертикализации принятия решений. В части обеспечения информационной безопасности и IT это прослеживается весьма явно.

Притом что самым мощным центром инноваций в этой сфере стал не регулятор, а поднадзорный ему Сбер. Интересные прорывные решения есть и у других крупных игроков — ВТБ, «Альфы», «Т-банка», но пока концепция единственно правильного решения побеждает.

Например, ЦБ постоянно откладывает серьезное обсуждение акционирования Национальной системы платежных карт, а через нее проходят все платежи по картам в стране, а также транзакции в рамках системы быстрых платежей.

Законом возможность акционирования предусмотрена. НСПК — это само воплощение информационной безопасности и надежности. Но рано или поздно нужно будет менять подходы к их обеспечению, и участие серьезных рыночных игроков будет точно не лишним.

Банк России и в другом животрепещущем вопросе противостоит банковскому сообществу и депутатам Госдумы, продвигающим идею создания альтернативы разрабатываемому на базе НСПК единому QR-коду для оплаты товаров и услуг. Один из аргументов ЦБ против конкурента курируемой разработки — как раз обеспечение безопасности платежей.

Пул банков предлагает альтернативное системное рыночное решение, не отвергающее, кстати, сервис на базе НСПК. Но регулятор придерживается политики «один QR — один путь».

Понятно, что отсутствие дублирующей платежной инфраструктуры может в случае повреждения «единственного верного решения» из-за технического сбоя или целенаправленной атаки обрушить рынок, платежи, нанести финансовый и репутационный ущерб национального масштаба. Но в дискуссию о предполагаемых событиях ЦБ пока не вступает, настаивая на правильности своего мнения.

Логику уже реализованных инфраструктурных проектов легко понять даже при неглубоком анализе. Абсолютно верные идеи вроде создания единой базы данных счетов, используемых для проведения мошеннических операций, неизбежно приводят к стандартизации и унификации IT-, процедурных, нормативных и организационных, включая кадровые, решений у участников рынка.

И функция наказания для продавливания решений здесь смотрится органично и местами полезно, несмотря на стойкие ассоциации с временами расцвета административно-командной системы.

Не в дырках дело

Интересен еще один аспект. Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России «ФинЦЕРТ» в своем недавнем отчете отметил:

«Наиболее популярным в 2024 году вектором первоначального доступа в системы организаций финансовой сферы стала компрометация подрядных организаций (атака через цепочку поставщиков, контрагентов, подрядных сервисных и иных организаций, провайдеров ИТ-услуг)».

Для тех, кто за округлостью казенно-суконных формулировок не понял, где регулятор будет завинчивать гайки и как он относится к инициативам вышеупомянутых крупных банков (по сути, являющихся экосистемами с сильной IT-составляющей) и примкнувшим к ним, еще раз было разъяснено:

«За 2024 год «ФинЦЕРТ» выявил более десятка инцидентов у организаций, предоставляющих ИТ-услуги для организаций финансовой сферы, включая системно значимые кредитные организации». В общем, подрядчики у них не той системы.

И тут вовремя аналитики приближенной к государству структуры обнаружили, что более половины банковских приложений имеют уязвимости высокой или средней степени критичности.

Даже если ввести персональную ответственность за безопасность, это не решит проблему уязвимостей в программном обеспечении.

Банки вынуждены балансировать между скоростью разработки новых продуктов и обеспечением безопасности так, как ее понимает ЦБ. И регулятор, очевидно будет наращивать давление по внедрению единых и стандартов, и решений.

Впереди — внедрение цифрового рубля. В этом проекте обеспечение информационной безопасности играет ключевую роль. Во-первых, сам цифровой рубль хранится на платформе ЦБ.

А во-вторых, доступ к нему (читай — к платформе ЦБ) осуществляется через приложения банков, которые, как нам активно говорят, дырявые как решето.

Технологию цифрового рубля разрабатывает ЦБ, соответственно, участникам платежных систем волей-неволей придется изменять своей продукт под требования ЦБ — что само по себе ни хорошо ни плохо. Это реальность.

Но за этим маячит призрак цифрового Госплана-2, о котором говорят уже пару лет.

В случае с прорывными технологиями мысль собрать ресурсы в кулак является абсолютно здравой. Но в наших реалиях она движется в сторону монополизации.

А любая монополия со временем теряет гибкость, инновационность, зато наращивает себестоимость и увеличивает тарифы. Если же кому-то что-то не нравится, он получит десять лет.

Вертикаль финансовой власти — нет сомнений — будет работать. Вопрос только в том, надолго ли хватит запаса прочности принимаемых решений.