Рис. 26. Иерархическая схема для выявления, анализа и мониторинга банковских рисков

Примерная схема анализа возможного влияния нарушения кибербезопасности в условиях ДБО на деятельность кредитных организаций представлена на рис. 27, влияние компьютерных атак на устойчивость и стабильность банковской системы показано на рис. 28. Например, в случае реализованной компьютерной атаки на системы ДБО банка вполне вероятно, что многие клиенты откажутся от услуг данной кредитной организации. Следовательно, сумма остатков на их счетах и будет возможной суммой единовременного снятия средств клиентами (риск ликвидности). Далее такие клиенты могут быстро распространить отрицательные отзывы о банке, и вполне вероятно, что их знакомые, которые также являются клиентами банка, могут последовать их примеру и закрыть свои счета (репутационный риск и возрастание риска ликвидности).

Рис. 27. Взаимосвязь кибератак на АПО БАС и возможных последствий для банка[52]

Рис. 28. Влияние компьютерных атак на устойчивость и стабильность банковской системы

Добавим, что некоторые клиенты могут обратиться в суды за возмещением не только похищенной суммы, но и суммы упущенной выгоды (например, в случае временной неплатежеспособности при взаимодействии с выгодным клиентом, деловым партнером и т. п.). Судебные издержки, негативная информация об этих судебных решениях в СМИ могут серьезно повлиять на репутацию организации (правовой и репутационный риски).

Для многих кредитных организаций существует управленческая задача, обусловленная несоразмерностью мер по информационной безопасности (включая обеспечение кибербезопасности) основным целям и общему уровню принимаемых рисков. Это говорит о нехватке качественного управления рисками и о том, что кибербезопасность обеспечивается постфактум, по итогам уже совершившегося события, а должна носить превентивный характер и работать на опережение.

К основным причинам появления рисков недостаточного обеспечения кибербезопасности в условиях применения СЭБ можно отнести:

– наличие множественных уязвимостей АПО СЭБ, отсутствие должной реализации процедур контроля за соответствием СЭБ требованиям информационной безопасности;

– низкую эффективность проводимых кредитными организациями мероприятий по внедрению и использованию документов Банка России в области стандартизации обеспечения информационной безопасности;

– отсутствие правовой основы для распространения нормативных требований к обеспечению защиты информации, устанавливаемых Банком России, на все процессы в деятельности кредитных организаций;

– отсутствие должной достоверности контроля выполнения технических требований, реализуемого, как правило, в форме самооценки [107, c. 118].

Банк России выделяет следующие ключевые направления деятельности для минимизации последствий проявления рисков недостаточного обеспечения кибербезопасности:

– проработка вопроса о законодательном закреплении права Банка России совместно с ФСТЭК России и ФСБ России осуществлять нормативное регулирование и контроль всех вопросов, связанных с обеспечением информационной безопасности в кредитных организациях, в том числе вопросов защиты информации, отнесенной к категории банковской тайны;

– законодательное закрепление основ деятельности по реализации системы противодействия хищениям денежных средств (системы антифрода) и создание такой системы на базе ФинЦЕРТ Банка России;

– обеспечение скорейшей разработки и ввода в действие национальных стандартов, регулирующих технические вопросы обеспечения информационной безопасности в организациях кредитно-финансовой сферы;