XI УРАЛЬСКИЙ ФОРУМИнформационная безопасность финансовой сферы

Заместитель Председателя Банка РоссииВ.А. Поздышев

2019 г.

Основные проекты и регуляторные концепцииБанка России в области RegTech и SupTechЗарубежный регуляторный опыт защитыинформации в сфере RegTech и SupTech

Крупнейшие мировые кибератаки за 5 лет

XI УРАЛЬСКИЙ ФОРУМ 2

2014

Сотрудник похитил данные о кредитных картах и социальной страховке

20 млн человек (40% населения Южной Кореи)

Крупнейшие мировые кибератаки за 5 лет

XI УРАЛЬСКИЙ ФОРУМ 3

2016

Взлом системы платежей У регулятора украден $81млн

Крупнейшие мировые кибератаки за 5 лет

XI УРАЛЬСКИЙ ФОРУМ 4

2014

Атака хакеров привела к утечке данных

76 млн человек и 7 млн компаний

Крупнейшие мировые кибератаки за 5 лет

XI УРАЛЬСКИЙ ФОРУМ 5

2017

Атака с помощью сетевого червя 500 тыс. компьютеров, 200 стран Ущерб $ 1 млрд.

Топ кибератак на Центральные банки за последние 10 лет*

XI УРАЛЬСКИЙ ФОРУМ 6

Организация Год Тип атаки Описание

Federal Reserve Bank of Cleveland 2010 Утечка данных Кража 122 000 кредитных карт

Federal Reserve Bank of New York 2012 Утечка данных Кража проприетарного ПО на сумму 9,5 млн. долларов США

Sveriges Riksbank 2012 Нарушение процесса

Distributed Denial of Service (DDoS) атаки, приведшие к неработоспособности веб-сайта на 5 часов

Banco Central del Ecuador 2013 Мошенничество Кража 13.3 миллионов долларов США со счёта города Riobamba в центральном банке

Federal Reserve Bank of Saint Louis 2013 Утечка данных Публикация личных данных 4,000 служащих банков США группой Anonymous

Central Bank of Swaziland 2014 Мошенничество Кража 688,000 долларов США

ECB 2014 Утечка данных Раскрытие 20,000 адресов email и контактной информации

Norges Bank 2014 Нарушение процесса

DDoS-атака на семь крупных финансовых организаций, приведших в приостановке обслуживания в течение дня

Central Bank of Azerbaijan 2015 Утечка данных Кража информации о тысячах клиентов банков

Bangladesh Bank 2016 МошенничествоРеквизиты SWIFT Центрального банка Бангладеш были использованы для перевода 81 млн. долларов США с его счёта в FRBNY. Хакеры пытались украсть 951 млн. долларов США

Bank of Russia 2016 Мошенничество 21 кибер-атака нацеленная на кражу 50 млн. долларов США с корреспондентского счёта в Центральном банке, приведшая к потере 22 млн. долларов США

Bank of Italy 2017 Утечка данных Взлом учётных записей электронной почты двух бывших служащих

* По информации O.R.X., https://managingrisktogether.orx.org

Разработка и принятие стандартов в области кибербезопасности2018 год – начало 2019 года

XI УРАЛЬСКИЙ ФОРУМ 7

Матрица регулятивных мер на уровне штатов и федеральном уровне, США

OSFI – порядок обменаинформацией о киберинцидентах

ЦБ Чили – протоколы безопасности

SEBI – руководство длябиржевых брокеров и депозитариев

APRA – стандарт CPS 234

CSA – Закон о кибербезопасностиMAS – руководство (цифровые услуги)

Банк России – стандарты ИБ (СТО БР БФБО-1.5-2018, СТО БР ИББС-1.4-2018)

EBA – руководство по управлению рисками ИКТ

Дорожные карты по реализации технологических инноваций2018 год – начало 2019 года

XI УРАЛЬСКИЙ ФОРУМ 8

Fintech Action Planна 2018 / 2019 годы

23 шага по стимулированию внедрения новых технологий в ЕС

Дорожная карта по развитиюфинансовых технологийна 2018 / 2019 годы

Создание Центра знаний в областифинансовых технологий (FintechKnowledge Hub), мероприятия поразвитию финансовых технологий

Дорожная карта пореализации проектов всфере RegTech и SupTech

Внедрение наиболее перспективныхрегуляторных технологий нароссийском финансовом рынке.Планируется к утверждению в 2019 г.

Фокусные направления регуляторных технологий за рубежом

XI УРАЛЬСКИЙ ФОРУМ 9

(операционный риск, риск-модели и другие)

CROSSMATCH, Centrify (США); NEC (Япония); HYF (Китай); Cognitec(Германия); Next Biometrics (Норвегия)

Nice/Actimize (Израиль); Scila (Швеция); Kx (США); Feedzai (США); FICO (США); Chainalysis (США); Trustev/TransUnion(Ирландия); Silent Eight (Сингапур)

Национальный банк Австрии

(Цифровые справочники, машиночитаемое регулирование)Financial Conduct Authority, FCA; Bank of England; Prudential Regulation Authority, PRA (Великобритания)

Фокусные направления регуляторных технологий в России

XI УРАЛЬСКИЙ ФОРУМ 10

Централизованные и распределённые реестры

надзорного и общего пользования

Удалённая идентификация –требования к биометрии

Управление рисками –анализ операционных рисков, риск-модели

Коммуникационные и аналитические системы по

обработке жалоб и обращений, выявлению недобросовестных

практик

Сбор данных ежедневногоучёта в банках

Валидация внутрибанковских систем оценки рисков и моделей

оценки ожидаемых потерь

Развитие машиночитаемого

банковского регулирования

Актуальные концепции тестирования устойчивости финансового сектора к киберугрозам (2018 – 2019 г.)

XI УРАЛЬСКИЙ ФОРУМ 11

Май 2018.Система симуляциикибератак Europeanframework for ThreatIntelligence-basedEthical Red Teaming.

Система CBEST Intelligence-Led Testing (c 2014 г.)В 2018 году – главныйметод добровольноготестирования финансовымиорганизациями Великобри-тании своей устойчивости ккиберрискам

TIBER-EU Framework

Инициатива Cybersecurity Fortification Initiative (CFI) запущена HKMA в 2016 г. на Саммите Cyber Security Summit.Центральный элемент – Система оценки киберустойчивости фин. организаций

Трансформация системы управления операционным риском

Положение о СУОРНовые требования к

отчетности по ОР

Порядок расчета величины ОР с учетом статистики потерь и качества СУОР

2019 2020

Компонента потерь (ILM)

для расчёта капитала на ОР Детальные требования к

организации СУОР

Детальные требования к

данным о потерях от ОР и ИБ

Стресс-тестирование ОР и ИБ

2021

Начало применения подхода Basel III к расчету

капитала под ОР

12

Москва, Сандуновский пер., д. 3, стр. 1, телефон +7 495 621-09-61Почтовый адрес: 107016, Москва, ул. Неглинная, д. 12Контактный центр: 8 800 250-40-72, +7 495 771-91-00Факс: +7 495 621-64-65, +7 495 621-62-88Сайт: www.cbr.ruЭлектронная почта: fps@cbr.ru

БЛАГОДАРЮ ЗА ВНИМАНИЕ