xi УРАЛЬСКИЙ ФОРУМ pozdyshev.pdf · ddos-атака на семь крупных...
TRANSCRIPT
XI УРАЛЬСКИЙ ФОРУМИнформационная безопасность финансовой сферы
Заместитель Председателя Банка РоссииВ.А. Поздышев
2019 г.
Основные проекты и регуляторные концепцииБанка России в области RegTech и SupTechЗарубежный регуляторный опыт защитыинформации в сфере RegTech и SupTech
Крупнейшие мировые кибератаки за 5 лет
XI УРАЛЬСКИЙ ФОРУМ 2
2014
Сотрудник похитил данные о кредитных картах и социальной страховке
20 млн человек (40% населения Южной Кореи)
Крупнейшие мировые кибератаки за 5 лет
XI УРАЛЬСКИЙ ФОРУМ 3
2016
Взлом системы платежей У регулятора украден $81млн
Крупнейшие мировые кибератаки за 5 лет
XI УРАЛЬСКИЙ ФОРУМ 4
2014
Атака хакеров привела к утечке данных
76 млн человек и 7 млн компаний
Крупнейшие мировые кибератаки за 5 лет
XI УРАЛЬСКИЙ ФОРУМ 5
2017
Атака с помощью сетевого червя 500 тыс. компьютеров, 200 стран Ущерб $ 1 млрд.
Топ кибератак на Центральные банки за последние 10 лет*
XI УРАЛЬСКИЙ ФОРУМ 6
Организация Год Тип атаки Описание
Federal Reserve Bank of Cleveland 2010 Утечка данных Кража 122 000 кредитных карт
Federal Reserve Bank of New York 2012 Утечка данных Кража проприетарного ПО на сумму 9,5 млн. долларов США
Sveriges Riksbank 2012 Нарушение процесса
Distributed Denial of Service (DDoS) атаки, приведшие к неработоспособности веб-сайта на 5 часов
Banco Central del Ecuador 2013 Мошенничество Кража 13.3 миллионов долларов США со счёта города Riobamba в центральном банке
Federal Reserve Bank of Saint Louis 2013 Утечка данных Публикация личных данных 4,000 служащих банков США группой Anonymous
Central Bank of Swaziland 2014 Мошенничество Кража 688,000 долларов США
ECB 2014 Утечка данных Раскрытие 20,000 адресов email и контактной информации
Norges Bank 2014 Нарушение процесса
DDoS-атака на семь крупных финансовых организаций, приведших в приостановке обслуживания в течение дня
Central Bank of Azerbaijan 2015 Утечка данных Кража информации о тысячах клиентов банков
Bangladesh Bank 2016 МошенничествоРеквизиты SWIFT Центрального банка Бангладеш были использованы для перевода 81 млн. долларов США с его счёта в FRBNY. Хакеры пытались украсть 951 млн. долларов США
Bank of Russia 2016 Мошенничество 21 кибер-атака нацеленная на кражу 50 млн. долларов США с корреспондентского счёта в Центральном банке, приведшая к потере 22 млн. долларов США
Bank of Italy 2017 Утечка данных Взлом учётных записей электронной почты двух бывших служащих
* По информации O.R.X., https://managingrisktogether.orx.org
Разработка и принятие стандартов в области кибербезопасности2018 год – начало 2019 года
XI УРАЛЬСКИЙ ФОРУМ 7
Матрица регулятивных мер на уровне штатов и федеральном уровне, США
OSFI – порядок обменаинформацией о киберинцидентах
ЦБ Чили – протоколы безопасности
SEBI – руководство длябиржевых брокеров и депозитариев
APRA – стандарт CPS 234
CSA – Закон о кибербезопасностиMAS – руководство (цифровые услуги)
Банк России – стандарты ИБ (СТО БР БФБО-1.5-2018, СТО БР ИББС-1.4-2018)
EBA – руководство по управлению рисками ИКТ
Дорожные карты по реализации технологических инноваций2018 год – начало 2019 года
XI УРАЛЬСКИЙ ФОРУМ 8
Fintech Action Planна 2018 / 2019 годы
23 шага по стимулированию внедрения новых технологий в ЕС
Дорожная карта по развитиюфинансовых технологийна 2018 / 2019 годы
Создание Центра знаний в областифинансовых технологий (FintechKnowledge Hub), мероприятия поразвитию финансовых технологий
Дорожная карта пореализации проектов всфере RegTech и SupTech
Внедрение наиболее перспективныхрегуляторных технологий нароссийском финансовом рынке.Планируется к утверждению в 2019 г.
Фокусные направления регуляторных технологий за рубежом
XI УРАЛЬСКИЙ ФОРУМ 9
(операционный риск, риск-модели и другие)
CROSSMATCH, Centrify (США); NEC (Япония); HYF (Китай); Cognitec(Германия); Next Biometrics (Норвегия)
Nice/Actimize (Израиль); Scila (Швеция); Kx (США); Feedzai (США); FICO (США); Chainalysis (США); Trustev/TransUnion(Ирландия); Silent Eight (Сингапур)
Национальный банк Австрии
(Цифровые справочники, машиночитаемое регулирование)Financial Conduct Authority, FCA; Bank of England; Prudential Regulation Authority, PRA (Великобритания)
Фокусные направления регуляторных технологий в России
XI УРАЛЬСКИЙ ФОРУМ 10
Централизованные и распределённые реестры
надзорного и общего пользования
Удалённая идентификация –требования к биометрии
Управление рисками –анализ операционных рисков, риск-модели
Коммуникационные и аналитические системы по
обработке жалоб и обращений, выявлению недобросовестных
практик
Сбор данных ежедневногоучёта в банках
Валидация внутрибанковских систем оценки рисков и моделей
оценки ожидаемых потерь
Развитие машиночитаемого
банковского регулирования
Актуальные концепции тестирования устойчивости финансового сектора к киберугрозам (2018 – 2019 г.)
XI УРАЛЬСКИЙ ФОРУМ 11
Май 2018.Система симуляциикибератак Europeanframework for ThreatIntelligence-basedEthical Red Teaming.
Система CBEST Intelligence-Led Testing (c 2014 г.)В 2018 году – главныйметод добровольноготестирования финансовымиорганизациями Великобри-тании своей устойчивости ккиберрискам
TIBER-EU Framework
Инициатива Cybersecurity Fortification Initiative (CFI) запущена HKMA в 2016 г. на Саммите Cyber Security Summit.Центральный элемент – Система оценки киберустойчивости фин. организаций
Трансформация системы управления операционным риском
Положение о СУОРНовые требования к
отчетности по ОР
Порядок расчета величины ОР с учетом статистики потерь и качества СУОР
2019 2020
Компонента потерь (ILM)
для расчёта капитала на ОР Детальные требования к
организации СУОР
Детальные требования к
данным о потерях от ОР и ИБ
Стресс-тестирование ОР и ИБ
2021
Начало применения подхода Basel III к расчету
капитала под ОР
12
Москва, Сандуновский пер., д. 3, стр. 1, телефон +7 495 621-09-61Почтовый адрес: 107016, Москва, ул. Неглинная, д. 12Контактный центр: 8 800 250-40-72, +7 495 771-91-00Факс: +7 495 621-64-65, +7 495 621-62-88Сайт: www.cbr.ruЭлектронная почта: [email protected]
БЛАГОДАРЮ ЗА ВНИМАНИЕ