Банк России уже много лет проводит последовательную политику, направленную на повышение киберзащищенности банковских клиентов, в том числе ужесточая регулирование для кредитных организаций. В то же время, как показала практика, некоторые банки не торопятся внедрять предлагаемые ЦБ новации, полагая, что штрафы за невыполнение требований платить дешевле. Генеральный директор SafeTech Денис Калемберг в колонке для Forbes рассказывает, как отреагировали некоторые участники финансового рынка на новое требование Банка России и какие последствия для них повлекла такая реакция В иной реальности
Порой у нормативных актов ЦБ весьма необычная судьба. Например, в начале 2022 года регулятор выпустил указание, вводящее более жесткие требования к киберзащищенности трансакций банковских клиентов. Однако документ был принят 18 февраля, вскоре наша реальность немного изменилась, появились новые острые и неотложные вопросы, требующие внимания Банка России. И часть игроков финансового рынка решили требования нового документа пока не исполнять. Возможно, понадеялись, что регулятор не заметит, а если заметит — не оштрафует.
Речь идет об указании Банка России от 18.02.2022 №6071-У, которое вступило в силу в октябре 2022 года. Указанием вносились поправки в положение 683-П, которое направлено на противодействие совершению операций без согласия клиентов банков. В обновленном положении 683-П, в частности, были конкретизированы требования по подписанию электронных сообщений, то есть тех самых, которыми компании и граждане подтверждают платежи и переводы, оформление кредитов и т.д. В документе появилась норма, согласно которой для обеспечения целостности сообщений необходимо использовать усиленную квалифицированную электронную подпись (УКЭП), усиленную неквалифицированную электронную подпись (УНЭП) или средства криптографической защиты информации (СКЗИ) с имитозащитой и аутентификацией отправителя сообщения. Выполнение кредитной организацией этого требования позволит клиентам банка видеть полные реквизиты платежного документа, и, что очень важно, после подтверждения эту информацию нельзя будет изменить.