О киберриске в финтех как часть процесса управления операционным риском рассказала Виктория Корниенко, руководитель по вопросам управления и контроля операционного риска в Райффайзен Банке, в рамках выступления на конференции Cyber Risk 2023
Киберриск и его влияние
В современном банкинге, где технологии находятся в центре бизнес-процессов, из всех типов событий операционного риска уже не первый год наибольшую угрозу для организаций несет киберриск. И это неудивительно, ведь в случае успешной реализации одной атаки организация или ее клиенты могут за несколько минут или секунд потерять миллионы, в то время как для других событий такой объем потерь не характерен.
Развитие онлайн банкинга, постепенная диджитализация всех сфер деятельности с одной стороны упрощают взаимоотношения между банками и клиентами, а с другой – создают дополнительные риски, от которых, как показывает практика, не все стороны этих отношений защищены.
Киберриск охватывает много аспектов и может быть связан с факторами, зависящими от банков, как уязвимости программного и сетевого обеспечения, системы защиты и противодействия хакерским атакам, так и от факторов, зависящих непосредственно от осведомленности клиентов – различные методы социального инжиниринга.
Но ответственность за надлежащее управление операционным риском и киберриском как его составляющей возлагается в первую очередь на банки. Ведь продукт или сервис, который мы предлагаем клиенту, должен быть безопасным, а безопасность в настоящее время является одним из факторов прибыльности и стабильной деятельности финансовой организации.
Рискориентированный подход в управлении кибербезопасностью в банковском секторе
Для эффективного управления рисками в банках создаются соответствующие модели и системы, использование которых позволяет принимать управленческие решения с учетом рискоориентированного подхода, когда на одной чаше весов мы взвешиваем потенциальные доходы от продуктов или сервисов, а на другой потенциальные потери от реализации определенных событий операционного риска. В результате такого анализа и рождается определенное предложение клиентам или возвращается на доработку рисковое решение, с которым банк не может выйти на рынок.
Рискориентированный подход к управлению кибербезопасностью – это стратегический подход, предусматривающий принятие управленческих решений на основе оценки и анализа текущих рисков кибербезопасности. Этот подход позволяет банкам выявлять, оценивать и контролировать киберриски для обеспечения безопасности своих клиентов и активов.
Из инструментов управления киберриском следует выделить оценку рисков и сбор данных о событиях (инциденты).
Оценка рисков производится (1) при разработке и внедрении новых продуктов, процессов, внесении изменений в существующие продукты и процессы, при запуске новых систем или релизов; (2) при выявлении новых угроз или реализации новых событий как внутри организации, так и на рынке в целом; (3) ежегодная оценка рисков, позволяющая переоценить риски с учетом собранной за год статистики по угрозам и потерям и определить необходимость пересмотра стратегии и мер по управлению рисками.
Оценка рисков состоит из следующих этапов:
- оценка вероятности реализации события;
- расчет прямых и косвенных потерь от реализации события;
- определение уровня риска для каждого типа событий;
- анализ существующих контролей;
- определение остаточного риска после применения контрольных мер;
- определение наиболее приемлемого способа обработки риска;
- разработка плана действий по обработке риска и его периодический мониторинг;
- формирование риска профиля и определение лимитов риска.
Преимуществом данного инструмента является ранняя идентификация существенных рисков и сосредоточение на их предупреждении и митигации, позволяющее затем уменьшить количество событий киберриска, потери как банков, так и клиентов.
Читайте также: Raiffeisen ввел награды для некоторых проектов: как получить
Сбор данных о событиях. Регистрация и анализ событий киберриска позволяет накапливать статистику и проводить анализ их концентрации в разрезе продуктов, регионов, сегментов клиентов, выявлять аномалии, нетипичные активности или новые методы кибермошенничества.
Следует отметить, что на данный момент потенциальные потери от киберриска составляют менее 2% от общего лимита операционного риска АО Райффайзен Банк. Это достижение во многом связано с титанической работой нашего Департамента информационной безопасности и внедренными системами противодействия киберугрозам.
Лучшим доказательством эффективности работы в данном направлении является тот факт, что в последние годы Райффайзен Банк не понес потери вследствие реализации событий киберриска. Тем не менее, количество кибератак постоянно растет и значительно выше, чем в предыдущие годы.
Что же является важнейшим фактором в управлении киберриском? Это наличие специалистов своего дела, которые могут обнаружить и устранить уязвимости до того, как мошенники начнут их использовать. Конечно, для эффективной борьбы с киберпреступниками не следует экономить на технических инструментах, нужно своевременно выделять бюджет на их приобретение.
Практика возмещения потерь клиентам от кибермошенничества
Другой стороной реализации киберриска являются потери клиента, вызванные в большинстве случаев доверчивостью и непростыми жизненными обстоятельствами наших людей, но есть и случаи похищения данных без прямой вины их владельца. И в таких случаях остро стоит вопрос возмещения убытков именно банками.
Несмотря на приоритетность управления киберриском и практику европейских стран по страхованию убытков клиентов от этого мошенничества, в Украине еще недостаточно развита практика страхования и возмещения потерь клиентов, вызванных киберпреступлениями, страховыми компаниями. Это обусловлено рядом факторов, в частности, низким уровнем осведомленности клиентов о причинах и обстоятельствах похищения их средств, неготовностью как банков, так и страховых компаний к сотрудничеству в данном направлении, существенными затратами на страхование и т.п.
Однако, учитывая растущее количество кибератак и угроз, банкам следует уже сейчас думать о возможности сотрудничества со страховыми компаниями, чтобы быть готовыми соответствовать европейским стандартам защиты клиентов от киберпреступлений.
*****
В Райффайзен Банке имеется мощная экспертиза по управлению рисками и противодействию киберугрозам. Наши специалисты используют новейшие технологии, специально создают программы обучения, например, RASP (Raiffeisen Awareness Security Program), поощряют работников банка и клиентов к повышению своих знаний в области информационной безопасности. Кроме того, все работники банка имеют доступ к профессиональным учебным курсам, а наши эксперты являются спикерами на отраслевых конференциях. Мы расширяем команды и приглашаем присоединиться специалистов по кибербезопасности и управлению рисками к когорте специалистов, стоящих на защите безопасности данных клиентов и компании. Все актуальные вакансии можно посмотреть на официальном сайте raiffeisen.ua.
Ознакомьтесь с другими важными материалами:
Переход на СЭП 4.0 и ISO 20022: опыт Райффайзен Банка
Сколько заработал Райффайзен Банк с начала года
Райффайзен получил гарантию от DFC на кредитование предприятий в Украине