close-btn

Киберриск в финтех, как часть процесса управления операционным риском

О киберриске в финтех как часть процесса управления операционным риском рассказала Виктория Корниенко, руководитель по вопросам управления и контроля операционного риска в Райффайзен Банке, в рамках выступления на конференции Cyber Risk 2023

Фото: Вікторія Корнієнко

Фото: Вікторія Корнієнко

Киберриск и его влияние

В современном банкинге, где технологии находятся в центре бизнес-процессов, из всех типов событий операционного риска уже не первый год наибольшую угрозу для организаций несет киберриск. И это неудивительно, ведь в случае успешной реализации одной атаки организация или ее клиенты могут за несколько минут или секунд потерять миллионы, в то время как для других событий такой объем потерь не характерен.

Развитие онлайн банкинга, постепенная диджитализация всех сфер деятельности с одной стороны упрощают взаимоотношения между банками и клиентами, а с другой – создают дополнительные риски, от которых, как показывает практика, не все стороны этих отношений защищены.

Киберриск охватывает много аспектов и может быть связан с факторами, зависящими от банков, как уязвимости программного и сетевого обеспечения, системы защиты и противодействия хакерским атакам, так и от факторов, зависящих непосредственно от осведомленности клиентов – различные методы социального инжиниринга.

Но ответственность за надлежащее управление операционным риском и киберриском как его составляющей возлагается в первую очередь на банки. Ведь продукт или сервис, который мы предлагаем клиенту, должен быть безопасным, а безопасность в настоящее время является одним из факторов прибыльности и стабильной деятельности финансовой организации.

Рискориентированный подход в управлении кибербезопасностью в банковском секторе

Для эффективного управления рисками в банках создаются соответствующие модели и системы, использование которых позволяет принимать управленческие решения с учетом рискоориентированного подхода, когда на одной чаше весов мы взвешиваем потенциальные доходы от продуктов или сервисов, а на другой потенциальные потери от реализации определенных событий операционного риска. В результате такого анализа и рождается определенное предложение клиентам или возвращается на доработку рисковое решение, с которым банк не может выйти на рынок.

Рискориентированный подход к управлению кибербезопасностью – это стратегический подход, предусматривающий принятие управленческих решений на основе оценки и анализа текущих рисков кибербезопасности. Этот подход позволяет банкам выявлять, оценивать и контролировать киберриски для обеспечения безопасности своих клиентов и активов.

Из инструментов управления киберриском следует выделить оценку рисков и сбор данных о событиях (инциденты).

Оценка рисков производится (1) при разработке и внедрении новых продуктов, процессов, внесении изменений в существующие продукты и процессы, при запуске новых систем или релизов; (2) при выявлении новых угроз или реализации новых событий как внутри организации, так и на рынке в целом; (3) ежегодная оценка рисков, позволяющая переоценить риски с учетом собранной за год статистики по угрозам и потерям и определить необходимость пересмотра стратегии и мер по управлению рисками.

Оценка рисков состоит из следующих этапов:

  • оценка вероятности реализации события;
  • расчет прямых и косвенных потерь от реализации события;
  • определение уровня риска для каждого типа событий;
  • анализ существующих контролей;
  • определение остаточного риска после применения контрольных мер;
  • определение наиболее приемлемого способа обработки риска;
  • разработка плана действий по обработке риска и его периодический мониторинг;
  • формирование риска профиля и определение лимитов риска.

Преимуществом данного инструмента является ранняя идентификация существенных рисков и сосредоточение на их предупреждении и митигации, позволяющее затем уменьшить количество событий киберриска, потери как банков, так и клиентов.

Читайте также: Raiffeisen ввел награды для некоторых проектов: как получить

Сбор данных о событиях. Регистрация и анализ событий киберриска позволяет накапливать статистику и проводить анализ их концентрации в разрезе продуктов, регионов, сегментов клиентов, выявлять аномалии, нетипичные активности или новые методы кибермошенничества.

Следует отметить, что на данный момент потенциальные потери от киберриска составляют менее 2% от общего лимита операционного риска АО Райффайзен Банк. Это достижение во многом связано с титанической работой нашего Департамента информационной безопасности и внедренными системами противодействия киберугрозам.
Лучшим доказательством эффективности работы в данном направлении является тот факт, что в последние годы Райффайзен Банк не понес потери вследствие реализации событий киберриска. Тем не менее, количество кибератак постоянно растет и значительно выше, чем в предыдущие годы.

Что же является важнейшим фактором в управлении киберриском? Это наличие специалистов своего дела, которые могут обнаружить и устранить уязвимости до того, как мошенники начнут их использовать. Конечно, для эффективной борьбы с киберпреступниками не следует экономить на технических инструментах, нужно своевременно выделять бюджет на их приобретение.

Практика возмещения потерь клиентам от кибермошенничества

Другой стороной реализации киберриска являются потери клиента, вызванные в большинстве случаев доверчивостью и непростыми жизненными обстоятельствами наших людей, но есть и случаи похищения данных без прямой вины их владельца. И в таких случаях остро стоит вопрос возмещения убытков именно банками.

Несмотря на приоритетность управления киберриском и практику европейских стран по страхованию убытков клиентов от этого мошенничества, в Украине еще недостаточно развита практика страхования и возмещения потерь клиентов, вызванных киберпреступлениями, страховыми компаниями. Это обусловлено рядом факторов, в частности, низким уровнем осведомленности клиентов о причинах и обстоятельствах похищения их средств, неготовностью как банков, так и страховых компаний к сотрудничеству в данном направлении, существенными затратами на страхование и т.п.

Однако, учитывая растущее количество кибератак и угроз, банкам следует уже сейчас думать о возможности сотрудничества со страховыми компаниями, чтобы быть готовыми соответствовать европейским стандартам защиты клиентов от киберпреступлений.

*****

В Райффайзен Банке имеется мощная экспертиза по управлению рисками и противодействию киберугрозам. Наши специалисты используют новейшие технологии, специально создают программы обучения, например, RASP (Raiffeisen Awareness Security Program), поощряют работников банка и клиентов к повышению своих знаний в области информационной безопасности. Кроме того, все работники банка имеют доступ к профессиональным учебным курсам, а наши эксперты являются спикерами на отраслевых конференциях. Мы расширяем команды и приглашаем присоединиться специалистов по кибербезопасности и управлению рисками к когорте специалистов, стоящих на защите безопасности данных клиентов и компании. Все актуальные вакансии можно посмотреть на официальном сайте raiffeisen.ua.

Ознакомьтесь с другими важными материалами:

Переход на СЭП 4.0 и ISO 20022: опыт Райффайзен Банка

Сколько заработал Райффайзен Банк с начала года

Райффайзен получил гарантию от DFC на кредитование предприятий в Украине

google news
credit link image
×
Подписывайтесь на нас в Telegram и Viber!