Про кіберризик у фінтех як частину процесу управління операційним ризиком розповіла Вікторія Корнієнко, керівник з питань управління та контролю операційним ризиком у Райффайзен Банк, в рамках виступу на конференції Cyber Risk 2023
Фото: Вікторія Корнієнко
Кіберризик та його вплив
У сучасному банкінгу, де технології знаходяться в центрі бізнес-процесів, з-поміж всіх типів подій операційного ризику вже не перший рік найбільшу загрозу для організацій несе кіберризик. І це не дивно, адже у разі успішної реалізації однієї атаки організація або її клієнти можуть за кілька хвилин чи навіть секунд втратити мільйони, в той час, як для інших подій такий обсяг втрат не є характерним.
Розвиток онлайн банкінгу, поступова диджиталізація всіх сфер діяльності з одного боку спрощують взаємовідносини між банками та клієнтами, а з іншого – створюють додаткові ризики, від яких, як показує практика, не всі сторони цих відносин є захищеними.
Кіберризик охоплює багато аспектів і може бути пов’язаний з факторами, які залежать від банків, як то вразливості програмного та мережевого забезпечення, системи захисту та протидії хакерським атакам, так і від факторів, які залежать безпосередньо від обізнаності клієнтів – різні методи соціального інжинірингу.
Але відповідальність за належне управління операційним ризиком, і кіберризиком як його складовою, покладається в першу чергу на банки. Адже продукт чи сервіс, який ми пропонуємо клієнту, має бути безпечним, а безпека, на даний час, є одним із факторів прибутковості та стабільної діяльності фінансової організації.
Читайте також: Raiffeisen запровадив нагороди для деяких проєктів: як отримати
Ризикоорієнтований підхід в управлінні кібербезпекою в банківському секторі
Для ефективного управління ризиками в банках створюються відповідні моделі та системи, використання яких дозволяє приймати управлінські рішення з урахуванням ризикоорієнтованого підходу, коли на одній шальці терезів ми зважуємо потенційні доходи від продуктів чи сервісів, а на іншій – потенційні втрати від реалізації певних подій операційного ризику. В результаті такого аналізу і народжується певна пропозиція клієнтам, або повертається на доопрацювання ризикове рішення, з яким банк не може вийти на ринок.
Ризикоорієнтований підхід до управління кібербезпекою – це стратегічний підхід, який передбачає прийняття управлінських рішень на основі оцінки та аналізу поточних ризиків кібербезпеки. Цей підхід дозволяє банкам виявляти, оцінювати та контролювати кіберризик для забезпечення безпеки своїх клієнтів та активів.
З-поміж інструментів управління кіберризиком варто виокремити оцінку ризиків та збір даних про події (інциденти).
Оцінка ризиків проводиться (1) при розробці та впровадженні нових продуктів, процесів, внесенні змін в існуючі продукти та процеси, при запуску нових систем чи релізів; (2) у разі виявлення нових загроз чи реалізації нових подій як всередині організації, так і на ринку в цілому; (3) щорічна оцінка ризиків, яка дозволяє переоцінити ризики з урахуванням зібраної за рік статистики по загрозах і втратах та визначити необхідність перегляду стратегії та заходів з управління ризиками.
Оцінка ризиків складається з таких етапів:
- Оцінка ймовірності реалізації події;
- Розрахунок прямих та непрямих втрат від реалізації події;
- Визначення рівня ризику для кожного типу подій;
- Аналіз існуючих контролів;
- Визначення залишкового ризику після застосування контрольних заходів;
- Визначення найбільш прийнятного способу обробки ризику;
- Розробка плану дій з обробки ризику та його періодичний моніторинг;
- Формування ризик профілю та визначення лімітів ризику.
Перевагою даного інструменту є рання ідентифікація суттєвих ризиків та зосередження на їх попередженні та мітігації, що допомогає потім зменшити кількість подій кіберризику, втрати як банків, так і клієнтів.
Збір даних про події. Реєстрація та аналіз подій кіберризику дозволяє накопичувати статистику та проводити аналіз їх концентрації в розрізі продуктів, регіонів, сегментів клієнтів, виявляти аномалії, нетипові активності чи нові методи кібершахрайства.
Варто зазначити, що на даний момент потенційні втрати від кіберризику складають менше ніж 2% від загального ліміту операційного ризику АТ «Райффайзен Банк». Це досягнення великою мірою пов’язане з титанічною роботою нашого Департаменту інформаційної безпеки та впровадженими системами протидії кіберзагрозам.
Найкращим доказом ефективності роботи в даному напрямку є той факт, що протягом останніх років Райффайзен Банк не зазнав втрат внаслідок реалізації подій кіберризику. Проте, кількість кібератак постійно зростає та є значно вищою, ніж у попередні роки.
Що ж є найважливішим фактором в управлінні кіберризиком? Це наявність фахівців своєї справи, які можуть виявити і усунути вразливості до того, як шахраї почнуть їх використовувати. Звичайно, для ефективної боротьби з кіберзлочинцями не варто економити на технічних інструментах, потрібно вчасно виділяти бюджет на їх придбання.
Практика відшкодування втрат клієнтам від кібершахрайства
Іншою стороною реалізації кіберризику є втрати клієнта, які у більшості випадків спричинені довірливістю і непростими життєвими обставинами наших людей, але є й випадки викрадення даних без прямої вини їх власника. І в таких випадках гостро постає питання відшкодування збитків саме банками.
Незважаючи на пріоритетність управління кіберризиком і практику європейських країн щодо страхування збитків клієнтів від цього типу шахрайства, в Україні ще не досить розвинена практика страхування та відшкодування втрат клієнтів, що спричинені кіберзлочинами, страховими компаніями. Це зумовлено рядом чинників, зокрема низьким рівнем обізнаності клієнтів щодо причин та обставин викрадення їхніх коштів, неготовністю як банків, так і страхових компаній до співпраці в даному напрямку, суттєвими витратами на страхування тощо.
Проте, з огляду на зростаючу кількість кібератак та загроз, банкам варто вже зараз думати над можливістю співпраці зі страховими компаніями, щоб бути готовими відповідати європейським стандартам захисту клієнтів від кіберзлочинів.
*****
В Райффайзен Банку наявна потужна експертиза в напрямку управління ризиками та протидії кіберзагрозам. Наші спеціалісти використовують новітні технології, спеціально створюють програми навчання, як, наприклад, RASP (Raiffeisen Awareness Security Program), заохочують працівників банку та клієнтів до підвищення своїх знань у галузі інформаційної безпеки. Окрім того, усі працівники банку мають доступ до фахових навчальних курсів, а наші експерти є спікерами на галузевих конференціях. Ми розширюємо команди та запрошуємо долучитися спеціалістів з кібербезпеки та управління ризиками до когорти фахівців, що стоять на захисті безпеки даних клієнтів та компанії. Усі актуальні вакансії можна переглянути на офіційному сайті raiffeisen.ua.
Ознайомтесь з іншими важливими матеріалами:
Перехід на СЕП 4.0 та ISO 20022: досвід Райффайзен Банку
Скільки заробив Райффайзен Банк від початку року
Райффайзен отримав гарантію від DFC на кредитування підприємств в Україні
