Опубликован новый отчет S&P Global
Ratings «Киберриски в новую эпоху: влияние на
рейтинги банков». Киберриски представляют собой возрастающую угрозу для
финансовых организаций. Аналитики отмечают, что успешная масштабная кибератака
может оказать значительное влияние на способность организации обслуживать
обязательства своевременно и в полном объеме.
«Мы полагаем, что финансовая
отрасль является одной из основных мишеней для киберпреступников, поскольку
банки и другие финансовые организации хранят конфиденциальные персональные
данные и владеют важной информацией о финансовых операциях. Тенденции к развитию
цифровизации в банковской системе и применению механизмов удаленной работы, которые
усилились вследствие пандемии COVID-19, подвергли отрасль еще более высоким
рискам, связанным с деятельностью киберпреступников, поскольку объем
онлайн-операций значительно увеличился», - говорится в отчете.
Кибератаки могут оказывать давление на кредитные рейтинги финансовых организаций через репутационный ущерб и возможные потери денежных средств.
«Вместе с тем мы
прогнозируем, что в случае успешной масштабной кибератаки на системно значимый
банк или ряд крупных финансовых институтов государственные органы могут принять
ответные меры для стабилизации ситуации в секторе. В рамках нашего анализа
кредитоспособности банков мы учитываем киберриски как на уровне банковской
системы, так и на уровне конкретного банка. Мы можем учитывать киберриски в
рамках нашего анализа банковского сектора конкретной страны в тех случаях,
когда банковская отрасль в целом страдает от серии повторяющихся серьезных
взломов систем безопасности, или если мы отмечаем, что регулирующие органы в
большей степени пассивны и не действуют проактивно, требуя от финансовых
организаций повысить качество систем кибербезопасности», - говорят аналитики.
Они учитывают риски следующим
образом:
негативное влияние на стабильность бизнеса банка может оказать утрата
доверия клиентов в результате успешной кибератаки. Также учитывается способность банка управлять киберрисками и предотвращать их в оценке менеджмента и корпоративного управления;
возможные потери от киберинцидентов могут обусловить существенные
убытки и, в свою очередь, оказать негативное влияние на показатели
капитализации банка;
низкое качество управления киберрисками может отражать структурные
недостатки системы управления рисками в банке;
киберинцидент может обусловить значительный репутационный ущерб, что в
самых крайних случаях может привести к непредвиденному оттоку средств
клиентов и возникновению давления на ликвидность.
Пандемия COVID-19
обусловила рост киберрисков
Хотя надежная статистика
о количестве киберинцидентов имеется не всегда (отчасти потому, что раскрываться
может только часть информации), аналитики отмечают увеличение числа сообщений в
СМИ об успешных кибератаках на финансовые организации. Пандемия COVID-19 и
распространение механизмов удаленной работы заставили банки и другие финансовые
организации повышать уровень цифровизации.
По данным американской компании
Guidewire, большинство публично известных киберинцидентов для финансовых
организаций связаны с кражей данных, хотя число атак с помощью программ-вымогателей
также растет. Относительно крупные финансовые организации остаются наиболее
частыми мишенями публично известных атак. Аналитики S&P
Global Ratings говорят, что ни одна из финансовых организаций не
защищена от причиняющих ущерб киберинцидентов, а небольшие финансовые
институты, которые не вкладывают достаточно средств в кибербезопасность, также могут
подвергаться более частым и более успешным атакам.
В меньшей степени
подготовлены к кибератакам и, как следствие, более уязвимы для них следующие
банки:
•
Низкое качество
управления рисками и отсутствие специальной системы управления киберриском и
четкой ответственности за управление риском (например, управление киберрисками
относится только к сфере информационных технологий и не является глубоко
интегрированным в общебанковскую систему управления рисками). Одним из
признаков такого положения вещей является отсутствие плана действий на случай
чрезвычайных ситуаций или достаточных ресурсов для выявления кибератак и
минимизации фактического ущерба.
•
Устаревшая и
фрагментированная ИТ-инфраструктура, включающая системы, установленные в
прошлые периоды. Это включает устаревшее программное обеспечение (сопряжено с
киберриском) и отсутствие постоянного обновления программного обеспечения
банкоматов и центральных серверов. В банкоматах применяется очень много старых
технических средств и программного обеспечения, которые стали популярной
мишенью для кибератак. Еще одним фактором риска могут быть недостаточные
мощности резервного сервера для переадресации классических DDoS-атак.
•
Слабая
система регулирования в сфере кибербезопасности в данной юрисдикции. Это затрагивает
банки, которые ведут бизнес в странах, подверженных более высокому риску и
имеющих более низкие стандарты.
Киберинциденты оказывают
различное влияние на рейтинги в зависимости от характеристик и масштаба
инцидента, что, в свою очередь, может обусловить разный репутационный ущерб и
разный размер убытков от кибератаки. Например, хищение персональных данных
клиентов может оказать менее существенное влияние, чем атака с использованием
вредоносной программы. Влияние на рейтинг зависит от того, как изменяются
кредитные характеристики организаций в результате кибератаки, и являются ли
финансовые характеристики достаточно сильными для того, чтобы абсорбировать
убытки и ущерб. Одним из примеров влияния на рейтинг является понижение
рейтинга Bank of Valetta PLC в связи с тем, что кибератака повысила
обеспокоенность относительно эффективности его управления операционным риском.
Взлом системы защиты
американского банка Capital One Financial Corp для получения доступа к данным
его клиентов, произошедший в июле 2019 года, не привел к рейтинговому действию,
поскольку аналитики полагали, что прямые затраты, связанные с инцидентом, были
управляемыми для организации, и доступ злоумышленников к ключевым данным о
клиентах был ограничен. В то же время этот случай подчеркнул значимость систем
защиты от кибератак и обусловил повышение репутационного риска для банка.
В декабре 2020 года
российское ООО ИК «Фридом Финанс» сообщило о хищении данных после фишинговой
атаки. Рейтинги компании остались без изменения в связи с устойчивыми
показателями капитализации и прибыльности, напомнили в S&P Global Ratings.
«Несмотря на ограниченное
влияние кибератак на рейтинги финансовых институтов до настоящего времени, мы
ожидаем, что число рейтинговых действий, обусловленных киберинцидентами,
увеличится, поскольку киберинциденты становятся все более частыми и сложными и
оказывают все более значительное влияние на финансовые характеристики рейтингуемых
организаций», - пишут авторы отчета.
Насколько банки готовы
к управлению киберрисками?
По мнению S&P Global
Ratings, основным фактором устойчивости к киберрискам является сочетание мер по
управлению рисками (как до, так и после кибератаки). В рамках анализа S&P
Global Ratings уделяют внимание тому, как финансовая организация управляет
подверженностью киберриску и как она будет действовать после потенциальной
кибератаки, чтобы ограничить ущерб.
На практике аналитики
стремятся оценить в том числе степень осведомленности о киберриске, а также
значимость управления киберриском и роль директора по информационной
безопасности (Chief Information Security Officer, CISO) в финансовой
организации. Кроме того, анализируют степень осведомленности о киберриске на
разных уровнях организации, а также возможности и ресурсы киберзащиты.
«В целом мы не
ожидаем, что руководство банков полностью устранит возможность кибератак, но
особое значение для нас имеют ответные меры. Чрезвычайно важно сделать выводы
из предыдущих кибератак и повысить качество систем управления киберриском в реальном
времени, но приоритетом является надлежащее выявление кибератак и ликвидация их
последствий, поскольку характер угроз продолжит меняться. По мнению S&P
Global Ratings, киберинциденты, вероятнее всего, будут становиться все более
изощренными, что делает их устранение все более сложным. Поэтому мы полагаем,
что повышение уровня цифровизации организации должно сопровождаться
совершенствованием киберзащиты и культуры управления киберриском и повышением ее
уровня», - отметили в S&P Global Ratings.