Как киберриски могут повлиять на рейтинг банков
Аналитики Standard & Poor's отмечают, что повышение уровня цифровизации и переход на удаленную работу обусловили рост киберрисков в финансовом сектореОпубликован новый отчет S&P Global Ratings «Киберриски в новую эпоху: влияние на рейтинги банков». Киберриски представляют собой возрастающую угрозу для финансовых организаций. Аналитики отмечают, что успешная масштабная кибератака может оказать значительное влияние на способность организации обслуживать обязательства своевременно и в полном объеме.
«Мы полагаем, что финансовая отрасль является одной из основных мишеней для киберпреступников, поскольку банки и другие финансовые организации хранят конфиденциальные персональные данные и владеют важной информацией о финансовых операциях. Тенденции к развитию цифровизации в банковской системе и применению механизмов удаленной работы, которые усилились вследствие пандемии COVID-19, подвергли отрасль еще более высоким рискам, связанным с деятельностью киберпреступников, поскольку объем онлайн-операций значительно увеличился», - говорится в отчете.
Кибератаки могут оказывать давление на кредитные рейтинги финансовых организаций через репутационный ущерб и возможные потери денежных средств.
«Вместе с тем мы прогнозируем, что в случае успешной масштабной кибератаки на системно значимый банк или ряд крупных финансовых институтов государственные органы могут принять ответные меры для стабилизации ситуации в секторе. В рамках нашего анализа кредитоспособности банков мы учитываем киберриски как на уровне банковской системы, так и на уровне конкретного банка. Мы можем учитывать киберриски в рамках нашего анализа банковского сектора конкретной страны в тех случаях, когда банковская отрасль в целом страдает от серии повторяющихся серьезных взломов систем безопасности, или если мы отмечаем, что регулирующие органы в большей степени пассивны и не действуют проактивно, требуя от финансовых организаций повысить качество систем кибербезопасности», - говорят аналитики.
Они учитывают риски следующим образом:
- негативное влияние на стабильность бизнеса банка может оказать утрата доверия клиентов в результате успешной кибератаки. Также учитывается способность банка управлять киберрисками и предотвращать их в оценке менеджмента и корпоративного управления;
- возможные потери от киберинцидентов могут обусловить существенные убытки и, в свою очередь, оказать негативное влияние на показатели капитализации банка;
- низкое качество управления киберрисками может отражать структурные недостатки системы управления рисками в банке;
- киберинцидент может обусловить значительный репутационный ущерб, что в самых крайних случаях может привести к непредвиденному оттоку средств клиентов и возникновению давления на ликвидность.
Пандемия COVID-19 обусловила рост киберрисков
Хотя надежная статистика о количестве киберинцидентов имеется не всегда (отчасти потому, что раскрываться может только часть информации), аналитики отмечают увеличение числа сообщений в СМИ об успешных кибератаках на финансовые организации. Пандемия COVID-19 и распространение механизмов удаленной работы заставили банки и другие финансовые организации повышать уровень цифровизации.
По данным американской компании Guidewire, большинство публично известных киберинцидентов для финансовых организаций связаны с кражей данных, хотя число атак с помощью программ-вымогателей также растет. Относительно крупные финансовые организации остаются наиболее частыми мишенями публично известных атак. Аналитики S&P Global Ratings говорят, что ни одна из финансовых организаций не защищена от причиняющих ущерб киберинцидентов, а небольшие финансовые институты, которые не вкладывают достаточно средств в кибербезопасность, также могут подвергаться более частым и более успешным атакам.
В меньшей степени подготовлены к кибератакам и, как следствие, более уязвимы для них следующие банки:
• Низкое качество управления рисками и отсутствие специальной системы управления киберриском и четкой ответственности за управление риском (например, управление киберрисками относится только к сфере информационных технологий и не является глубоко интегрированным в общебанковскую систему управления рисками). Одним из признаков такого положения вещей является отсутствие плана действий на случай чрезвычайных ситуаций или достаточных ресурсов для выявления кибератак и минимизации фактического ущерба.
• Устаревшая и фрагментированная ИТ-инфраструктура, включающая системы, установленные в прошлые периоды. Это включает устаревшее программное обеспечение (сопряжено с киберриском) и отсутствие постоянного обновления программного обеспечения банкоматов и центральных серверов. В банкоматах применяется очень много старых технических средств и программного обеспечения, которые стали популярной мишенью для кибератак. Еще одним фактором риска могут быть недостаточные мощности резервного сервера для переадресации классических DDoS-атак.
• Слабая система регулирования в сфере кибербезопасности в данной юрисдикции. Это затрагивает банки, которые ведут бизнес в странах, подверженных более высокому риску и имеющих более низкие стандарты.
Киберинциденты оказывают различное влияние на рейтинги в зависимости от характеристик и масштаба инцидента, что, в свою очередь, может обусловить разный репутационный ущерб и разный размер убытков от кибератаки. Например, хищение персональных данных клиентов может оказать менее существенное влияние, чем атака с использованием вредоносной программы. Влияние на рейтинг зависит от того, как изменяются кредитные характеристики организаций в результате кибератаки, и являются ли финансовые характеристики достаточно сильными для того, чтобы абсорбировать убытки и ущерб. Одним из примеров влияния на рейтинг является понижение рейтинга Bank of Valetta PLC в связи с тем, что кибератака повысила обеспокоенность относительно эффективности его управления операционным риском.
Взлом системы защиты американского банка Capital One Financial Corp для получения доступа к данным его клиентов, произошедший в июле 2019 года, не привел к рейтинговому действию, поскольку аналитики полагали, что прямые затраты, связанные с инцидентом, были управляемыми для организации, и доступ злоумышленников к ключевым данным о клиентах был ограничен. В то же время этот случай подчеркнул значимость систем защиты от кибератак и обусловил повышение репутационного риска для банка.
В декабре 2020 года российское ООО ИК «Фридом Финанс» сообщило о хищении данных после фишинговой атаки. Рейтинги компании остались без изменения в связи с устойчивыми показателями капитализации и прибыльности, напомнили в S&P Global Ratings.
«Несмотря на ограниченное влияние кибератак на рейтинги финансовых институтов до настоящего времени, мы ожидаем, что число рейтинговых действий, обусловленных киберинцидентами, увеличится, поскольку киберинциденты становятся все более частыми и сложными и оказывают все более значительное влияние на финансовые характеристики рейтингуемых организаций», - пишут авторы отчета.
Насколько банки готовы к управлению киберрисками?
По мнению S&P Global Ratings, основным фактором устойчивости к киберрискам является сочетание мер по управлению рисками (как до, так и после кибератаки). В рамках анализа S&P Global Ratings уделяют внимание тому, как финансовая организация управляет подверженностью киберриску и как она будет действовать после потенциальной кибератаки, чтобы ограничить ущерб.
На практике аналитики стремятся оценить в том числе степень осведомленности о киберриске, а также значимость управления киберриском и роль директора по информационной безопасности (Chief Information Security Officer, CISO) в финансовой организации. Кроме того, анализируют степень осведомленности о киберриске на разных уровнях организации, а также возможности и ресурсы киберзащиты.
«В целом мы не ожидаем, что руководство банков полностью устранит возможность кибератак, но особое значение для нас имеют ответные меры. Чрезвычайно важно сделать выводы из предыдущих кибератак и повысить качество систем управления киберриском в реальном времени, но приоритетом является надлежащее выявление кибератак и ликвидация их последствий, поскольку характер угроз продолжит меняться. По мнению S&P Global Ratings, киберинциденты, вероятнее всего, будут становиться все более изощренными, что делает их устранение все более сложным. Поэтому мы полагаем, что повышение уровня цифровизации организации должно сопровождаться совершенствованием киберзащиты и культуры управления киберриском и повышением ее уровня», - отметили в S&P Global Ratings.