USD
498.34₸
+3.470
EUR
519.72₸
-0.930
RUB
4.85₸
-0.060
BRENT
75.28$
BTC
98531.60$
-234.400

Как киберриски могут повлиять на рейтинг банков

Аналитики Standard & Poor's отмечают, что повышение уровня цифровизации и переход на удаленную работу обусловили рост киберрисков в финансовом секторе

Share
Share
Share
Tweet
Share
Как киберриски могут повлиять на рейтинг банков- Kapital.kz

Опубликован новый отчет S&P Global Ratings «Киберриски в новую эпоху: влияние на рейтинги банков». Киберриски представляют собой возрастающую угрозу для финансовых организаций. Аналитики отмечают, что успешная масштабная кибератака может оказать значительное влияние на способность организации обслуживать обязательства своевременно и в полном объеме.

«Мы полагаем, что финансовая отрасль является одной из основных мишеней для киберпреступников, поскольку банки и другие финансовые организации хранят конфиденциальные персональные данные и владеют важной информацией о финансовых операциях. Тенденции к развитию цифровизации в банковской системе и применению механизмов удаленной работы, которые усилились вследствие пандемии COVID-19, подвергли отрасль еще более высоким рискам, связанным с деятельностью киберпреступников, поскольку объем онлайн-операций значительно увеличился», ­- говорится в отчете.

Как киберриски могут повлиять на рейтинг банков 770533 - Kapital.kz

Кибератаки могут оказывать давление на кредитные рейтинги финансовых организаций через репутационный ущерб и возможные потери денежных средств.

«Вместе с тем мы прогнозируем, что в случае успешной масштабной кибератаки на системно значимый банк или ряд крупных финансовых институтов государственные органы могут принять ответные меры для стабилизации ситуации в секторе. В рамках нашего анализа кредитоспособности банков мы учитываем киберриски как на уровне банковской системы, так и на уровне конкретного банка. Мы можем учитывать киберриски в рамках нашего анализа банковского сектора конкретной страны в тех случаях, когда банковская отрасль в целом страдает от серии повторяющихся серьезных взломов систем безопасности, или если мы отмечаем, что регулирующие органы в большей степени пассивны и не действуют проактивно, требуя от финансовых организаций повысить качество систем кибербезопасности», - говорят аналитики.

Они учитывают риски следующим образом:

  1. негативное влияние на стабильность бизнеса банка может оказать утрата доверия клиентов в результате успешной кибератаки. Также учитывается способность банка управлять киберрисками и предотвращать их в оценке менеджмента и корпоративного управления;
  2. возможные потери от киберинцидентов могут обусловить существенные убытки и, в свою очередь, оказать негативное влияние на показатели капитализации банка;
  3. низкое качество управления киберрисками может отражать структурные недостатки системы управления рисками в банке;
  4. киберинцидент может обусловить значительный репутационный ущерб, что в самых крайних случаях может привести к непредвиденному оттоку средств клиентов и возникновению давления на ликвидность.

Пандемия COVID-19 обусловила рост киберрисков

Хотя надежная статистика о количестве киберинцидентов имеется не всегда (отчасти потому, что раскрываться может только часть информации), аналитики отмечают увеличение числа сообщений в СМИ об успешных кибератаках на финансовые организации. Пандемия COVID-19 и распространение механизмов удаленной работы заставили банки и другие финансовые организации повышать уровень цифровизации.

По данным американской компании Guidewire, большинство публично известных киберинцидентов для финансовых организаций связаны с кражей данных, хотя число атак с помощью программ-вымогателей также растет. Относительно крупные финансовые организации остаются наиболее частыми мишенями публично известных атак. Аналитики S&P Global Ratings  говорят, что ни одна из финансовых организаций не защищена от причиняющих ущерб киберинцидентов, а небольшие финансовые институты, которые не вкладывают достаточно средств в кибербезопасность, также могут подвергаться более частым и более успешным атакам.

Как киберриски могут повлиять на рейтинг банков 770541 - Kapital.kz

В меньшей степени подготовлены к кибератакам и, как следствие, более уязвимы для них следующие банки:

•        Низкое качество управления рисками и отсутствие специальной системы управления киберриском и четкой ответственности за управление риском (например, управление киберрисками относится только к сфере информационных технологий и не является глубоко интегрированным в общебанковскую систему управления рисками). Одним из признаков такого положения вещей является отсутствие плана действий на случай чрезвычайных ситуаций или достаточных ресурсов для выявления кибератак и минимизации фактического ущерба.

•        Устаревшая и фрагментированная ИТ-инфраструктура, включающая системы, установленные в прошлые периоды. Это включает устаревшее программное обеспечение (сопряжено с киберриском) и отсутствие постоянного обновления программного обеспечения банкоматов и центральных серверов. В банкоматах применяется очень много старых технических средств и программного обеспечения, которые стали популярной мишенью для кибератак. Еще одним фактором риска могут быть недостаточные мощности резервного сервера для переадресации классических DDoS-атак.

•        Слабая система регулирования в сфере кибербезопасности в данной юрисдикции. Это затрагивает банки, которые ведут бизнес в странах, подверженных более высокому риску и имеющих более низкие стандарты.

Киберинциденты оказывают различное влияние на рейтинги в зависимости от характеристик и масштаба инцидента, что, в свою очередь, может обусловить разный репутационный ущерб и разный размер убытков от кибератаки. Например, хищение персональных данных клиентов может оказать менее существенное влияние, чем атака с использованием вредоносной программы. Влияние на рейтинг зависит от того, как изменяются кредитные характеристики организаций в результате кибератаки, и являются ли финансовые характеристики достаточно сильными для того, чтобы абсорбировать убытки и ущерб. Одним из примеров влияния на рейтинг является понижение рейтинга Bank of Valetta PLC в связи с тем, что кибератака повысила обеспокоенность относительно эффективности его управления операционным риском.

Взлом системы защиты американского банка Capital One Financial Corp для получения доступа к данным его клиентов, произошедший в июле 2019 года, не привел к рейтинговому действию, поскольку аналитики полагали, что прямые затраты, связанные с инцидентом, были управляемыми для организации, и доступ злоумышленников к ключевым данным о клиентах был ограничен. В то же время этот случай подчеркнул значимость систем защиты от кибератак и обусловил повышение репутационного риска для банка.

В декабре 2020 года российское ООО ИК «Фридом Финанс» сообщило о хищении данных после фишинговой атаки. Рейтинги компании остались без изменения в связи с устойчивыми показателями капитализации и прибыльности, напомнили в S&P Global Ratings.

«Несмотря на ограниченное влияние кибератак на рейтинги финансовых институтов до настоящего времени, мы ожидаем, что число рейтинговых действий, обусловленных киберинцидентами, увеличится, поскольку киберинциденты становятся все более частыми и сложными и оказывают все более значительное влияние на финансовые характеристики рейтингуемых организаций», - пишут авторы отчета.

Насколько банки готовы к управлению киберрисками?

По мнению S&P Global Ratings, основным фактором устойчивости к киберрискам является сочетание мер по управлению рисками (как до, так и после кибератаки). В рамках анализа S&P Global Ratings уделяют внимание тому, как финансовая организация управляет подверженностью киберриску и как она будет действовать после потенциальной кибератаки, чтобы ограничить ущерб.

На практике аналитики стремятся оценить в том числе степень осведомленности о киберриске, а также значимость управления киберриском и роль директора по информационной безопасности (Chief Information Security Officer, CISO) в финансовой организации. Кроме того, анализируют степень осведомленности о киберриске на разных уровнях организации, а также возможности и ресурсы киберзащиты.

«В целом мы не ожидаем, что руководство банков полностью устранит возможность кибератак, но особое значение для нас имеют ответные меры. Чрезвычайно важно сделать выводы из предыдущих кибератак и повысить качество систем управления киберриском в реальном времени, но приоритетом является надлежащее выявление кибератак и ликвидация их последствий, поскольку характер угроз продолжит меняться. По мнению S&P Global Ratings, киберинциденты, вероятнее всего, будут становиться все более изощренными, что делает их устранение все более сложным. Поэтому мы полагаем, что повышение уровня цифровизации организации должно сопровождаться совершенствованием киберзащиты и культуры управления киберриском и повышением ее уровня», - отметили в S&P Global Ratings.

Читайте также

При работе с материалами Центра деловой информации Kapital.kz разрешено использование лишь 30% текста с обязательной гиперссылкой на источник. При использовании полного материала необходимо разрешение редакции.

Вам может быть интересно

Читайте Kapital.kz в Kapital Telegram Kapital Instagram Kapital Facebook
Вверх
Комментарии
Выйти
Отправить
Авторизуйтесь, чтобы отправить комментарий
Новый пользователь? Регистрация
Вам необходимо пройти регистрацию, чтобы отправить комментарий
Уже есть аккаунт? Вход
По телефону По эл. почте
Пароль должен содержать не менее 6 символов. Допустимо использование латинских букв и цифр.
Введите код доступа из SMS-сообщения
Мы отправили вам код доступа. Если по каким-то причинам вы не получили SMS, вы можете отправить его еще раз.
Отправить код повторно ( 59 секунд )
Спасибо, что авторизовались
Теперь вы можете оставлять комментарии.
Вы зарегистрированы
Теперь вы можете оставлять комментарии к материалам портала
Сменить пароль
Введите номер своего сотового телефона/email для смены пароля
По телефону По эл. почте
Введите код доступа из SMS-сообщения/Email'а
Мы отправили вам код доступа. Если по каким-то причинам вы не получили SMS/Email, вы можете отправить его еще раз.
Пароль должен содержать не менее 6 символов. Допустимо использование латинских букв и цифр.
Отправить код повторно ( 59 секунд )
Пароль успешно изменен
Теперь вы можете авторизоваться
Пожаловаться
Выберите причину обращения
Спасибо за обращение!
Мы приняли вашу заявку, в ближайшее время рассмотрим его и примем меры.