Как киберриски могут повлиять на рейтинг банков

Аналитики Standard & Poor's отмечают, что повышение уровня цифровизации и переход на удаленную работу обусловили рост киберрисков в финансовом секторе

Share
Share
Share
Tweet
Share
Как киберриски могут повлиять на рейтинг банков- Kapital.kz

Опубликован новый отчет S&P Global Ratings «Киберриски в новую эпоху: влияние на рейтинги банков». Киберриски представляют собой возрастающую угрозу для финансовых организаций. Аналитики отмечают, что успешная масштабная кибератака может оказать значительное влияние на способность организации обслуживать обязательства своевременно и в полном объеме.

«Мы полагаем, что финансовая отрасль является одной из основных мишеней для киберпреступников, поскольку банки и другие финансовые организации хранят конфиденциальные персональные данные и владеют важной информацией о финансовых операциях. Тенденции к развитию цифровизации в банковской системе и применению механизмов удаленной работы, которые усилились вследствие пандемии COVID-19, подвергли отрасль еще более высоким рискам, связанным с деятельностью киберпреступников, поскольку объем онлайн-операций значительно увеличился», ­- говорится в отчете.

Как киберриски могут повлиять на рейтинг банков 770533 - Kapital.kz

Кибератаки могут оказывать давление на кредитные рейтинги финансовых организаций через репутационный ущерб и возможные потери денежных средств.

«Вместе с тем мы прогнозируем, что в случае успешной масштабной кибератаки на системно значимый банк или ряд крупных финансовых институтов государственные органы могут принять ответные меры для стабилизации ситуации в секторе. В рамках нашего анализа кредитоспособности банков мы учитываем киберриски как на уровне банковской системы, так и на уровне конкретного банка. Мы можем учитывать киберриски в рамках нашего анализа банковского сектора конкретной страны в тех случаях, когда банковская отрасль в целом страдает от серии повторяющихся серьезных взломов систем безопасности, или если мы отмечаем, что регулирующие органы в большей степени пассивны и не действуют проактивно, требуя от финансовых организаций повысить качество систем кибербезопасности», - говорят аналитики.

Они учитывают риски следующим образом:

  1. негативное влияние на стабильность бизнеса банка может оказать утрата доверия клиентов в результате успешной кибератаки. Также учитывается способность банка управлять киберрисками и предотвращать их в оценке менеджмента и корпоративного управления;
  2. возможные потери от киберинцидентов могут обусловить существенные убытки и, в свою очередь, оказать негативное влияние на показатели капитализации банка;
  3. низкое качество управления киберрисками может отражать структурные недостатки системы управления рисками в банке;
  4. киберинцидент может обусловить значительный репутационный ущерб, что в самых крайних случаях может привести к непредвиденному оттоку средств клиентов и возникновению давления на ликвидность.

Пандемия COVID-19 обусловила рост киберрисков

Хотя надежная статистика о количестве киберинцидентов имеется не всегда (отчасти потому, что раскрываться может только часть информации), аналитики отмечают увеличение числа сообщений в СМИ об успешных кибератаках на финансовые организации. Пандемия COVID-19 и распространение механизмов удаленной работы заставили банки и другие финансовые организации повышать уровень цифровизации.

По данным американской компании Guidewire, большинство публично известных киберинцидентов для финансовых организаций связаны с кражей данных, хотя число атак с помощью программ-вымогателей также растет. Относительно крупные финансовые организации остаются наиболее частыми мишенями публично известных атак. Аналитики S&P Global Ratings  говорят, что ни одна из финансовых организаций не защищена от причиняющих ущерб киберинцидентов, а небольшие финансовые институты, которые не вкладывают достаточно средств в кибербезопасность, также могут подвергаться более частым и более успешным атакам.

Как киберриски могут повлиять на рейтинг банков 770541 - Kapital.kz

В меньшей степени подготовлены к кибератакам и, как следствие, более уязвимы для них следующие банки:

•        Низкое качество управления рисками и отсутствие специальной системы управления киберриском и четкой ответственности за управление риском (например, управление киберрисками относится только к сфере информационных технологий и не является глубоко интегрированным в общебанковскую систему управления рисками). Одним из признаков такого положения вещей является отсутствие плана действий на случай чрезвычайных ситуаций или достаточных ресурсов для выявления кибератак и минимизации фактического ущерба.

•        Устаревшая и фрагментированная ИТ-инфраструктура, включающая системы, установленные в прошлые периоды. Это включает устаревшее программное обеспечение (сопряжено с киберриском) и отсутствие постоянного обновления программного обеспечения банкоматов и центральных серверов. В банкоматах применяется очень много старых технических средств и программного обеспечения, которые стали популярной мишенью для кибератак. Еще одним фактором риска могут быть недостаточные мощности резервного сервера для переадресации классических DDoS-атак.

•        Слабая система регулирования в сфере кибербезопасности в данной юрисдикции. Это затрагивает банки, которые ведут бизнес в странах, подверженных более высокому риску и имеющих более низкие стандарты.

Киберинциденты оказывают различное влияние на рейтинги в зависимости от характеристик и масштаба инцидента, что, в свою очередь, может обусловить разный репутационный ущерб и разный размер убытков от кибератаки. Например, хищение персональных данных клиентов может оказать менее существенное влияние, чем атака с использованием вредоносной программы. Влияние на рейтинг зависит от того, как изменяются кредитные характеристики организаций в результате кибератаки, и являются ли финансовые характеристики достаточно сильными для того, чтобы абсорбировать убытки и ущерб. Одним из примеров влияния на рейтинг является понижение рейтинга Bank of Valetta PLC в связи с тем, что кибератака повысила обеспокоенность относительно эффективности его управления операционным риском.

Взлом системы защиты американского банка Capital One Financial Corp для получения доступа к данным его клиентов, произошедший в июле 2019 года, не привел к рейтинговому действию, поскольку аналитики полагали, что прямые затраты, связанные с инцидентом, были управляемыми для организации, и доступ злоумышленников к ключевым данным о клиентах был ограничен. В то же время этот случай подчеркнул значимость систем защиты от кибератак и обусловил повышение репутационного риска для банка.

В декабре 2020 года российское ООО ИК «Фридом Финанс» сообщило о хищении данных после фишинговой атаки. Рейтинги компании остались без изменения в связи с устойчивыми показателями капитализации и прибыльности, напомнили в S&P Global Ratings.

«Несмотря на ограниченное влияние кибератак на рейтинги финансовых институтов до настоящего времени, мы ожидаем, что число рейтинговых действий, обусловленных киберинцидентами, увеличится, поскольку киберинциденты становятся все более частыми и сложными и оказывают все более значительное влияние на финансовые характеристики рейтингуемых организаций», - пишут авторы отчета.

Насколько банки готовы к управлению киберрисками?

По мнению S&P Global Ratings, основным фактором устойчивости к киберрискам является сочетание мер по управлению рисками (как до, так и после кибератаки). В рамках анализа S&P Global Ratings уделяют внимание тому, как финансовая организация управляет подверженностью киберриску и как она будет действовать после потенциальной кибератаки, чтобы ограничить ущерб.

На практике аналитики стремятся оценить в том числе степень осведомленности о киберриске, а также значимость управления киберриском и роль директора по информационной безопасности (Chief Information Security Officer, CISO) в финансовой организации. Кроме того, анализируют степень осведомленности о киберриске на разных уровнях организации, а также возможности и ресурсы киберзащиты.

«В целом мы не ожидаем, что руководство банков полностью устранит возможность кибератак, но особое значение для нас имеют ответные меры. Чрезвычайно важно сделать выводы из предыдущих кибератак и повысить качество систем управления киберриском в реальном времени, но приоритетом является надлежащее выявление кибератак и ликвидация их последствий, поскольку характер угроз продолжит меняться. По мнению S&P Global Ratings, киберинциденты, вероятнее всего, будут становиться все более изощренными, что делает их устранение все более сложным. Поэтому мы полагаем, что повышение уровня цифровизации организации должно сопровождаться совершенствованием киберзащиты и культуры управления киберриском и повышением ее уровня», - отметили в S&P Global Ratings.

При работе с материалами Центра деловой информации Kapital.kz разрешено использование лишь 30% текста с обязательной гиперссылкой на источник. При использовании полного материала необходимо разрешение редакции.

Вверх
Коментарии
Отправить
Новости партнеров:
Авторизуйтесь, чтобы отправить комментарий
Введите номер своего сотового телефона и пароль.
Вам необходимо пройти регистрацию, чтобы отправить комментарий
Введите номер своего сотового телефона. Мы отправим вам код доступа, который будет действителен в течение суток.
Пароль должен содержать не менее 6 символов. Допустимо использование латинских букв и цифр.
Введите код доступа из SMS-сообщения
Мы отправили вам код доступа. Если по каким-то причинам вы не получили SMS, вы можете отправить его еще раз.
Отправить код повторно ( 59 секунд )
Спасибо, что авторизовались
Теперь вы можете оставлять комментарии.
Вы зарегистрированы
Теперь вы можете оставлять комментарии к материалам портала
Сменить пароль
Введите номер своего сотового телефона для смены пароля
Введите код доступа из SMS-сообщения
Мы отправили вам код доступа. Если по каким-то причинам вы не получили SMS, вы можете отправить его еще раз.
Пароль должен содержать не менее 6 символов. Допустимо использование латинских букв и цифр.
Отправить код повторно ( 59 секунд )
Пароль успешно изменен
Теперь вы можете авторизоваться
Пожаловаться
Выберите причину обращения
Спасибо за обращение!
Мы приняли вашу заявку, в ближайшее время рассмотрим его и примем меры.