В минувшем году международная межбанковская SWIFT применялась хакерами для кражи крупных денежных сумм из ряда кредитных учреждений в разных странах мира. Чтобы предотвратить будущие кибернападения, было решено усилить защиту SWIFT. Меньше чем через месяц банки будут проверены на соответствие новым нормам.
РБК сообщает, что не во всех банках готовы к принятию новых стандартов. Как утверждают главы IT-отделов крупных банков, изменения могут привести к большим тратам, техническим проблемам и репутационными угрозами.
Матвей Геринг, являющийся руководителем отделения SWIFT в России, СНГ и Монголии, напомнил банкам о необходимости перехода на новые стандарты безопасности. Как утверждает специалист, на 1 апреля запланирована публикация 27 контрольных пунктов, 16 из которых обязательны к выполнению. К концу 2017 года банки должны сами дать оценку своему соответствию новым стандартам. Информация о банках, не соответствующих нормам, будут переданы регуляторам.
Новые нормы подразумевает дополнительные требования к антивирусам, поддержке и проверке целостности программного обеспечения и баз данных, организации работы специалистов, а также к хранению устройств. Новые требования затрагивают процесс фиксации аномальной активности в SWIFT и внедрения двухфакторной аутентификации.
Как утверждает один из источников РБК, для того, чтобы соответствовать новым требованиям, банки будут вынуждены перенастроить всю IT-систему. Если процедура перенастройки займет слишком много времени, работа с системой станет невозможной, так как с 1 сентября 2018 года будет прекращена поддержка необновленных сегментов SWIFT.
По словам банкиров, наименьшие риски, связанные с переходом на новые требования, существуют для организаций, являющихся непосредственными участниками таких международных платежных систем, как MasterCard и Visa. Остальные банки, прежде всего небольшие и региональные, столкнутся с большими рисками, так как они будут вынуждены осуществлять реализацию требования SWIFT с нуля. На инсталляцию, обновление и поддержку программного обеспечения и баз данных средний банк будет вынужден потратить сумму в 10-15 миллионов рублей.
Трудности могут возникнуть и при выполнении требования по повышению информированности персонала. На практике тренинги и обучение зачастую не являются эффективными, и сотрудники все еще пользуются ненадежными паролями, записанными на бумажках, хранящихся на рабочем месте.