С 1 марта 2026 года микрофинансовые организации должны будут в автоматическом режиме обмениваться с Банком России данными о всех выявленных случаях мошенничества в течение одного рабочего дня. Речь идет как о попытках несанкционированного оформления займов на основе украденных данных, так и о кибератаках на IT-инфраструктуру МФО. Кроме того, регулятор планирует обязать МФО оперативно реагировать на его запросы и регулярно загружать сигнатуры новых угроз, применяя обновления практически в реальном времени (в течение от 1 до 4 часов).
— Насколько, по-вашему, отрасль готова к такой тесной интеграции с ФинЦЕРТ?
— Технически эта интеграция больше носит характер штатного взаимодействия, здесь нет принципиально ничего нового для финсектора. Банки давно работают с ФинЦЕРТом, и этот опыт сейчас тиражируется на МФО. Готовность отрасли можно сейчас в целом оценить, как высокую. Если брать крупных игроков, то серьезных проблем не наблюдается. Здесь главное подключиться и выделить отдельного человека, который будет отвечать за взаимодействие, будет выступать единой точкой входа с последующим оперативным распределением информации по отделам внутри компании, в зависимости от вида киберугрозы (ИТ или ИБ).
От этого человека не требуется наличия специальных компетенций, вполне можно обучить того, кто ранее с этим не работал. Как вариант, это может быть тот, кто взаимодействует через личный кабинет с ЦБ. Дополнительных средств защиты покупать не нужно, не нужно выстраивать дополнительные каналы безопасности, защищая их ГОСТовым шифрованием, все взаимодействие идет через ЛК ФинЦЕРТа. ФинЦЕРТ со своей стороны максимально открыт к взаимодействию и разъяснениям.
— Будет ли создание единого банка данных о мошеннических инцидентах эффективным инструментом для повышения безопасности всей сферы?
— Создание единого банка данных о мошеннических операциях однозначно будет эффективным инструментом. ФинЦЕРТ оперативно аккумулирует информацию и быстро оповещает об этом рынок: будьте настороже и примите меры. Вопрос взаимодействия с ФинЦЕРТом состоит из двух этапов. Первый этап рынок уже реализовал, с 1 сентября 2025 года компании должны были подключиться к ФинЦЕРТу и обеспечить получение от него ФИДов — переченя информации о мошенниках. Они нужны для проверки наличия в них номеров телефонов и карт, ФИО, других данных заемщиков, которые обращаются за деньгами. При наличии пересечений в данных кредитор отказывает в выдаче.
С 1 марта 2026 года уже рынок должен передавать данные в ФинЦЕРТ, обогащая базу мошеннических инцидентов. Если компания фиксирует попытку мошенничества, оформление займа по подложным документам и пр., эту информацию она практически в режиме реального времени передает в ФинЦЕРТ, чтобы он, в свою очередь, смог оповестить других участников рынка об этом мошеннике.
При этом компания должна будет передавать информацию не только об активности непосредственно финансовых мошенников. Очень важно, что речь идет также о вредоносной активности хакеров. О тех, чей интерес заключается не в получении заемных средств обманным путем, а в нанесении вреда самой компании. Эти схемы давно известны: закинуть вирус-шифровальщик с целью дальнейшего вымогательства, провести DDoS-атаку для остановки деятельности и пр. Поэтому создание единого банка данных о мошеннических инцидентах позволит противостоять разным типам угроз и будет очень эффективным.
— С какими основными трудностями предстоит столкнуться при реализации новых требований — от технической интеграции (может занять до 9 месяцев) до закупки сертифицированного криптографического ПО для защищенных каналов связи?
— С 1 марта 2026 компании должны будут обеспечить именно автоматизированный обмен информацией. Здесь нужно будет доработать внутренние информационные системы так, чтобы в онлайн режиме отправлять данные в ФинЦЕРТ. Сложность основная здесь в том, чтобы обеспечить передачу этой информации из внутренних систем. У МФО пока нет специализированного отраслевого ПО, которое имело бы возможность интеграции по умолчанию. В большинстве банковского ПО технически уже предусмотрена возможность прямой интеграции с ФинЦЕРТом.
МФО, как правило, работают на системах собственной разработки, поэтому изначально в них технически могут быть не заложены возможности для интеграции. Здесь нужно время и ресурсы на оптимизацию процесса выдачи займов таким образом, чтобы встроить в него функцию проверки через ФинЦЕРТ. При этом в ФИДы заемщики могут как попадать, так и исключаться, то есть это не статический, а динамический процесс, поэтому и нужно будет регулярно сверяться с сигнатурами новых угроз. Оптимизацию системы можно делать силами либо собственной разработки и поддержки, либо, если это ПО разработано сторонней компанией, которая его же и обслуживает, силами этой компании.
Как я уже говорил ранее, никаких дополнительных защищенных каналов связи создавать не нужно, а с криптографическом ПО нет проблем, его много, оно недорогое и от размера компании затраты на него никак не зависят. Таким образом, основная сложность здесь заключается в оптимизации информационной системы, на которой работает компания.
Банк России существенно повышает стандарты информационной безопасности для некредитных финорганизаций. В проекте положения № 757-П, вынесенном на обсуждение, заложены сложные и строгие требования к обеспечению ИБ в микрофинансовых компаниях. Эксперты отрасли отмечают, что выполнение этих норм станет непростой задачей, особенно для небольших МФО, и предлагают дифференцированный подход — обязать всех соблюдать базовый минимум, а более жесткие требования предъявлять только крупным игрокам или тем, кто обрабатывает особо чувствительные данные.
— Насколько оправдан, на ваш взгляд, столь высокий «банковский» уровень требований для микрофинансового сектора? Поддерживаете ли идею гибкого регулирования, чтобы усиление кибербезопасности не стало чрезмерной нагрузкой для небольших компаний? Готовы ли вы в MoneyMan выполнить новые стандарты?
— Положение № 757-П содержит много важных моментов, один из сложных блоков — это соответствие требованиям ГОСТ 57580.1. На мой взгляд, это один из лучших ГОСТов, причем для компаний из самых разных отраслей, не только финансовой. Он содержит набор требований, которые позволяют минимизировать риски ИБ. Требования по этому госту касаются обеспечения кибербезопасности, наличия определенных процессов ИБ, элементов контроля ИБ и ИТ, а также аспекты развития ИБ в компании. Отталкиваясь от требований этого ГОСТа, можно создать подробный и качественный план развития ИБ, приведя тем самым компанию на очень высокий уровень технической и организационной зрелости в части ИБ.
Данный ГОСТ подразумевает три уровня соответствия: условно, минимальный, средний (стандартный) и высокий (усиленный). Для МФО в первой редакции этого положения говорится о соответствии минимальному уровню ГОСТа. Это можно сделать без закупки дорогостоящих средств защиты и специализированного ПО. Остальное все решается организационными мерами и технической настройкой имеющихся средств. Этот минимальный уровень соответствия даст возможность защитить данные, которые собираются в МФО.
Соответственно, для небольших компаний этого будет достаточно, поэтому дифференцированный подход здесь оправдан. Он поможет избежать небольшим игрокам избыточной нагрузки, при этом повысив свой уровень защищенности. Что касается крупных игроков, то современные технологические лидеры рынка МФО собирают данных не меньше, чем банки, поэтому высокий уровень требований к ним оправдан. Особенно с учетом того, что последствия здесь серьезнее, чем в случае с небольшими компаниями.
Мы, конечно, готовы выполнять новые стандарты и уже заранее провели аудит соответствия этому ГОСТу. Надо при этом отметить, что есть много небольших МФО, у которых ИБ не налажена, а репутационный урон в случае атак на них несет вся отрасль. В любом случае небольшим МФО придется выделять ресурсы на соответствие новым требованиям. Нужен хотя бы один специалист по управлению ИБ, чтобы он смог организовать работы по выполнению требований ГОСТа. Для этого можно привлекать сторонних подрядчиков, имеющих соответствующую лицензию ФСТЭК. Как мы знаем, злоумышленникам интересны компании любого размера, и это только вопрос времени, когда они подвергнутся атаке.
Не секрет, что ошибки сотрудников и социальная инженерия часто сводят на нет самые продвинутые системы защиты. Согласно недавнему отчету IBM, до 95% всех нарушений кибербезопасности происходят из-за человеческого фактора.
— Что делается в MoneyMan для укрепления «иммунитета» сотрудников к киберугрозам? Как вы формируете у персонала культуру, при которой соблюдение правил ИБ становится частью повседневной работы и снижает вероятность успешной атаки через человеческую уязвимость?
— Сведение на нет эффективности систем защиты человеческим фактором и социальной инженерией — это острейшая тема, которая стоит на повестке последние годы. Мы в Moneyman привыкли действовать не реактивно, а проактивно, в том числе, и в вопросах ИБ. Поэтому мы сильно заранее стали развивать то, что называется гигиеной информационной безопасности среди сотрудников.
Прежде всего глобально задача была сделать ИБ подразделением, с которым работники хотели бы взаимодействовать. Чтобы пользователи не боялись туда обращаться, чтобы они поняли, что мы — не карающий и запрещающий орган, а те, кто всегда открыт и хочет помочь. То есть это работа с репутацией отдела ИБ внутри компании в целом.
Понимая, что всем удобно воспринимать информацию по-разному, мы доносим ее в разных форматах. Кто-то любит лонгриды, кто-то предпочитает краткость и тезисы, видеоматериалы, инфографику. Исходя из этого, мы используем разные форматы донесения информации: рассылки в корпоративном мессенджере, квартальные презентации, вебинары, на которых выступают сотрудники ИБ на большую аудиторию. Мы регулярно собираем фидбек, проводим анкетирование, какие темы были бы интересны пользователям, и т.д.
При этом мы плотно взаимодействием с отделом маркетинга, чтобы понять, как сотрудникам удобнее получать информацию, что вообще они думают о нашей просветительской работе. Для этого маркетинг проводит исследования внутри компании. Это позволяет нам охватывать больше аудитории и корректировать форматы и каналы донесения информации.
Крайне важно завоевать доверие сотрудников и не стать назойливым. Поэтому мы при подаче информации исходим из того, что она в первую очередь помогает обезопасить себя и близкое окружение в современном цифровом мире, а только потом уже — компанию. То есть смысл в том, чтобы донести до людей пользу, которая есть прежде всего непосредственно для них самих, если они будут владеть культурой ИБ. В дальнейшем они уже сами становятся носителями знаний и культуры ИБ, распространяя их вокруг себя.
— Проводите ли вы регулярные обучающие программы, имитации фишинг-атак, внутренние кампании по повышению осведомленности об информационной безопасности?
— Да, помимо внутренних кампаний по повышению осведомленности об ИБ мы проводим имитации фишинг-атак своими силами, это хорошая тренировка. И со временем мы видим положительную динамику. Через год после начала просветительской работы доля тех, кто обратился в ИБ после получения фишингового письма, выросла в 10 раз. А доля тех, кто попался на фишинг, напротив, снизилась в 10 раз. Спустя два года доля тех, кто обратился в ИБ, выросла еще в 7 раз, а на фишинг попались буквально считанные единицы. То есть за два года сотрудники научились определять фишинг, знают куда обращаться и самое главное — не бояться этого делать. То есть теперь они обучены и могут спокойно, не выходя из равновесия, действовать по алгоритму, применяя знания и в обычной жизни, и на работе.