ЦБ признал высоким риск утечек из проверяющих банки аудиторских организаций
Центробанк счел слишком низкой защищенность аудиторских организаций, проверяющих общественно значимые организации финансового рынка. ЦБ рекомендовал аудиторам запланировать и обеспечить мероприятия по снижению рисков утечек, которые сейчас, по оценке регулятора, высоки. Аудиторы работают с большим объемом чувствительных данных, напоминают эксперты. Защитить их смогут только компании с выручкой от 1 млрд рублей, полагают они
ЦБ считает высоким риск утечек информации из аудиторских организаций. Об этом сообщает «Коммерсантъ» со ссылкой на письмо регулятора. Оно было разослано аудиторским компаниям из реестра проверяющих общественно значимые организации финансового рынка (ОЗО ФР). В письме, в частности, говорится о повышенном количестве атак на информационною инфраструктуру России со стороны «недружественных» стран.
Департамент информационной безопасности ЦБ рекомендовал аудиторам запланировать и провести мероприятия, направленные на повышение защищенности «чувствительной информации, утечка которой способна оказать негативное влияние на деятельность в сфере финансовых рынков». План подготовки таких мероприятий аудиторы должны направить в департамент до 1 сентября 2025 года.
В письме говорится, что ранее регулятор проводил опрос среди участников рынка о мерах, которые принимают аудиторы для снижения рисков утечек. Из опроса (с ним, как и с письмом ЦБ, ознакомилась газета) следует, что аудиторы должны выполнять ГОСТы, которые обычно выполняют банки. Аудиторы говорят, что это, в частности, ГОСТ 57580.1-2017: он устанавливает базовый перечень мер по защите информации в финансовом секторе.
Эксперты по информационной безопасности, опрошенные газетой, заявили о крайней актуальности требований ЦБ к аудиторам. Они напомнили, что аудиторы собирают и хранят большие массивы конфиденциальной информации о своих клиентах, в том числе данные об ИТ-инфраструктуре, используемом ПО, бизнес-процессах, финансовую информацию, персональные данные клиентов, сведения о выполненных операциях, финансовые и налоговые документы, информацию, составляющую коммерческую тайну.
Утечка таких данных может стать основанием для шантажа, инсайдерской торговли, недобросовестной конкуренции, предупредили специалисты. Они добавили, что использование таких данных для социальной инженерии или несанкционированного доступа к другим системам несет прямые финансовые потери и репутационные риски. Однако построение инфраструктуры для защиты может обойтись крайне дорого — в десятки и даже сотни миллионов рублей.
Обеспечить высокий уровень защищенности смогут только аудиторские компании с годовой выручкой от 1 млрд рублей, полагают специалисты. В ЦБ отметили, что регулятор вправе в случае нарушения требований принимать меры надзорного реагирования в соответствии с действующим законодательством.