В рамках соблюдения информационной и кибербезопасности Агентством установлены отдельные требования к обеспечению информбезопасности как для банков, так и для МФО.
В НПА Агентства определены требования к защите информации в информационных системах, на интернет-ресурсах и в мобильных приложениях финансовых организаций, которые не позволяют мошенникам снять деньги или оформить кредит на клиента без непосредственного участия самого клиента.
На регулярной основе Агентством осуществляется мониторинг состояния информбезопасности на финансовом рынке c использованием автоматизированной системы "Qainar".
В этом году система "Qainar" прошла испытания на соответствие требованиям информбезопасности. Организована работа по координации противодействия кибератакам (73 участника из субъектов финансового рынка и государственных органов).
АРРФР в рамках информирования субъектов финансового рынка о текущих киберугрозах и возможных уязвимостях в 2023 году:
- направлено 91 предупреждений об угрозах и 67 предупреждений об уязвимостях информационной безопасности.
- зарегистрированы и обработаны 64 киберинцидента в финансовых организациях, в том числе 42 DDoS-атак.
- в соответствующий уполномоченный орган (МКиИ РК) передана информация на блокировку 24 мошеннических интернет-ресурсов. Эффективность информационной защиты казахстанских банков не позволяет злоумышленникам напрямую похищать денежные средства с банковских счетов, без ведома их владельцев. Это привело к росту преступлений посредством мошеннических схем с использованием дистанционных услуг и вовлечением клиентов финансовых организаций. Самым распространенным методом мошенничества является использование социальной инженерии для внедрения вирусов или программ удаленного управления на устройства граждан. Таким образом, мошенники получают возможность выполнять практически любые операции от имени граждан, когда те даже не подозревают о происходящем.
Агентством усилены требования к безопасности применения программного обеспечения для оказания дистанционных услуг – мобильных приложений и сайтов банков и МФО.
В целях повышения безопасности дистанционных финансовых услуг в октябре 2023 года утверждены поправки в НПА по усилению требований к банкам и МФО, оказывающим такие услуги.
Все банки и МФО для своих мобильных приложений и сайтов должны осуществить ряд процедур, повышающих их безопасность. Так, до ввода в эксплуатацию программного обеспечения потребуется проведение анализа безопасности его исходного кода и устранение выявленных недостатков. Для критически важных операций, связанных с осуществлением переводов и платежей, введена обязательная биометрическая идентификация клиента. Кроме того, мобильные приложения будут блокировать оказание дистанционных услуг, в случае обнаружения признаков нарушения защитных механизмов операционной системы или обнаружения удаленного управления устройством клиента. Усилены требования к обратной связи мобильного приложения с клиентом, т.е. требуется дополнительное информирование клиента по критичным действиям.
В настоящее время отсутствует достаточный механизм воздействия на финансовые организации в случае несоблюдения требований по кибербезопасности. В этой связи, разработан проект внесения поправок в КоАП РК, предусматривающий штрафные санкции в сфере информбезопасности по 14 пунктам. Данный проект находится на этапе согласования в госорганах.
Применение административных мер позволит повысить качество соблюдения законодательных требований в части информбезопасности и обеспечения кибербезопасности физических и юридических лиц при использовании банковских услуг.