Финансовый сектор Узбекистана готовится к масштабному усилению систем безопасности. Министерство юстиции дало ход новому положению, разработанному Центральным банком, которое кардинально меняет подходы к защите данных в кредитных учреждениях. Теперь создание специализированных служб информационной и кибербезопасности становится для всех банков страны обязательным требованием.
Новые правила, прошедшие официальную регистрацию, нацелены на формирование многоуровневой системы защиты от цифровых угроз. Ключевым элементом этой системы станут обособленные подразделения внутри каждого банка, на которые будет возложена полномасштабная ответственность за обеспечение сохранности информационных активов. В круг их первостепенных задач входит не только отражение внешних атак, но и предотвращение любых попыток незаконного вмешательства в платежные данные, что должно минимизировать риски как для самих финансовых институтов, так и для их многочисленных клиентов.
Согласно утвержденному положению, деятельность этих служб будет строго регламентирована. Они обязаны вести постоянный мониторинг и анализ электронных протоколов сетевого оборудования, включая межсетевые экраны и прокси-серверы, для своевременного выявления подозрительной активности. В случае обнаружения признаков внешней кибератаки, банки должны будут незамедлительно передавать всю информацию напрямую в Центральный банк, что позволит регулятору оперативно реагировать на инциденты в масштабах всей финансовой системы.
Помимо оперативного реагирования, новые подразделения займутся и превентивной работой. В их компетенцию входит недопущение целого спектра угроз: от несанкционированного доступа к базам данных и системным файлам до раскрытия паролей администраторов и установки вредоносного программного обеспечения. Кроме того, банки должны будут разработать и внедрить внутренние политики по информационной безопасности и уделить особое внимание предотвращению ошибок в конфигурации баз данных, которые могут стать лазейкой для злоумышленников.
Данная инициатива является прямым продолжением курса, заданного президентом Шавкатом Мирзиёевым в конце апреля текущего года, когда были утверждены комплексные меры по усилению борьбы с преступностью в цифровой сфере. Глава государства четко обозначил обеспечение финансовой безопасности клиентов при проведении ежедневных операций как первоочередную задачу для всех участников рынка, включая банки и платежные сервисы.
Новые правила также вводят механизм прямой финансовой ответственности. В случае, если организация допустит инцидент из-за несоблюдения установленных требований информационной и кибербезопасности, она будет обязана возместить причиненный клиентам ущерб за счет собственных средств. Этот шаг призван стимулировать банки к неукоснительному соблюдению нормативов. Одновременно была расширена и роль самого Центрального банка в противодействии киберпреступности. В частности, регулятору было поручено проконтролировать запуск всеми банками современных антифрод-систем в срок до 1 сентября.
По данным международных исследований, финансовый сектор остается целью номер один для киберпреступников, а средний ущерб от одного успешного взлома банковской системы может исчисляться десятками миллионов долларов, не считая репутационных потерь.