Требования к безопасности приложений банков в Казахстане ужесточат
Безопасность функционирования мобильных приложений банков теперь будет регулироваться. Новые требования регулятора позволят клиентам банков получать дистанционные финансовые услуги в более защищенном формате.
В рамках соблюдения информационной и кибербезопасности Агентством по регулированию и развитию финансового рынка установлены требования к обеспечению информационной безопасности как для банков, так и для микрофинансовых организаций.
Определены требования к защите информации в информационных системах, на интернет-ресурсах и в мобильных приложениях финансовых организаций, которые не позволяют мошенникам снять деньги или оформить кредит на клиента без непосредственного участия самого клиента.
На сегодня на регулярной основе агентством осуществляется мониторинг состояния информбезопасности на финансовом рынке c использованием автоматизированной системы Qainar. В этом году система Qainar прошла испытания на соответствие требованиям информбезопасности и введена в полноценную промышленную эксплуатацию.
Организована работа по координации противодействия кибератакам (73 участника из субъектов финансового рынка и госорганов). С сентября и до конца 2022 года, с момента введения требования о подключении к Qainar, финансовыми организациями отражено около 2,8 млн потенциально опасных событий, иначе говоря, кибератак. В текущем году – около 22 млн.
Агентством в рамках информирования субъектов финансового рынка о текущих киберугрозах и возможных уязвимостях в 2023 году:
- направлено 91 предупреждение об угрозах и 67 предупреждений об уязвимостях информационной безопасности;
- зарегистрированы и обработаны 64 киберинцидента в финансовых организациях, в том числе 42 DDoS-атаки.
Также в течение 2023 года в соответствующий уполномоченный орган (Министерство культуры и информации РК) передана информация на блокировку 24 мошеннических интернет-ресурсов, в 2022 году – 59.
В рамках Дорожной карты по реализации механизмов противодействия кредитному мошенничеству, ориентированной на защиту клиентов, агентством усилены требования к безопасности применения программного обеспечения для оказания дистанционных услуг – мобильных приложений и сайтов банков и МФО.
Поправки в НПА по усилению требований к банкам и МФО
Для повышения безопасности дистанционных финансовых услуг в октябре 2023 года разработаны и утверждены поправки в НПА по усилению требований к банкам и МФО, оказывающим такие услуги.
Все банки и МФО для своих мобильных приложений и сайтов должны осуществить ряд процедур, повышающих их безопасность. Так, до ввода в эксплуатацию программного обеспечения потребуется проведение анализа безопасности его исходного кода и устранение выявленных недостатков. Для критически важных операций, связанных с осуществлением переводов и платежей, введена обязательная биометрическая идентификация клиента. Кроме того, мобильные приложения будут блокировать оказание дистанционных услуг, в случае обнаружения признаков нарушения защитных механизмов операционной системы или обнаружения удаленного управления устройством клиента. Также усилены требования к обратной связи мобильного приложения с клиентом, то есть требуется дополнительное информирование клиента по критичным действиям.
Дополнительно, с целью повышения уровня информационной безопасности на финансовом рынке агентство осуществляет регулярные контрольные и надзорные мероприятия. В течение 2023 года им проведены 6 проверок на основе оценки степени риска, 14 документальных проверок в отношении финансовых организаций на предмет соответствия требованиям законодательства РК в области информационной безопасности, рисков информационной безопасности и рисков информационных технологий. По итогам проведенных проверок применены 16 письменных предписаний в отношении субъектов финансового рынка с целью устранения выявленных нарушений.
Применение административных мер позволит повысить качество соблюдения законодательных требований в части информационной безопасности и обеспечения кибербезопасности физических и юридических лиц при использовании банковских услуг.