Регуляторний контроль за інформаційною та кібербезпекою банків в умовах інтенсивної цифровізації

Проблема посилення регуляторного контролю за кіберзахистом та інформаційною безпекою банків. Зростання ризиків кіберзахисту в сучасних умовах інтенсивного розвитку цифрового фінансового простору. Реалізація регуляторного контролю за кіберзахистом.

Рубрика Программирование, компьютеры и кибернетика
Вид статья
Язык украинский
Дата добавления 26.04.2023
Размер файла 187,7 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Київський національний економічний університет імені Вадима Гетьмана

кафедра банківської справи та страхування

РЕГУЛЯТОРНИЙ КОНТРОЛЬ ЗА ІНФОРМАЦІЙНОЮ ТА КІБЕРБЕЗПЕКОЮ БАНКІВ В УМОВАХ ІНТЕНСИВНОЇ ЦИФРОВІЗАЦІЇ

Білошапка Вікторія Степанівна кандидат економічних наук, доцент,

Охрименко Ірина Борисівна кандидат економічних наук, доцент,

Чуб Павло Михайлович кандидат економічних наук, доцент

м. Київ

Анотація

У статті розглядається актуальна проблема посилення регуляторного контролю за кіберзахистом та інформаційною безпекою банків. Ініціативи центрального банку розглядаються у контексті зростання ризиків кіберзахисту в сучасних умовах інтенсивного розвитку цифрового фінансового простору, що також по-новому актуалізувалось для України на тлі повномасштабної війни з росією.

Вказано, що одними з найбільших витрат центральних банків сьогодні є такі, які пов'язані з кібератаками на фінансові установи шляхом використання шкідливого програмного забезпечення, а також вкидання в інформаційних простір фейкової інформації, яка шкодить як окремим банкам, так і фінансово-банківській системі у цілому. Стверджується, що для запобігання інформаційним і кібератакам, всі центральні банки повинні розробляти спеціальні регуляторні дії на випадок, якщо буде атаковано їхню власну інфраструктуру, а також посилювати контроль за розробкою необхідних заходів з кіберзахисту комерційними банками. Наголошено, що регуляторам варто більше турбуватися про пов'язані з кібератаками операційні та репутаційні ризики, тому що це напряму стосується довіри економічних суб'єктів до центрального банку, банківської системи та платіжних систем. кіберхазист регуляторний контроль безпека

У дослідженні автори відповідають на запитання, чи існує оптимальний сценарій реалізації регуляторного контролю за кіберзахистом та інформаційною безпекою банків сьогодні. В контексті цього зазначається, що недооцінка потенційних загроз учасниками фінансового ринку, відсутність належного програмного забезпечення та нехтування достатнім бюджетуванням систем інформаційної та кібербезпеки банків - все це потребує системного підходу регуляторів до відповідних заходів контролю. Окремо до України наголошено, що на часі актуальним є посилення контролю НБУ за виконанням банками заходів із забезпечення кіберзахисту та інформаційної безпеки та вказано на шляхи реалізації необхідних заходів з боку регулятора. Акцентовано, що таке посилення особливо актуально для забезпечення стабільного функціонування банківської системи України та платіжних систем в умовах війни з росією.

Ключові слова: центральний банк, банки і цифровізація, інформаційна безпека, кіберзахист, регуляторний контроль, фінансова стабільність.

Annotation

Biloshapka Viktoria Stepanivna PhD in Economics, Associate Professor, Professor of Banking and Insurance Department, Kyiv National Economic University named after Vadym Hetman, Kyiv

Okhrymenko Iryna Borysivna PhD in Economics, Associate Professor, Associate Professor of Banking and Insurance Department, Kyiv National Economic University named after Vadym Hetman, Kyiv,

Chub Pavlo Mykhailovych PhD in Economics, Associate Professor, Associate Professor of Banking and Insurance Department, Kyiv National Economic University named after Vadym Hetman, Kyiv

REGULATORY CONTROL OF INFORMATION AND CYBER SECURITY OF BANKS IN THE CONDITIONS OF INTENSIVE DIGITALIZATION

The article considers the actual problem of strengthening regulatory control over cyber protection and information security of banks. The initiatives of the central bank are considered in the context of the growth of cyber security risks in the modern conditions of intensive development of the digital financial space, which was also especially relevant for Ukraine against the background of a full-scale war with russia. The article states that one of the biggest costs of central banks today are those related to cyberattacks on financial institutions through the use of malicious software, as well as the introduction of fake information into the information space, which harms both individual banks and the financial and banking industry. system as a whole. It is argued that to prevent information and cyber-attacks, all central banks should develop special regulatory actions in case their own infrastructure is attacked, as well as strengthen control over the development of necessary cyberdefense measures by commercial banks. It was emphasized that regulators should be more concerned about the operational and reputational risks associated with cyber attacks, because it directly affects the trust of economic entities in the central bank, banking system and payment systems.

In the article, the authors answer the question of whether there is an optimal scenario for the implementation of regulatory control over cyber protection and information security of banks today. In this context, it is noted that underestimation of potential threats by financial market participants, lack of appropriate software and neglect of sufficient budgeting of information and cyber security systems of banks - all this requires a systematic approach of regulators to relevant control measures. Separately for Ukraine, it was emphasized that it is important to strengthen the NBU's control over banks' implementation of measures to ensure cyber protection and information security, and ways to implement the necessary measures by the regulator were indicated. It was emphasized that such strengthening is especially relevant to ensure the stable functioning of Ukraine's banking system and payment systems in the conditions of the war with russia.

Keywords: central bank, banks and digitalization, information security, cyber protection, regulatory control, financial stability.

Постановка проблеми

Кіберзахист та інформаційна безпека стали невід'ємними компонентами банківської діяльності. Тому справедливо виходить на перший план питання про створення належних механізмів регулювання у цій сфері. Центральні банки стурбовані тим, що масштаб, частотність та організованість інформаційних небезпек та кібератак зростають. Врешті решт вони можуть призвести до нездатності банків виконувати свої функції, суттєвих фінансових втрат в масштабах всієї економіки та створення загрози у соціальній сфері. Проте сьогодні ніхто не візьметься стверджувати, особливо у світлі останніх подій, що знайдено оптимальні сценарії регуляторного контролю за кіберзахистом та інформаційною безпекою банків. До переліку найбільш очевидних причин, що пояснюють деяку інертність регуляторів, належать невизначеність масштабу, природи, сутності та понятійного апарату інформаційної безпеки та кіберзахисту. Труднощі, які виникають при спробі поєднати існуючий порядок регулювання та реалії інформаційного простору, пояснюються декількома чинниками [1, с. 449]. Перерахуємо ці чинники, бо вони зумовлюють тривалість процесу створення системи регулювання кіберзахисту та інформаційної безпеки банків та труднощі застосування відповідного регуляторного контролю. До них відносяться висока швидкість здійснення діяльності в кіберпросторі та цифровізації економіки; проблематика співвідношення ролі регулятора та комерційних банків в інформаційному просторі; доцільність адаптування існуючих норм регулювання до реалій інформаційного простору; феномен «кіберманії».

Дійсно, цифровізація світу йде небувалими темпами [2, с. 915]. На відміну від того, як центральні банки діяли у ХХ ст., кіберреволюція йде з такою швидкістю і настільки непередбачувано, що регулятори не встигають за інноваціями [3, с. 336]. Проблему сумісності ролей держави та банків в кіберпросторі теж не можна ігнорувати. Доречне питання, чи має регулятор контролювати комерційні банки (що по суті є приватними компаніями) в кіберпросторі. Якщо так, то до якої межі необхідно розширювати регуляторний контроль в даній сфері. У той самий час, необхідно визначити сценарії реалізації і, навіть, межі ефективності регуляторного контролю за кіберзахистом та інформаційною безпекою банків.

Аналіз останніх досліджень і публікацій

Різні аспекти впливу процесів цифровізації на діяльність фінансових інституцій, в тому числі негативного, висвітлювались такими українськими вченими як Клапків Ю.М., Лавренюк В.В., Охрименко І.Б., Соснін О.М, Усік П.С. та інші [4-8]. Однак задачі ролі регулятора у забезпеченні кращої інформаційної і кібербезпеки банківського і фінансового простору в Україні майже не досліджені, хоча здобули нової актуальності на тлі повномасштабної війни з росією. Наразі ці питання лише формуються, тому не систематизовані і потребують окремого розгляду.

У своєму дослідженні ми також спиралися на офіційну позицію Національного банку України, висвітлену в прес-релізах та на офіційному сайті НБУ. Також у даному проекті використано результати опитувань центральних банків, проведених та систематизованих Банком міжнародних розрахунків (BIS), місія якого полягає в підтримці прагнення центральних банків до монетарної та фінансової стабільності шляхом міжнародної співпраці. Доктрина Європейського центрального банку (ЄЦБ) щодо інформаційної безпеки та відповідний рекомендаційний документ «Очікування щодо нагляду за кіберстійкістю» лягли в основу формулювання авторами даної статті твердження про необхідність посилення регуляторного контролю у відповідь на зростання загроз кібербезпеці.

Мета статті - дослідити особливості формування інформаційної та кібербезпеки в умовах інтенсивної фінансової цифровізації, а також визначити роль і обгрунтувати необхідність регуляторного контролю за банками щодо розробки і забезпечення достатніх захисних заходів.

Виклад основного матеріалу

Ризики, пов'язані з кіберзахистом та інформаційною безпекою, експерти Світового банку [9] і розробники Доктрини Європейського центрального банку щодо інформаційної безпеки [10] включають до топ-3 головних ризиків, які впливатимуть на суспільство у наступному десятилітті. У «загальному заліку» вказані ризики випередили пандемії та інфекційні хвороби, «поступившись» лише ризикам, пов'язаним із зміною клімату та війною. Ризики, пов'язані з кібербезпекою продовжать зростати враховуючи те, що пандемічні локдауни прискорили цифровізацію.

Банки та банківська інфраструктура в особливій зоні ризику. У банківському секторі кібератаки відбуваються вшестеро частіше, ніж в інших секторах економіки. Потенційні втрати від системно значущих атак на банківську інфраструктуру можуть бути дуже суттєвими.

Останнім часом функціонування інформаційних систем у світі виявило проблему недостатньої захищеності від комп'ютерних вірусів. BadRabbit, WannaCry, Petya та інші вражали несподівано, паралізуючи комп'ютерні системи різних установ та підприємств. Не стали винятком і банки. 2017 рік показав фактичну неготовність українських банків захистити себе від втручань у роботу інформаційних систем. 70% українських банків так чи інакше постраждали від кібератак вірусу Petya. Видимим наслідком таких атак стала зупинка роботи терміналів, платіжних систем, відділень банків, а також обмежений доступ до інтернет-банкінгу та міжнародних переказів. Хоча банки стверджували, що атаки негативно вплинули винятково на інфраструктуру системи Windows, а вірус не отримав доступу до персональних баз даних клієнтів, ніхто вже не може бути впевнений, що більш «витончена» програма не зможе цього зробити. Той факт, що банки не витримали кібератак, наштовхує на висновок, що проблема криється не лише в IT-департаменті кожного окремого банку. Проблема набагато глибша і зачіпає сферу регуляторного контролю загалом. І тому зростання ризиків кібербезпеки та проблема їх передбачення не залишаються поза увагою центральних банків.

Так, згідно результатів опитувань 21 директора з інформаційної безпеки центральних банків, проведених та систематизованих Банком міжнародних розрахунків (BIS), 9 представників центробанків з розвинутих країн та 12 - з тих, що розвиваються, відповіли, що найпоширенішим типом атаки вважають фішинг та інші форми соціальної інженерії (рис. 1). Причому у розвинутих країнах центробанки доволі сильно стурбовані атаками на банки - і, відповідно, вище оцінюють пов'язані з ними витрати. При цьому з найбільшими витратами, на думку центральних банків, пов'язані атаки з використанням шкідливого програмного забезпечення (як навмисні атаки на IT-інфраструктуру, так і ненавмисні інциденти).

Рис. 1 Вірогідність інцидентів в сфері інформаційної безпеки та кіберзахисту банків (від 1 - вкрай низька до 5 - максимальна)

Джерело: [11]

Ще більше, ніж про фінансові втрати безпосередньо від кібератак, центральні банки турбуються про пов'язані з кібератаками операційні та репутаційні ризики, що стосуються довіри до центробанку та платіжних систем. Дещо по-різному центральні банки з розвинених країн і країн бачать головних суб'єктів кібератак. Центробанки розвинених країн головними винуватцями вважають організовану злочинність та спонсоровані державами групи; розвиваються - організовану злочинність та окремих «активістів». Цікаво, що лише один центробанк з країн, що розвиваються, вважав, що загрозу можуть становити внутрішні суб'єкти, тоді як серед центробанків розвинених країн так вважає третина опитаних, зазначає BIS [11]. Внутрішні загрози можуть сприйматися як незначні, але їх важливість не слід недооцінювати.

Більшість опитаних центральних банків у відповідь на зростання загроз кібербезпеці нарощують IT-бюджети: понад 60% центробанків розвинених країн і близько 50% у країнах, що розвиваються, з 2020 року збільшили бюджет на IT-інфраструктуру на 5-20%, ще близько чверті центробанків країн, що розвиваються, збільшили бюджети більш як на 20% (рис. 2).

Рис. 2 Зростання витрат центральних банків на інформаційну безпеку та сферу кіберзахисту (%)

Джерело: [11]

Попри зростання витрат на кібербезпеку, все ж останніми роками цифри були недостатніми. Крім того, представники центральних банків сходяться на тому, що страхові ринки поки що не здатні ефективно оцінювати та покривати ризики кібербезпеки.

У списку пріоритетів регуляторів - створення та підтримка протоколів безпеки, забезпечення безперервності бізнес-процесів, навчання персоналу та наймання нових співробітників з необхідними навичками. При цьому є труднощі з пошуком достатньої кількості кваліфікованих співробітників. Більшості центральних банків складно наймати, утримувати і постійно перенавчати персонал, враховуючи обмежену пропозицію праці, високі витрати та технологічне середовище, що швидко змінюється. Опитування фахівців з кібербезпеки, проведене у 2020 році. Enterprise Strategy Group та ISSA, показало: 70% респондентів вважають, що їхні організації страждають від глобального дефіциту навичок у цій сфері, причому майже половина вважає, що за останні роки дефіцит лише посилився, і лише 7% оцінюють, що ситуація стала кращою [12].

Абсолютно всі центральні банки повинні розробляти регуляторні дії на випадок, якщо буде атаковано їхню інфраструктуру, отож створюють плани на випадок атаки на фінансову систему в широкому розумінні. Так, центральні банки проводять симуляції кібератак, моделюючи, зокрема, сценарії атак на власні системи та відключення критичної інфраструктури фінансового ринку.

Як правило, центральні банки створюють методологію з управління кіберризиками, але регулярне стрес-тестування в цій галузі ще не стало універсальною практикою. Поки такі тести проводить меншість центральних банків країн світу. Більшість центральних банків розпочали формувати систему збору інформації про кібератаки на банки і в подальшому планують жорстко зобов'язати всі діючі банки звітувати про втрати, пов'язані з реалізацією ризиків кібербезпеки.

Національний банк України теж посилює контроль за виконанням банками заходів із забезпечення кіберзахисту та інформаційної безпеки, що сприятиме удосконаленню діяльності банків в умовах сучасних кіберзагроз. Для цього регулятор в 2021р. запровадив новий вид контролю за банками у формах виїзних перевірок і безвиїзного нагляду, що здійснюватимуть фахівці Національного банку у сфері кіберзахисту та інформаційної безпеки.

Порядок організації та здійснення НБУ таких заходів містить Постанова Правління Національного банку України від 16 січня 2021 року № 4 «Про затвердження Положення про здійснення контролю за дотриманням банками вимог законодавства з питань інформаційної безпеки, кіберзахисту та електронних довірчих послуг» [13]. Цей документ ухвалений відповідно до повноважень, визначених Законом України «Про Національний банк України» та з урахуванням положень Закону України «Про основні засади забезпечення кібербезпеки України», Закону України «Про електронні довірчі послуги».

Крім того, вказаною Постановою встановлені вимоги щодо проведення банками самооцінки стану інформаційної безпеки та кіберзахисту. Так, банки зобов'язані щорічно проводити відповідну самооцінку, складати і подавати Національному банку щорічний звіт з питань оцінювання ризиків інформаційної безпеки / кіберризиків.

Реалізація передбачених Постановою механізмів контролю дасть можливість регулятору здійснювати:

1) оцінку ефективності функціонування системи управління інформаційною безпекою банку;

2) повноти виконання банком вимог нормативно-правових актів Національного банку з питань інформаційної безпеки і кіберзахисту;

3) рівня управління банком ризиками інформаційної безпеки й кіберризиками, системи внутрішнього контролю за цими напрямками.

На нашу думку, загрози інформаційній безпеці та кіберзахисту банку - це будь-які явища чи дії, настання яких може нанести шкоду фінансового й нефінансового характеру, а їх сукупна дія може призвести аж до банкрутства банку. Специфіка вказаних загроз у тому, що вони можуть бути реальними (реалізуються з певною вірогідністю, тобто стають ризиком і можуть бути кількісно оцінені). А можуть бути і потенційними, що не відбуваються в дійсності (наприклад: чутки про введення тимчасового адміністратора в банк), але провокують паніку і дають ті самі негативні наслідки, що й реальні. Таким чином виявляється ефект іраціональних очікувань, що є наслідком зменшення довіри як до банків, так і до регулятора.

Європейські фахівці з інформаційної безпеки на перший план виводять антропогенні загрози, що провокуються кримінальними структурами, злочинними намірами, недобросовісними співробітниками і реалізуються через технологічні засоби кібер-атак та використовують вразливість систем збору, обробки та захисту фінансової й особистої інформації. Такий стан речей зумовлено багаторічною історією роботи банків у стабільній макроекономічній системі, незмінна сторіччями політична система, існуванням непорушних традицій європейської банківської школи та високим рівнем розвитку інформаційного суспільства.

Ми погоджуємося з позицією, що основними джерелами вимог до інформаційної безпеки банку є:

1) результат оцінювання ризиків для організації, який враховує загальну бізнес-стратегію та цілі;

2) правові вимоги, визначені законодавством, договорами і угодами організації з партнерами;

3) власний набір принципів, цілей та бізнес-вимог щодо оброблення інформації, який розроблено організацією для підтримки свого функціонування [8, с. 8].

Департамент безпеки кожного банку забезпечує:

- захист від загроз фізичного середовища;

- контроль персоналу;

- захист фізичних складових інформаційних ресурсів.

Банками використовуються наступні підходи щодо забезпечення інформаційної безпеки:

- створення та затвердження переліку відомостей, що містять інформацію з обмеженим доступом;

- створення та затвердження переліку критичних бізнес-процесів;

- встановлення правила доступу до інформаційних ресурсів та програмно-технічних комплексів;

- контроль фізичного та логічного доступу до всіх визначених ресурсів;

- парольний захист програмних та сервісних ресурсів;

- антивірусний захист програмних та сервісних ресурсів;

- криптографічний захист інформації.

Всі співробітники банку мають бути обізнані та виконують вимоги інформаційної безпеки в роботі.

Вважаємо доступними різні сценарії реалізації регуляторного контролю за кіберзахистом та інформаційною безпекою банків.

Сценарій 1. Нейтральний підхід до регулювання: одні й самі правила - для ідентичних видів діяльності та ризиків незалежно від технологічного середовища (принцип еквівалентності регулювання «який продукт - таке і регулювання»). Такий варіант передбачає «ігнорування» інформаційних загроз доти, доки вони не створюють значних ризиків для національної банківської системи та фінансової стабільності країни, але це вібувається на тлі доволі відчутного регулювання та контролю банківської сфери загалом. На сьогодні багато країн дотримуються такого сценарію - тобто формується нейтральне ставлення регуляторів-центральних банків до формування загрози фінансовій стабільності. І тим не менш, нейтральний сценарій не виключає "ініціативи знизу", тобто самі банки можуть ініціювати заходи стримування кіберзагроз та протидії інформаційній небезпеці і доводити свої пропозиції до регулятора.

Сценарій 2. М'яке регулювання. У рамках цього підходу передбачається розробка регулятором рекомендацій та добровільних стандартів для учасників ринку, які заохочуватимуть їх до дотримання певних правил роботи (насамперед щодо прозорості, комплаєнсу, включно з управлінням конфліктом інтересів тощо). Водночас, як і в першому сценарії, також передбачається наявність доволі відчутного регулювання та контролю.

Сценарій 3. Жорстке регулювання. У цьому випадку запроваджується найбільш жорстке регулювання. Такого підходу дотримуються, наприклад, Комісія з цінних паперів і бірж США (SEC), Комітет з фінансової політики Банку Англії (FPC), фінансовий регулятор Китаю.

Допоки оптимальний підхід до регуляторного контролю центрального банку за кіберзахистом та інформаційною безпекою банків у світі не знайдено. І насправді важко сказати, до яких результатів прийдуть регулятори найближчими роками. Загалом міжнародні та національні регулятори схиляються до думки, що на даному етапі доцільно адаптувати існуюче регулювання та нагляд до сфери кіберзахисту та інформаційної безпеки банків настільки, наскільки це можливо. І підкріпити їх заходами м'якого регулювання (формулювання рекомендацій).

Автори переконані, що системно значущі банки мають реалізовувати посилений рівень захисту інформації. Якщо вказати конкретні категорії інформації, що потребує захисту, то під це визначення підпадають будь-які конфіденційні відомості, пов'язані зі здійсненням фінансових трансакцій, дані про клієнтів і операторів, які їх здійснюють, і технічних систем, що використовуються для таких операцій. Для об'єктів інформаційної інфраструктури та автоматизованих систем, що використовуються для здійснення фінансових операцій «з метою обробки, передачі, зберігання інформації, що захищається», некредитні фінансові організації повинні забезпечувати три рівні захисту: посилений, стандартний і мінімальний.

Узагальнюючи, вкажемо, що у межах основних напрямів забезпечення інформаційної безпеки кожен центральний банк має ставити такі завдання:

1) дотримання кіберстійкості:

* забезпечення готовності банків гарантувати фінансову стабільність та операційну надійність в умовах комп'ютерних атак, насамперед, в напрямку забезпечення операційної надійності та безперервності надання банківських послуг;

• контроль за показниками ризику реалізації інформаційних загроз;

• контроль рівня банківських операцій, здійснених без згоди клієнтів;

• моніторинг, оперативне реагування та запобігання комп'ютерним атакам на банки.

2) Захист прав споживачів фінансових послуг через моніторинг показників рівня фінансових втрат.

3) Сприяння розвитку інноваційних банківських технологій у частині контролю показників ризику реалізації інформаційних загроз та забезпечення необхідного рівня інформаційної безпеки.

В свою чергу, кількісне оцінювання кіберстійкості банку може здійснюватися за допомогою аналізу різних наборів показників: фізичні, інформаційні / технічні, управлінські, організаційні, галузеві, регіональні, національні або транснаціональні. В контексті кількісного оцінювання кіберстійкості банку важливим також є визначення її видів за рівнями, а саме:

- нормальний рівень кіберстійкості банку, що характеризується цільовим рівнем всіх параметрів кіберстійкості, контрольованим рівнем кіберризиків, безперервністю та стійкістю банківського бізнесу;

- низький рівень кіберстійкості банку, що характеризується стійким погіршенням всіх параметрів кіберстійкості, зростанням рівня кіберризиків, зростанням термінів, необхідних для відновлення безперервності банківського бізнесу;

- критичний рівень кіберстійкості банку, що характеризується зниженням параметрів кіберстійкості до критично низького рівня, невиконанням державних регуляторних вимог, значними порушеннями в безперебійності банківського бізнесу.

Важливим для забезпечення кіберстійкості банку є організаційне забезпечення. Воно має поєднати всіх суб'єктів банківського менеджменту, долучених до процесів забезпечення кібербезпеки, управління кіберризиками та безперервності банківського бізнесу. При цьому кожен банк обирає таку модель, що найкраще відповідає особливостям його діяльності, характеру та обсягу банківських послуг, їх цифровізації, структурі інформаційних систем. Наскільки це твердження може відповідати правді на вітчизняних теренах, продемонструє практика найближчих років.

На завершення вкажемо, що роль регулятора як арбітра кіберпростору є предметом запеклих дискусій. З одного боку, можна стверджувати, що потрібні правові рамки, що обмежують або спрямовують діяльність банків у кіберпросторі. З іншого боку, існують докази проти широкої участі держав у регулюванні кіберпростору: для банків не існує серйозних стимулів для співпраці з регулятором, оскільки він може перешкодити реалізації комерційних інтересів перших.

Висновки

Поточний стан дискусії щодо регуляторного контролю центрального банку за кіберзахистом та інформаційною безпекою банків демонструє, що в цій сфері все ще залишається велика кількість відкритих питань і різноманітність поглядів. Водночас існує загальне розуміння того, що проблема на нинішньому етапі вимагає обережного ставлення з боку банків, пильної уваги та виваженого підходу з боку регулятора і, як наслідок, комплексного вивчення всіх можливостей. Допоки оптимальний підхід до регуляторного контролю центрального банку за кіберзахистом та інформаційною безпекою банків у світі не знайдено. І насправді важко сказати, до яких результатів прийдуть регулятори найближчими роками. Загалом міжнародні та національні регулятори схиляються до думки, що на даному етапі доцільно адаптувати існуюче регулювання та нагляд до сфери кіберзахисту та інформаційної безпеки банків настільки, наскільки це можливо. І підкріпити їх заходами м'якого регулювання (формулювання рекомендацій).

Розвиток системи регуляторного контролю в Україні має враховувати сучасні тенденції зміни банківського середовища. Так, загрози постійно змінюються, розширюються, трансформуються та виникають принципово нові. З'являються нові ризики та спостерігається їх кумулятивний ефект. Очікування клієнтів збільшуються в умовах браку ресурсів, з'являються нові технології та аналітичні інструменти. Тому кожен банк повинен мати програму вдосконалення заходів упізнання, класифікації, прогнозування та знешкодження потенційних інформаційних загроз. І передусім в практику українських банків слід вводити європейські традиції та культуру роботи з інформаційними ризиками, що передбачають використання аналітичних талантів окремих фахівців та можливості сучасних інформаційних технологій.

Література

1. Tranter, K. (2007) Nomology, Ontology, and Phenomenology of Law and Technology. Minnesota Journal of Law Science & Technology. Vol. 8. No. 2. P. 449-474.

2. Niemann, K. (2018) Unternehmensarchitektur und Digitalisierung: Eine Disziplin im Wandel [Enterprise Architecture and Digitalization: A Discipline in Change]. HMD Praxis der Wirtschaftsinformatik. Vol.55. No.5. P. 907-927. https://link.springer.com/article/10.1365/s40702-018-00441-1

3. Kittichaisaree, K. (2017) Future Prospects of Public International Law of Cyberspace. Public International Law of Cyberspace. Switzerland: Springer International.

4. Клапків Ю. М. Ринок страхових послуг: концептуальні засади, технічні інновації та перспективи розвитку: монографія. Тернопіль: ТНЕУ, 2020. 568 с.

5. Лавренюк В.В. Ключові драйвери кібер-ризиків фінансових установ. Сучасні гроші, банківські послуги та фінансові інновації в цифровій економіці: матеріали наук.практ. інтерн. конф. студ. аспір. і молод. вчених. Дніпро: Середняк Т. К., 2021, с. 297-299.

6. Охрименко І.Б., Шуляк Д.А. Актуальність цифровізації страхового бізнесу на тлі сучасних соціально-економічних і геополітичних викликів. Наукові перспективи: журнал. 2022. № 8(26) 2022. С. 186-199. http://perspectives.pp.ua/index.php/np/article/view/2374

7. Соснін О. Цифровізація як нова реальність України. Lex. Inform.URL: https://lexinform.com.ua/dumka-eksperta/tsyfrovizatsiya-yak-nova-realnist-ukrayiny/

8. Безпека банківських систем: навч. посіб. / П. С. Усік, К. О. Буравченко; М-во освіти і науки України, Центральноукр. нац. техн. ун-т. Кропивницький: ЦНТУ, 2022. 194 с.

9. Financial Sector's Cybersecurity: A Regulatory Digest. The World Bank Gro^. 2017. https://pubdocs.worldbank.org

10. Cyber resilience oversight expectations for financial market infrastructures. European Central Bank. 2018. https://www.ecb.europa.eu/press/pr/date/2018/html/ecb.pr181203_1.en.html

11. Кіберризики:оцінка центральних банків. https://www.bis.org/ijcb.htm?m=1012

12. ESG Research Report: Technology Perspectives from Cybersecurity Professionals. https://www.esg-global.com/research/topic/issa

13. Постанова Правління Національного банку України від 16 січня 2021 року № 4 «Про затвердження Положення про здійснення контролю за дотриманням банками вимог законодавства з питань інформаційної безпеки, кіберзахисту та електронних довірчих послуг». https://zakon.rada.gov.ua/laws/show/v0004500-21#Text

References

1. Tranter, K. (2007) Nomology, Ontology, and Phenomenology of Law and Technology. Minnesota Journal of Law Science & Technology. Vol. 8. No. 2. P. 449-474.

2. Niemann, K. (2018) Unternehmensarchitektur und Digitalisierung: Eine Disziplin im Wandel [Enterprise Architecture and Digitalization: A Discipline in Change]. HMD Praxis der Wirtschaftsinformatik. Vol. 55. No. 5. P. 907-927. Retrieved from https://link.springer.com/article/10.1365/s40702-018-00441-1

3. Kittichaisaree, K. (2017) Future Prospects of Public International Law of Cyberspace. Public International Law of Cyberspace. Switzerland: Springer International.

4. Klapkiv Yu.M. (Ed.). (2020) Rynok strahovyh poslug: konceptualni zasady, tehnichni innovaciyi ta perspektyvy rozvytku: monografiya [Market of insurance services: conceptual foundations, technical innovations and prospects for development: monograph] Ternopil': TNEU [in Ukrainian]

5. Lavrenyuk V.V. (2021) Kluchovi draivery kiberryzykiv finansovyh ustanov. Suchasni groshi, bankivski poslugy ta finansovi innovaciyi v cyfroviy ekonomitci: Materialy naukovo' praktychnoi internet konferentsiyi. [Key drivers of cyber risks of financial institutions. Current money, banking services and financial innovations in the digital economy: Proceedings of the scientific practical internet conference] Dnipro: Seredniak T.K., pp. 297-299. [in Ukrainian]

6. Okhrymenko, I., Shuliak D. (2022). Aktualnist cyfrovizaciyi strahovogo biznesu na tli suchasnyh socialno-economichnyh I geopolitychnyh vyklykiv. [The relevance of digitalization of the insurance business against the background of modern socio-economic and geopolitical challenges]. Naukovi perspektyvy - Cientific perspectives 8(26), pp. 186-199. Retrieved from http://perspectives.pp.ua/index.php/np/article/view/2374 [in Ukrainian]

7. Sosnin O. (2020) Cyfrovizaciya yak nova realnist' Ukrayiny. Lex. Inform. [Digitization as a new reality of Ukraine] Retrieved from https://lexinform.com.ua/dumka-eksperta/ tsyfrovizatsiya-yak-nova-realnist-ukrayiny/ [in Ukrainian]

8. Usik, K.O. (2022), Bezpeka bankivskyh system: navchalnyi posibnyk [Security of banking systems: tutorial], TcNTU, Kropivnyckyi, Ukraine. [in Ukrainian]

9. Financial Sector's Cybersecurity: A Regulatory Digest. The World Bank Gro^. 2017. Retrieved from https://pubdocs.worldbank.org/

10. Cyber resilience oversight expectations for financial market infrastructures. European Central Bank. 2018. Retrieved from https://www.ecb.europa.eu/press/pr/date/2018/html/ecb.pr181203_1.en.html

11. Kiberryzyky: otcinka centralnyh bankiv. [Cyber risks: assessment of central banks] Retrieved from https://www.bis.org/ijcb.htm?m=1012 [in Ukrainian]

12. ESG Research Report: Technology Perspectives from Cybersecurity Professionals. Retrieved from https://www.esg-global.com/research/topic/issa

13. Postanova pravlinnia NBU Pro zatverdzennia polozennia pro zdiysnennia kontrolu za dotrymanniam bankamy vymog zakonodavstva z pytan informatciynoi bezpeky, kiberzahystu ta elektronnyh dovirchyh poslug: vid 16.01.2021. № 4. [Resolution of the Board of the National Bank of Ukraine of January 16, 2021 No. 4 "On the approval of the Regulations on monitoring banks' compliance with the requirements of the legislation on information security, cyber protection and electronic trust services] Retrieved from https://zakon.rada.gov.ua/laws/show/v0004500-21#Text

Размещено на Allbest.ru


Подобные документы

  • Проектування автоматизованого програмного продукту "Валютний контроль" для створення та ведення баз даних експортно-імпортних договорів та контролю за дотриманням термінів їх завершення. Кошторис витрат на розробку й впровадження програмного продукту.

    дипломная работа [2,5 M], добавлен 12.12.2010

  • Розподілена обробка та розподілені бази даних, їх внутрішня структура та принцип функціонування. Порядок і технологія рішення задач оперативного контролю в умовах роботи та на базі сучасних автоматизованих інформаційних систем, оцінка ефективності.

    контрольная работа [746,0 K], добавлен 18.02.2015

  • Поняття контролю та якості в управлінні проектами інформатизації. Планування якісного інформаційного проекту. Дотримання стандартів якості. Методи та засоби для планування та контролю якості. План реалізації й технологічна документація як форми контролю.

    контрольная работа [1,1 M], добавлен 26.11.2009

  • Технології організації безпечного доступу на об’єкт. Принцип роботи мережевої системи контролю доступу. Технологія сканування відбитків пальців. Опис базових параметрів біометричного обладнання. Елементи ідентифікації в сучасних системах доступу.

    дипломная работа [4,9 M], добавлен 27.01.2012

  • Аналіз системи життєзабезпечення об’єкта захисту, можливих каналів витоку інформації. Побудова моделі порушника. Розробка організаційних, технічних заходів захисту. Вибір тип електромагнітного екранування, заземлення. Розрахунок звукоізоляції приміщення.

    курсовая работа [1,7 M], добавлен 16.08.2015

  • Сутність поняття "контроль". Оцінювання результатів навчально-пізнавальної діяльності учнів. Особливості комп’ютерного контролю знань. Підходи до зіставлення комп’ютерних програм контролю. Створення тесту з математики за допомогою програми MyTest.

    курсовая работа [278,4 K], добавлен 24.04.2012

  • Механічні пристрої вимірювання. Рішення на базі лазерних трекерів. Фізичні основи оптичних систем контролю. Технологія DirectShow та її призначення. Розробка схеми інформаційних потоків та функціональної схеми роботи системи дистанційного контролю.

    дипломная работа [2,7 M], добавлен 22.10.2012

  • Розробка мобільного додатку для отримання інформації про курси валют комерційних банків України, візуалізація цих банків на основі картографічного сервісу Google Maps. Діаграма компоновки додатку. Діаграма активності "Використання сенсорного екрану".

    курсовая работа [2,6 M], добавлен 17.08.2016

  • Поняття й головні способи персоніфікації користувача. Основи біометричної ідентифікації. Технологія зняття відбитків пальців, типи капілярних візерунків. Дослідження існуючих засобів контролю доступу на основі біометричних даних, їх недоліки та переваги.

    курсовая работа [4,7 M], добавлен 30.01.2012

  • Розрахунок адресного простору мережі центрального офісу. Розподіл адресного простору між під мережами віддаленого офісу. Налаштування динамічного присвоєння адрес на маршрутизаторах з використанням протоколу DHCP. Налаштування маршрутизації в мережах.

    курсовая работа [245,4 K], добавлен 12.04.2017

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.