Кибер-риск. Что это такое и когда он возникает?

Что такое кибер-риск и как он возникает?

Кредитно-финансовые услуги

Валентина Васильевна Воробьева,
экономист в банковской сфере

Вопрос: С 13.05.2018 одним из видов операционных рисков является кибер-риск. Что под ним понимается и как он возникает?

Ответ: С 13.05.2018 к основным видам операционного риска, наряду с правовым, отнесен также кибер-риск <*>.

На заметку
Операционный риск — риск возникновения у банка потерь (убытков) и (или) дополнительных затрат в результате несоответствия установленных банком порядков и процедур совершения банковских операций и других сделок законодательству или их нарушения сотрудниками банка, некомпетентности или ошибок сотрудников банка, несоответствия или отказа используемых банком систем, в том числе информационных, а также в результате действия внешних факторов. Основные виды операционного риска и источники его возникновения перечислены в приложении к Инструкции об управлении рисками в банках. К ним, в частности, относится риск внутреннего и внешнего мошенничества, риск персонала, имущественный риск и риск форс-мажорных обстоятельств.
Правовой риск — риск возникновения у банка потерь (убытков) и (или) дополнительных затрат вследствие допускаемых правовых ошибок при осуществлении деятельности, вследствие противоречивости, несовершенства и изменчивости законодательства, а также в результате судебных процессов, других правовых процедур, оказывающих негативное влияние на деятельность банка <*>.

Под кибер-риском понимается риск возникновения у банка потерь (убытков) и (или) дополнительных затрат вследствие противоправных действий сторонних лиц в отношении компьютерных и информационных систем или сетей, систем связи, информационных ресурсов и потоков банка, совершаемых посредством информационных и телекоммуникационных технологий. Кибер-риск может возникать как сам по себе, т.е. самостоятельно, так и в сочетании с иными видами операционного риска <*>.

Кибер-риск возникает вследствие воздействия на компьютерные и информационные системы или сети, системы связи, информационные ресурсы и потоки банка посредством внедрения вредоносного программного обеспечения либо иных деструктивных воздействий, источники которых — сеть Интернет или другие внешние информационные сети и системы.

Цель данного воздействия <*>:

— получение несанкционированного доступа к информации, обрабатываемой и (или) хранящейся в информационной системе банка, к информационным потокам (угроза информационной безопасности);

— нарушение функционирования информационной системы и (или) системы защиты информации.