Раньше наиболее значительными банковскими рисками были или классические риски — кредитный риск и риск ликвидности, или риски, связанные с деятельностью регулятора (в первую очередь, в рамках борьбы с отмывом), или макроэкономические риски, или риски деривативов. В настоящее время начинают лидировать киберриски.

Банковский журнал Американской ассоциации банкиров (American Bankers Association Banking Journal) основными банковскими рисками 2018 года назвал риски кибербезопасности.

В исследовании Banking Banana Skins 2015 основными банковскими рисками назывались макроэкономические риски, а вот второе место занял криминальный риск «из-за вызывающего тревогу распространения киберпреступности на расширяющемся безграничном рынке, особенно из-за кражи данных». Риск ограбления банка классическими дедовскими методами — например, через подкоп в банковское хранилище — уходит в прошлое.

Киберриски — типичные emerging risks (возникающие риски) — те риски, которых раньше или вовсе не было, или они были несущественными.

В исследовании 2014 года криминальный риск, который, как уже было сказано выше, связан преимущественно с киберпреступностью, занимал всего девятое место, а в исследовании 2012 года — и вовсе 24-е место. Так что мы имеем дело действительно с «возникающим» риском, и его роль в глобальном банкинге стремительно, взрывообразно растет.

Рост киберрисков вызван тем, что информационные технологии занимают все большее место в банковском секторе, соответственно, растут и связанные с ними риски, растут масштабы потерь банковского сектора в результате реализации киберрисков.

Киберриски могут быть вызваны действиями преступников (например, взломом программного обеспечения банка с целью кражи денег или информации), других государств (например, санкциями), сбоями программного обеспечения и т. п.

В глобальном масштабе основную роль в киберрисках играют риски, связанные с действиями преступников — хакеров.

В феврале 2016 года хакеры вывели через систему SWIFT со счета Центрального банка Бангладеш в Федеральном резервном банке Нью-Йорка 101 млн долларов. Всего они пытались украсть 951 млн долларов. В октябре 2017 года те же хакеры украли 60 млн долларов из банка Far Eastern International Bank in Taiwan, переправив их в Шри-Ланку, Камбоджу и США. В мае 2018 года их жертвой стал Banco de Chile — хакеры украли 10 млн долларов.

В России масштабы киберпреступности не столь велики — в декабре 2017 года хакеры вывели через систему SWIFT из банка «Глобэкс» около 1 млн долларов. Вероятно, взлом осуществляла связанная со спецслужбами Северной Кореи группа Lazarus.

Также упомяну взлом Equifax, глобального кредитного агентства, 7 сентября 2017 года, приведший к краже персональных данных 143 млн американцев, включая Social Security Number, номера водительских удостоверений, данные кредитной истории. Кто взломал, непонятно. Однако в СМИ можно встретить предположения, что сделали это спецслужбы Китая или России.

По данным ФинЦЕРТ (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере департамента информационной безопасности Банка России), объем всех несанкционированных операций, совершенных с использованием платежных карт, эмитированных на территории России, в 2018 году составил 1,4 млрд рублей, что на 44% больше аналогичного показателя за 2017-й (961,3 млн рублей). Как видим, и тут масштабы относительно невелики.

Для России более актуальны сбои в работе банковских сервисов. Так, в апреле только на одной неделе произошло два массовых сбоя — 8 и 10 апреля — в работе банковских сервисов Сбербанка, в частности в работе приложения «Сбербанк Онлайн». А 7 апреля сбой произошел в Системе быстрых платежей ЦБ РФ. Но все это, конечно, мелочи по сравнению с потенциальными угрозами в случае ужесточения антироссийских санкций.

Российские банки и их клиенты уже неоднократно становились жертвами блокировки карт, эмитированных банками, которые попали под самый жесткий вариант санкций — были включены в список SDN (Specially Designated Nationals List) Управления по контролю за иностранными активами (OFAC — Office of Foreign Assets Control) Минфина США. Первая волна антироссийских санкций в марте 2014 года ударила по банку «Россия» и по СМП Банку. Пострадали держатели карт Visa и Mastercard, эмитированных этими банками. Международные платежные системы, чьи штаб-квартиры находятся в США, отказались от обслуживания этих банков и их клиентов.

ЦБ попытался блокировать эту угрозу соответствующими поправками в закон о национальной платежной системе, однако эта предосторожность оказалась тщетной. Когда в марте 2019 года в список SDN попал Еврофинанс Моснарбанк, эмитированные им карты Visa были заблокированы — но уже российским процессинговым центром из-за угрозы санкций.

Также для защиты от санкций в России была создана платежная система «Мир», основной аудиторией которой являются бюджетники и пенсионеры.

Есть и еще одна мощная уязвимость российской экономики — угроза потенциального отключения от SWIFT, подобно тому, как отключили иранские банки. Чтобы противостоять этой угрозе, ЦБ создал российский аналог SWIFT — Систему передачи финансовых сообщений (СПФС). Однако особой популярностью этот канал связи не пользуется, ведь пока он работает только в России.

В отличие от глобального рынка, киберугрозы, связанные с санкциями, гораздо более существенны для России, чем риски киберпреступности и риски сбоев программного обеспечения.

Помимо обсужденных киберрисков, есть еще один риск, который когда-нибудь, возможно, уничтожит банки: банки, с одной стороны, постепенно выдавливаются с рынка финтех-компаниями, а с другой стороны, сами постепенно превращаются в финтех-компании.

Мнение автора может не совпадать с мнением редакции

Максим Осадчий