ЦБ заявил о недостаточном уровне защиты информации в аудиторских организациях

Банк России признал уровень защищённости аудиторских компаний, работающих с общественно значимыми организациями финансового рынка, неудовлетворительным. Регулятор предупредил об угрозе утечек и рекомендовал срочно принять меры для снижения рисков, обратив внимание на высокую уязвимость инфраструктуры аудиторов перед лицом киберугроз.

Как следует из письма, направленного департаментом информационной безопасности (ДИБ) ЦБ, обработка и хранение конфиденциальных данных в аудиторской среде создают потенциально опасную ситуацию — любая утечка может нанести вред участникам финансового сектора. Учитывая, что число атак на российские ИТ-системы со стороны зарубежных группировок продолжает расти, в ЦБ сочли необходимым потребовать от аудиторов усиления контроля над безопасностью.

Регулятор настоятельно рекомендовал компаниям, входящим в реестр проверяющих общественно значимые организации, представить в ДИБ план по реализации ещё не выполненных мер до 1 сентября.

Ранее Банк России провёл опрос среди участников рынка, чтобы выяснить, какие шаги предпринимаются для предотвращения утечек. По информации из письма, речь идёт о необходимости соблюдения стандартов, аналогичных применяемым в банках. В частности, упоминается ГОСТ 57580.1-2017 — он устанавливает базовые требования к защите информации в финансовом секторе.

Эксперты в области информационной безопасности поддерживают рекомендации регулятора. Генеральный директор SafeTech Lab Александр Санин отметил, что аудиторские компании действительно располагают большим объёмом чувствительных данных, к которым относятся сведения о деятельности клиентов, их структуре и финансах. Партнёр компании ДРТ Владимир Бирюков напомнил, что законодательство в сфере аудита прямо обязывает компании собирать и хранить конфиденциальные материалы, а это создаёт дополнительную нагрузку на системы защиты.