Краткое описание

Это опасность того, что неправильная, неполная, устаревшая или утерянная информация может привести к ошибкам, финансовым потерям, сбоям в работе или репутационному ущербу для банка или компании.

Научное описание

Совокупность потенциальных угроз, связанных с информацией и информационными системами, которые могут привести к несанкционированному доступу, изменению, уничтожению или раскрытию данных, потере их целостности, конфиденциальности или доступности, а также к принятию неверных решений на основе некорректной или неактуальной информации. Эти риски могут возникать из-за технических сбоев, человеческого фактора (ошибки, халатность), кибератак, мошенничества и несоблюдения нормативных требований.

Как объяснить ребенку

Представь, что ты строишь башню из кубиков, а твой друг дает тебе инструкцию, но она старая, или в ней не хватает страниц, или там есть ошибки. Если ты будешь строить по такой инструкции, то башня может получиться кривой, или упасть, или вообще не та, которую ты хотел. Вот такие "плохие" инструкции – это как информационные риски. В банке это может быть неправильная цифра в расчетах или потерянный документ, из-за чего может произойти что-то плохое.

Как объяснить пенсионеру

Вы помните, как раньше в бухгалтерии, если ошибутся в какой-то цифре или потеряют документ, то могли быть большие проблемы? Зарплату неправильно посчитают, или кому-то лишнее начислится, а потом придется долго разбираться. Сейчас в банке вся информация – про вклады, кредиты, переводы – в компьютерах. Информационные риски – это опасность того, что эта информация будет неправильной (например, из-за сбоя программы), или ее кто-то украдет, или она просто пропадет. Из-за этого могут быть большие убытки, ошибки в расчетах или даже репутация банка может пострадать. Поэтому в банках очень следят, чтобы информация была точной, полной и защищенной.

Примеры применения

  • Некорректные данные: Банк выдал кредит клиенту с высоким риском невозврата, потому что скоринговая система использовала устаревшие или неполные данные о его кредитной истории.
  • Утечка данных: Хакерам удалось получить доступ к базе данных клиентов банка, что привело к массовой утечке персональных данных и последующим мошенничествам.
  • Сбой системы: Программный сбой привел к тому, что на несколько часов перестала работать система онлайн-банкинга, что вызвало недовольство клиентов и финансовые потери из-за невозможности совершения операций.
  • Репутационный ущерб: В СМИ появилась ложная информация о банкротстве банка, что привело к панике среди вкладчиков и массовому оттоку средств.
  • Регуляторные штрафы: Банк не смог своевременно предоставить отчетность регулятору из-за потери данных или несоблюдения требований к их хранению, что привело к крупному штрафу.

Информационные риски в банковской сфере косвенно регулируются множеством законодательных актов, устанавливающих требования к обработке, хранению и защите информации, а также ответственность за их нарушение:

  • Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" – устанавливает требования к защите персональных данных, нарушение которых ведет к информационным рискам.
  • Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" – регулирует общие вопросы обращения с информацией.
  • Положения Банка России, в частности:
    • Положение Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации..." – напрямую обязывает банки управлять рисками информационной безопасности.
    • Положение Банка России от 29.12.2012 N 390-П "О порядке определения операционного риска и расчета размера операционного риска" – информационные риски являются одним из видов операционного риска.
  • Уголовный кодекс РФ (статьи о киберпреступлениях, например, ст. 272, ст. 273, ст. 274) и Кодекс об административных правонарушениях РФ (например, ст. 13.11 – нарушение законодательства РФ в области персональных данных) предусматривают ответственность за инциденты, связанные с информационными рисками.

Частые ошибки и заблуждения

  • Заблуждение: Информационные риски – это только кибератаки. На самом деле: Они включают гораздо более широкий спектр угроз, таких как человеческие ошибки, сбои оборудования, стихийные бедствия, неактуальность данных и их неправильная интерпретация.
  • Заблуждение: Риски касаются только IT-отдела. На самом деле: Информационные риски затрагивают все бизнес-процессы банка и требуют комплексного подхода, включая участие всех сотрудников.
  • Заблуждение: Достаточно купить дорогое ПО, чтобы быть защищенным. На самом деле: Технические средства – это лишь часть решения. Важны также организационные меры, обучение персонала, регулярный аудит и актуализация политик безопасности.

Сравнение с похожими и смежными понятиями

  • Операционный риск: Это риск потерь из-за неадекватных или ошибочных внутренних процессов, действий людей, систем или внешних событий. Информационные риски являются одним из важнейших компонентов операционного риска, особенно в современном цифровом банке.
  • Риск информационной безопасности: Это более узкое понятие, сосредоточенное на угрозах конфиденциальности, целостности и доступности информации от несанкционированного доступа. Информационные риски включают также аспекты, связанные с качеством и актуальностью информации для принятия решений.
  • Репутационный риск: Риск потери доверия со стороны клиентов и партнеров. Инциденты, связанные с информационными рисками (например, утечки данных), часто приводят к серьезным репутационным потерям.

Важные советы

Для банков и компаний:

  • Разработайте и постоянно обновляйте политику управления информационными рисками.
  • Регулярно проводите оценку рисков, выявляйте уязвимости и потенциальные угрозы.
  • Инвестируйте в обучение персонала: человеческий фактор часто является самым слабым звеном.
  • Внедряйте современные системы защиты данных и мониторинга.
  • Создавайте планы непрерывности бизнеса и восстановления после инцидентов.

Для частных лиц:

  • Проверяйте источники информации.
  • Не доверяйте сомнительным звонкам и письмам, касающимся ваших финансов.
  • Используйте только официальные каналы связи с банком.

История появления

Концепция информационных рисков как отдельного вида рисков начала активно развиваться с появлением и широким распространением информационных технологий в бизнесе, особенно в банковской сфере. В 1990-е годы, когда банки массово переходили на автоматизированные системы и онлайн-сервисы, стали очевидны новые уязвимости, связанные с хранением и передачей электронных данных. Рост киберпреступности в 2000-х годах, участившиеся утечки данных и сбои систем сделали управление информационными рисками одной из ключевых задач для финансовых учреждений. Современные регуляторы, такие как Базельский комитет по банковскому надзору, включили информационные риски как составную часть операционных рисков в свои рекомендации, что привело к их систематическому управлению и регулированию по всему миру.

Часто задаваемые вопросы

Кто отвечает за информационные риски в банке?

За управление информационными рисками отвечает руководство банка, но на практике это задача всей организации: от IT-отдела и службы безопасности до каждого сотрудника, работающего с информацией.

Могут ли информационные риски привести к потере денег клиентом?

Да, к сожалению, могут. Например, если из-за утечки данных мошенники получат доступ к счету клиента, или если сбой в системе приведет к некорректному списанию средств. Поэтому банки тратят огромные ресурсы на минимизацию таких рисков.

Чем управление информационными рисками отличается от информационной безопасности?

Информационная безопасность – это набор мер по защите информации. Управление информационными рисками – это более широкая концепция, которая включает выявление, оценку, мониторинг и контроль всех потенциальных угроз, связанных с информацией, а не только ее защитой от несанкционированного доступа. ИБ является инструментом управления ИР.