Колонка Олени Шевчук, президента Асоціації фінансових компаній "Фінансовий Омбудсман".
Сьогодні Україна зіштовхнулась із серйозними викликами, пов’язаними із введенням карантину в умовах всесвітньої пандемії, постійних загроз кібербезпеці та загрози військового вторгнення. А тому вкрай важливим постає питання забезпечення стабільності та безперебійної роботи фінансових ринків, зокрема надання фінансових послуг.
Варто нагадати, що на початку пандемії, викликаної поширенням гострої респіраторної хвороби COVID-19, фінансові компанії зіштовхнулись із ситуацією, коли на усій території України рішенням уряду був запроваджений карантин та встановлені певні обмеження господарської діяльності. Постановою Кабінету Міністрів № 211 «Про запобігання поширенню на території України гострої респіраторної хвороби COVID-19, спричиненої коронавірусом SARS-CoV-2» була встановлена заборона на роботу суб’єктів господарювання, які приймають відвідувачів, крім окремих видів діяльності на яких заборона не поширювалася, зокрема на тих, що провадять банківську та страхову діяльності. У зв’язку з чим значна кількість фінансових установ, які працювали в оф-лайн форматі і надавали послуги з обміну валют, здійснювали надання позик та кредитів або ломбардну діяльність на декілька тижнів опинились під тимчасовою забороною. Згодом, після звернення бізнес-спільноти та профільних асоціацій до Кабінету Міністрів, в відповідну постанову були внесені зміни, які забезпечили можливість для усіх видів фінустанов здійснювати свою діяльність без обмежень. Зазначене спростило доступ населення до фінансових ресурсів.
Описана вище ситуація показала, що у разі виникнення непередбачених або надзвичайних ситуацій в державі, які можуть бути спричинені епідеміями, стихійними лихами, техногенними катастрофами, збройними конфліктами, кібератаками тощо, безперебійне функціонування ключових галузей, якою, безперечно, є фінансова, вкрай важливе для забезпечення нормальної життєдіяльності населення. З метою запобігання подібних ситуацій у майбутньому існує необхідність правового встановлення загальних правил функціонування у кризових ситуаціях усіх видів фінансових установ, як єдиного ринку фінпослуг, без виокремлення за видами фінансових послуг або видами фінансової діяльності.
У контексті цього необхідно відзначити, що нещодавно був прийнятий Закон України № 1882-IX «Про критичну інфраструктуру», який спрямований визначити об’єкти інфраструктури, системи, їх частини та їх сукупність, які є вкрай важливими для економіки, національної безпеки і оборони та порушення функціонування яких може зашкодити життєво важливим національним інтересам. Цей Закон визначив правові та організаційні засади створення та функціонування національної системи захисту критичної інфраструктури і є складовою законодавства у сфері національної безпеки. Захист критичної інфраструктури включає всі види діяльності, що виконуються перед або під час створення, функціонування, відновлення і реорганізації об’єкта критичної інфраструктури, спрямовані на своєчасне виявлення, запобігання і нейтралізацію загроз його безпеці, а також мінімізацію та ліквідацію наслідків у разі їх реалізації.
Законом про критичну інфраструктуру фінансові послуги віднесено до життєво важливих функцій та послуг, порушення яких призводить до негативних наслідків для національної безпеки України. Також, зазначеним законом передбачено, що Національний банк України встановлює порядок віднесення до об’єктів критичної інфраструктури та вимоги щодо управління ризиками безпеки, здійснює категоризацію відповідних об’єктів, визначає порядок розроблення паспорта безпеки на об’єкти критичної інфраструктури, зміст і строки його подання для банків, платіжних організацій, учасників платіжних систем, операторів послуг платіжної інфраструктури та інших об’єктів, що здійснюють діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких він здійснює.
До прийняття відповідного Закону питання пов’язані з визначенням критично важливих об’єктів інфраструктури були передбачені у Законі України № 2163-VIII «Про основні засади забезпечення кібербезпеки України», який набрав чинності 9 травня 2018 року та запровадив правові і організаційні основи забезпечення захисту життєво важливих інтересів громадян, суспільства та держави, національних інтересів України у кіберпросторі. Цим нормативним актом було визначено терміни «критично важливий об’єкт інфраструктури» та «об’єкт критичної інформаційної інфраструктури», а також передбачено, що до об’єктів критичної інфраструктури можуть бути віднесені установи та організації, незалежно від форми власності, серед яких і ті, що здійснюють діяльність та надають послуги у банківському та фінансовому секторі.
Якщо для банків та суб'єктів переказу коштів вирішення питань щодо віднесення до об’єктів критичної інфраструктури та об’єктів критичної інформаційної інфраструктури було покладено на Національний банк, то стосовно представників ринку небанківських фінансових послуг, яким на той час опікувався Нацкомфінпослуг, відповідне питання вирішено не було.
На сьогодні Нацкомфінпослуг ліквідована, а небанківських фінансовий ринок перейшов під регуляцію НБУ. Зазначені зміни віднайшли своє відображення і у Законі України «Про критичну інфраструктуру», який наділив НБУ повноваженнями у сфері захисту критичної інфраструктури стосовно усіх суб’єктів державне регулювання та нагляд за діяльністю над якими він здійснює, включаючи і небанківські фінансові установи.
У той же час, для повноцінної діяльності НБУ у якості регулятора з питань інформаційної безпеки та кіберзахисту для небанківських фінансових установ, були внесені зміни в Закони «Про Національний банк України» та «Про основні засади забезпечення кібербезпеки України», введення в дію яких відбудеться 1 серпня 2022 року. Змінами розширюється коло суб’єктів, стосовно яких регулятор забезпечує функціонування системи кіберзахисту, проведення оцінювання стану кіберзахисту та аудиту інформаційної безпеки на об'єктах критичної інфраструктури, отримує повноваження для встановлення вимог та заходів із забезпечення кіберзахисту та інформаційної безпеки, а також контролює їх виконання, зокрема для банків, операторів платіжних систем, учасників платіжних систем, технологічних операторів платіжних послуг та інших осіб, за якими він здійснює регулювання та нагляд. Отже, майбутні зміни у цій сфері будуть поширюватись і на небанківські фінансові установи, які здійснюють торгівлю валютними цінностями, здійснюють залучення фінансових активів із зобов'язанням щодо наступного їх повернення, надають послуги з факторингу, фінансового лізингу, надання гарантій, надання коштів у позику, надання кредитів та у сфері страхування.
Звісно, що вимоги до інформаційної безпеки у банківській сфері та для учасників платіжного ринку або учасників ринку небанківських фінпослуг не можуть бути ідентичним з огляду на різну специфіку діяльності зазначених фінансових установ.
Саме тому регулятором вже розроблені окремі вимоги та заходи щодо забезпечення інформаційної безпеки у сфері переказу коштів та введені в дію Постановою № 43 від 19 травня 2021 року «Про затвердження Положення про захист інформації та кіберзахист у платіжних системах».
Для банківської системи Національний банк також розробив та запропонував для обговорення профільний проект документу з вимогами до функціонування системи кіберзахисту. У Проекті постанови «Про затвердження Положення про організацію кіберзахисту в банківській системі України» вимоги Положення поширюються на усі банки України, крім окремого розділу, який поширюються тільки на банки України, що визначені об’єктами критичної інфраструктури в банківській системі. Відповідно до критеріїв та порядку віднесення об’єктів в банківській системі до об’єктів критичної інфраструктури та критичної інформаційної інфраструктури, які містяться у постанові Правління НБУ від 30 листопада 2020 року № 151 «Про затвердження Положення про визначення об’єктів критичної інфраструктури в банківській системі України» до об’єктів критичної інфраструктури в банківській системі України належать тільки банки, стале функціонування яких забезпечує стабільність банківської системи, має суттєве значення для економіки та безпеки держави, функціонування суспільства, та які становлять значний суспільний інтерес. Окрім, власне НБУ, це банки, які відповідають хоча б одному з таких критеріїв: банк, який включено до переліку системно важливих банків; який включено до переліку банків України, уповноважених для роботи (здійснення операцій) в особливий період; у якому держава прямо чи опосередковано володіє часткою понад 75% від статутного капіталу банку.
Що ж стосується небанківського фінансового ринку, то регулятором вже було проведено добровільне опитування шляхом анкетування небанківських фінансових установ з питань стану інформаційної безпеки та кіберзахисту. За результатами опитування регулятор зробить оцінку стосовно того, як надавачі небанківських фінансових послуг отримують, надають, зберігають та захищають інформацію користувачів. В подальшому на основі отриманої інформації регулятор планує розробити диференційовані підходи до виконання небанківськими фінансовими установами вимог з інформаційної безпеки та кіберзахисту.
Враховуючи попередній досвід регулятора щодо віднесення до об’єктів критичної інфраструктури банків, а також вимоги, які встановлюються законодавством до таких об’єктів, ймовірність того, що небанківські фінансові установи будуть віднесені до них вкрай мала. Проте постає питання, чи варто бізнесу перейматись з цього приводу? Мабуть що ні.
Серед переваг, які існують для об’єктів критичної інфраструктури, є те, що на період надзвичайного або воєнного стану до них можуть запроваджуватись заходи із посилення або встановлення охорони.
Основними ж недоліками є необхідність залучення значних фінансових та людських ресурсів, що негативно вплине на фінансовий стан небанківських фінансових установ через недоцільність рівня витрат на утримання відокремлених підрозділів або операційних кас. Серед вимог до юридичних осіб або фізичних осіб - підприємців, що здійснюють управління об’єктом критичної інфраструктури (операторів) передбачені такі: обов’язок страхування ризику настання кризової ситуації, розроблення, оновлення та забезпечення виконання об’єктових планів заходів щодо забезпечення безпеки і стійкості критичної інфраструктури, правил управління ризиками безпеки, планів локалізації та ліквідації наслідків аварій, а також заходів кіберзахисту, проведення оцінки ризиків, створення окремого структурного підрозділу або визначення відповідальної особи за організацію захисту, створення і використання необхідних резервів фінансових та матеріальних ресурсів, розроблення вимог щодо організації захисту об’єктів, паспортів безпеки об’єктів, посадових інструкцій осіб, відповідальних за організацію та забезпечення захисту, проведення навчань та тренінгів, підготовку та перевірку персоналу тощо.
Також планується впровадження штрафних санкцій та відповідальності до операторів об’єктів критичної інфраструктури за правопорушення у цій сфері.
Варто також відзначити, що норми закону «Про критичну інфраструктуру» покликані врегульовувати відносини у сфері функціонування та захисту критичної інфраструктури та її об’єктів саме у мирний час. Тоді як особливості захисту та правового режиму об’єктів критичної інфраструктури в умовах надзвичайних ситуацій, надзвичайного та воєнного стану, регулюються Законами України «Про правовий режим воєнного стану» та «Про правовий режим надзвичайного стану».