CISO банков будут увольнять и дисквалифицировать на 10 лет за непротиводействие кибермошенничеству
Центробанк (ЦБ) предлагает увольнять топ-менеджеров финансовых организаций за киберинциденты без права восстановиться в должности в течение десяти лет. Данные предложения будут внесены во второй пакет законопроекта "Деловая репутация". Эксперты считают, что данная инициатива может привести к поиску "козла отпущения" без должного выстраивания причинно-следственной связи.
Зампред ЦБ Герман Зубарев в интервью «Российской Газете» заявил, что во втором чтении рассматривается законопроект, который вводит наказание конкретных топ-менеджеров финансовых организаций за нарушения в сфере информационной безопасности. Речь идет о пакете поправок, который в ЦБ называют «Деловая репутация 2.0».
Если в течение года к банку неоднократно применялись меры за нарушения, связанные с ИБ, то профильный топ-менеджер должен будет покинуть свою должность и не сможет занять аналогичную позицию в другом банке в течение десяти лет. Топ-менеджер некредитной финансовой организации — в течение пяти лет. «Мы считаем, что персональную ответственность за нарушения в сфере информационной безопасности в финансовой организации должны нести конкретные люди, а именно тот топ-менеджер, который отвечает за кибербезопасность», — подчеркнул Зубарев.
О том, что подобные поправки для деловой репутации готовятся со стороны ЦБ, заявляла директор департамента допуска и прекращения деятельности финансовых организаций Банка России Людмила Тяжельникова в конце декабря 2025 года.
Помимо озвученных Зубаревым поправок законопроект предполагает введение критериев неудовлетворительной деловой репутации, например, причастность к экстремистской деятельности или терроризму, замораживание денежных средств или иного имущества; отмену критериев привлечения лица более трех раз в течение одного года к административной ответственности и др. Первое чтение этого законопроекта было проведено 25 июля 2024 года.
В своем Telegram-канале председатель комитета Государственной думы Федерального собрания Российской Федерации по информационной политике, информационным технологиям и связи Сергей Боярский поддержал идею Зубарева. По его мнению, персональная ответственность топ-менеджеров создаст дополнительный стимул для руководства любой финансовой организации уделять вопросам кибербезопасности первостепенное внимание. «Это не карательная мера, а инструмент повышения ответственности. Репутационные и карьерные риски для руководителей должны быть соразмерны тем колоссальным рискам, которым подвергаются средства и данные миллионов наших граждан», — написал депутат.
SecPost запросил комментарии у Сбербанка, Альфа-Банка, ВТБ, ОТП Банка, Газпромбанка и Т-Банка.
Безопасность давно перестала быть «технической темой для ИТ и ИБ-служб»: это управленческое решение, приоритеты, бюджеты, риск-аппетит и культура, и, за действия – равно как и за бездействие – управленческая ответственность действительно должна наступать, считает бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий. Он подчеркнул, что такая ответственность должна наступать особенно в случае, если произошло недопустимое событие, повлекшее за собой катастрофические последствия: «однако стоит учитывать несколько важных моментов, чтобы «новая старая инициатива» не превратилась в очередной карающий меч и запрет».
Среди таких нюансов Лукацкий отмечает, что ранее подобные инициативы уже исходили от регуляторов: «сейчас дискуссия перешла из разряда «надо бы что-то сделать» в формат конкретных санкций – вплоть до дисквалификации на годы. Хотя надо отметить, что дисквалификация на 10 лет – это перебор и означает по сути полный уход из профессии (вернуться спустя 10 лет в такую динамичную сферу почти нереально)».
Еще один риск, продолжает бизнес-консультант, возникает в том, что в случае ввода таких наказаний, могут возникнуть поиски «козлов отпущения», а не наказание виновного менеджера. «Если руководитель системно игнорировал риски, резал бюджеты, не утверждал меры, блокировал изменения – это одна ситуация. Если же ИБ формально существует и подчинена топу, ресурсы выделялись, решения принимались, а инциденты стали следствием сложной цепочки факторов – перекладывать всю вину на одного человека опасно и несправедливо», — говорит он, добавляя, что в противном будет не повышение зрелости управления, а рост управленческого страха и имитация деятельности.
Последним нюансом Лукацкий в разговоре с SecPost назвал международный контекст. «На Западе активно развивается страхование ответственности руководителей – D&O (Directors & Officers) и E&O (Errors & Omissions). Это признание простой реальности: управленческие решения в сложных цифровых системах всегда связаны с неопределенностью и рисками». По его словам, страхование не отменяет ответственности, но делает ее цивилизованной – с понятной моделью оценки ущерба, вины и последствий, а не бинарным принципом «ошибся – до свидания из профессии». Такой вид страхования существует и в России, уточняет он, но до сих пор не был применен к ИБ.
В заключении эксперт подчеркнул, что в этой инициативе необходимо выстроить причинно-следственную связь между решениями топ-менеджера, реальными рисками и наступившими последствиями: «без этого даже правильная по духу идея может привести к перекосам – и для отрасли, и для самих организаций».
Читайте также
