Боль и дрожь: про письмо ЦБ от 20.01.2017 с требованием ввести шифрование в АБС

Боль и дрожь: про письмо ЦБ от 20.01.2017 с требованием ввести шифрование в АБС
Банк России в недавнем времени начал рассылку своего письма датированного от 20.01.2017  в адрес банков расположенных на территории РФ с требованиями ввести шифрование  (сертифицированное, по ГОСту) в автоматизированные банковские системы (АБС), что потенциально влечет за собой существенные и серьезные изменения в банковской ИТ-инфраструктуре.

По заявлению регулятора данное письмо направлено в поддержку уже  вступившего в силу П-552 , подписанного  совсем недавно, еще в декабре прошлого года,  и призвано обеспеить дополнительный уровень защиты данных при придаче платежной информации из АБС банка в ЦБ РФ. Однако, как заявляют многие эксперты это новое требование вносит хаос и влечет за собой большие проблемы как для разработчиков ПО так и для их пользователей - т.е. банков



Как сообщает источник , в рамках борьбы с хакерами ЦБ намерен изменить действующий подход к проведению платежей. Если сейчас все финансовые транзакции  формируются в реестры в банках, после передаются на отдельный компьютер, а только затем шифруются и уходят по специальному каналу связи в ЦБ. И тут кроется проблема, большинство атак происходит  как раз при передаче данных внутри банка, поэтому регулятор предлагает шифровать раньше — сразу после формирования реестров. Банкиры в свою очередь не уверены, что затраты на изменение действующего подхода окупятся, зато они могут создать новые риски.

Регулятор разослал некоторым руководителям IT-отделов банков  данное письмо, в котором попросил до 10 февраля оценить, в какие сроки они могут внедрить шифрование платежей, направляемых в платежную систему Банка России, на уровне автоматизированной банковской системы (АБС).  По действующей сегодня схеме все сформированные в АБС реестры поступают в АРМ КБР (автоматизированное рабочее место клиента Банка России) — специальный компьютер в банке в отдельном защищенном контуре, и позже с него отправляются в ЦБ.
"Сейчас основная проблема заключается в нарушении некоторыми банками рекомендаций ЦБ, по которым АРМ КБР должно быть полностью изолировано от остальной сети банка и данные должны переноситься на него с помощью защищенных съемных носителей,поясняет аналитик центра мониторинга и противодействия кибератакам Solar JSOC Алексей Павлов.— При отправке реестров часто используют промежуточную папку на файловом сервере корпоративной сети банка. Именно в этом месте хакеры и подменяют файл с реестрами". Логика регулятора проста: так как в АРМ КБР приходят уже частично или полностью фиктивные данные, которые позже шифруются и уходят в ЦБ, выявить фиктивный платеж в зашифрованном виде невозможно. Если же шифровать реестры сразу в АБС, то возможности подменить их фиктивными по пути к АРМ КБР не будет.

Банкиры официально комментировать инициативу ЦБ на настоящий момент не хотят, поскольку в основном относятся к ней резко негативно. "Защитить контур АБС сложнее,— поясняет руководитель IT-департамента банка из топ-100.— АРМ КБР — это защищенный контур из одного-двух компьютеров, АБС — это три сотни компьютеров, которым потребуется дополнительная защита". Кроме того, будет утеряна возможность дополнительного контроля, предостерегает специалист по IT из банка, входящего в топ-50. "Сейчас банк может сверить реестры, выгруженные из АБС, с попавшими в АРМ КБР и выявить фиктивный,— поясняет он.— При шифровании в АБС такая возможность исчезает".


Согласно раздела 5 ст. 5.1 Положения ЦБ РФ от 24.08.2016 № 552-П “О требованиях к защите информации в платежной системе Банка России”:

5.1. В целях обеспечения идентификации, аутентификации и авторизации клиента в системе интернет-банкинга, а так же определения перечня устройств, с использованием которых может осуществляться доступ к системе интернет-банкинга при переводе денежных средств посредством передачи ЭС в ПС БР, функции формирования, обработки, контроля и передачи (приема) ЭС должны осуществляться с использованием АРМ обмена ЭС с ПС БР или с использованием специальной компоненты автоматизированной банковской системы участников.”
Иными словами проблема в том, что:
  • в АБС нужно встраивать дополнительные СЗИ;
  • встраиваемые СЗИ должны использовать только отечественные алгоритмы шифрования;
  • все СЗИ внедряемые в АБС должны быть сертифицированы ФСТЭК;
Соответственно все вендоры должны мгновенно внести изменения в АБС,  а так же подать заявление сертификацию в ФСБФСТЭК и получить сертификат. В виду того, что в СЗИ должны использоваться только отечественные алгоритмы криптографии это почти автоматически отсекает иностранных разработчиков.. а так же приносит кучу геморроя для эксплуатации, изменению ИТ-инфраструктуры, изменению схемы поддержи АБС и т.д.

Необходимо сказать , что изменение использования программных средств клиента Банка России (ПС КБР) при взаимодействии с автоматизированными системами (АС) Банка России касается только клиентов Банка России, с которыми заключены либо планируется заключить договоры, а также юридических лиц – клиентов кредитных организаций, с которыми начаты работы по включению в состав пользователей системы передачи финансовых сообщений Банка России (СПФС).

Так же, возможно, потребуется внести в договор кредитной организации с разработчиком АБС дополнительные условия, касающиеся порядка передачи разработчику АБС соответствующего СКЗИ для проведения указанных работ в АБС.
ЦБ Банк Россия п-552 СТО БР ИББС ФСБ фстэк КБР АРМ атака хакер hacker finance АБС шифрование
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Иван Пискунов

Персональный блог Ивана Пискунова о безопасности, реверс инжениринге и ИТ-менеджменте. Аналитика, новости, обзоры, события