Банк России в недавнем времени своего письма датированного от 20.01.2017 в адрес банков расположенных на территории РФ с требованиями ввести шифрование (сертифицированное, по ГОСту) в автоматизированные банковские системы (АБС), что потенциально влечет за собой существенные и серьезные изменения в банковской ИТ-инфраструктуре.
По заявлению регулятора данное письмо направлено в поддержку уже вступившего в силу , подписанного совсем недавно, еще в прошлого года, и призвано обеспеить дополнительный уровень защиты данных при придаче платежной информации из АБС банка в ЦБ РФ. Однако, как заявляют многие эксперты это новое требование вносит хаос и влечет за собой большие проблемы как для разработчиков ПО так и для их пользователей - т.е. банков
Как сообщает , в рамках борьбы с хакерами ЦБ намерен изменить действующий подход к проведению платежей. Если сейчас все финансовые транзакции формируются в реестры в банках, после передаются на отдельный компьютер, а только затем шифруются и уходят по специальному каналу связи в ЦБ. И тут кроется проблема, большинство атак происходит как раз при передаче данных внутри банка, поэтому регулятор предлагает шифровать раньше — сразу после формирования реестров. Банкиры в свою очередь не уверены, что затраты на изменение действующего подхода окупятся, зато они могут создать новые риски.
Регулятор некоторым руководителям IT-отделов банков данное письмо, в котором попросил до 10 февраля оценить, в какие сроки они могут внедрить шифрование платежей, направляемых в платежную систему Банка России, на уровне автоматизированной банковской системы (АБС). По действующей сегодня схеме все сформированные в АБС реестры поступают в АРМ КБР (автоматизированное рабочее место клиента Банка России) — специальный компьютер в банке в отдельном защищенном контуре, и позже с него отправляются в ЦБ.
"Сейчас основная проблема заключается в нарушении некоторыми банками рекомендаций ЦБ, по которым АРМ КБР должно быть полностью изолировано от остальной сети банка и данные должны переноситься на него с помощью защищенных съемных носителей,— поясняет аналитик центра мониторинга и противодействия кибератакам Solar JSOC Алексей Павлов.— При отправке реестров часто используют промежуточную папку на файловом сервере корпоративной сети банка. Именно в этом месте хакеры и подменяют файл с реестрами". Логика регулятора проста: так как в АРМ КБР приходят уже частично или полностью фиктивные данные, которые позже шифруются и уходят в ЦБ, выявить фиктивный платеж в зашифрованном виде невозможно. Если же шифровать реестры сразу в АБС, то возможности подменить их фиктивными по пути к АРМ КБР не будет.
Банкиры официально комментировать инициативу ЦБ на настоящий момент не хотят, поскольку в основном относятся к ней резко негативно. "Защитить контур АБС сложнее,— поясняет руководитель IT-департамента банка из топ-100.— АРМ КБР — это защищенный контур из одного-двух компьютеров, АБС — это три сотни компьютеров, которым потребуется дополнительная защита". Кроме того, будет утеряна возможность дополнительного контроля, предостерегает специалист по IT из банка, входящего в топ-50. "Сейчас банк может сверить реестры, выгруженные из АБС, с попавшими в АРМ КБР и выявить фиктивный,— поясняет он.— При шифровании в АБС такая возможность исчезает".
Согласно раздела 5 ст. 5.1 Положения ЦБ РФ от 24.08.2016 № 552-П “О требованиях к защите информации в платежной системе Банка России”:
5.1. В целях обеспечения идентификации, аутентификации и авторизации клиента в системе интернет-банкинга, а так же определения перечня устройств, с использованием которых может осуществляться доступ к системе интернет-банкинга при переводе денежных средств посредством передачи ЭС в ПС БР, функции формирования, обработки, контроля и передачи (приема) ЭС должны осуществляться с использованием АРМ обмена ЭС с ПС БР или с использованием специальной компоненты автоматизированной банковской системы участников.”
Иными словами проблема в том, что:
- в АБС нужно встраивать дополнительные СЗИ;
- встраиваемые СЗИ должны использовать только отечественные алгоритмы шифрования;
- все СЗИ внедряемые в АБС должны быть сертифицированы ФСТЭК;
Необходимо , что изменение использования программных средств клиента Банка России (ПС КБР) при взаимодействии с автоматизированными системами (АС) Банка России касается только клиентов Банка России, с которыми заключены либо планируется заключить договоры, а также юридических лиц – клиентов кредитных организаций, с которыми начаты работы по включению в состав пользователей системы передачи финансовых сообщений Банка России (СПФС).
Так же, возможно, потребуется внести в договор кредитной организации с разработчиком АБС дополнительные условия, касающиеся порядка передачи разработчику АБС соответствующего СКЗИ для проведения указанных работ в АБС.
