Банки в России обяжут проводить ежегодные пентесты своего ПО

Банки в России обяжут проводить ежегодные пентесты своего ПО

Операторы денежных переводов должны будут проверять свое ПО на соответствие стандартам.

Банк России разработал проект указания о внесении изменений в Положение «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Согласно документу, операторы по переводу денежных средств будут обязаны использовать ПО, сертифицированное на соответствие требованиям по безопасности информации. То есть, банки и платежные системы смогут использовать только программы, прошедшие проверку на наличие уязвимостей и недекларированных возможностей в соответствии с требованиями Федеральной службы по техническому и экспортному контролю или требованиями к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с ГОСТ Р ИСО/МЭК 15408-3-2013.

Анализ уязвимостей в ПО должны проводить организации, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации. Тестирование на проникновение и анализ уязвимостей должно проводиться ежегодно. Указание вступает в силу с 1 июля 2018 года.

По словам ведущего консультанта по информационной безопасности компании «Инфосистемы Джет» Павла Новожилова, в настоящее время разработчики ПО больше уделяют внимания функционалу и удобству работы со своим продуктом, чем его защищенности. Тем не менее, в дальнейшем уровень защищенности связанного с денежными переводами ПО будет повышаться.

«Результаты таких тестов помогут выявить и устранить основные проблемы в области информационной безопасности. На мой взгляд, данное требование должно было появиться намного раньше, - в международном стандарте PCI DSS оно существует уже более 10 лет. Однако отсутствует информация о методологии проведения тестов на проникновение. И именно из-за ее отсутствия могут возникнуть сложности при реализации данного требования»,- отметил эксперт.

Алексей Головченко, управляющий партнер юридической компании «ЭНСО»

На самом деле, говоря о защите информации в рамках денежных переводов, мы должны говорить не только о защите персональных данных, но и о защите кодов доступа клиентов. Украденные коды доступа и персональные данные в дальнейшем могут быть использованы для кражи средств с Вашего банковского счета. Наша банковская система не настолько продвинута в этом плане по сравнению, например, с американскими банками. Но в то же время, нужно понимать, что американские банки и больше подвержены подобным рискам кражи данных. Америка одна из самых опасных стран с точки зрения киберпреступности. С развитием технологий оплаты товаров и услуг (в частности инструментов по упрощению способов оплаты банковской картой) логично развивать и технологии защиты данных, поскольку это палка на двух концах – проще расплачиваться, но и больше рисков, связанных с кражей.

Я лично бывал в ситуации, когда были украдены мои персональные данные и коды доступа к банковской карте, а в последствии и деньги с моего личного счета. Не все способы оплаты картой требуют, например, смс-подтверждения, что упрощает жизнь мошенникам.

Безусловно, требуются законодательные изменения в этой сфере. Тем более, не все банки несут ответственность за киберпреступления, совершенные в отношении их клиентов. В целом инициатива соотносится с целью ускорить перевод всего населения на электронные платежи для обеспечения открытости оборота денежных средств. Сейчас, если они не наладят систему безопасности денежных переводов, то, конечно же, никакого перехода только на электронные деньги и быть не может. Происходит процесс оптимизации этой безопасности очень медленно и в случае сохранения такого темпа, отказ от наличных средств в пользу электронных не будет реализован раньше, чем через 10 лет.

Никита Нецкин, руководитель направления по работе с финансовым сектором компании «Актив»

Документ призван поднять уровень безопасности денежных переводов и как минимум заставит банки более внимательно отнестись к проблеме мошенничества в данной сфере. О многих изменениях речь шла довольно давно, и дальновидные банки уже подготовились к нововведениям.

В системах дистанционного банковского обслуживания от ведущих разработчиков уже реализована поддержка решений класса TrustScreen, что позволяет клиенту осуществлять подтверждение реквизитов платежа в доверенной среде вне операционной системы. Но нужно быть внимательным, так как не все представленные на рынке решения имеют сертификат на СКЗИ.

Информирование о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации, также пойдет рынку на пользу. К сожалению, в банковском секторе есть недобросовестные игроки, которые экономят на безопасности, и соответственно, переносят свои собственные риски на клиентов. Бороться с ними можно только введением нормативных документов.


Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!