Среда, 30.11.2022
×
С ралли в конце года может не получится? / Биржевая среда с Яном Артом

Регулятор изменит порядок проведения платежей

- -
Аа +

В рамках борьбы с хакерами ЦБ намерен изменить действующий подход к проведению платежей. Сейчас все они формируются в реестры в банках, передаются на отдельный компьютер там же, затем шифруются и уходят в ЦБ. Большинство атак происходит при передаче данных внутри банка, поэтому регулятор предлагает шифровать раньше — сразу после формирования реестров. Банкиры не уверены, что затраты на изменение действующего подхода окупятся, зато они могут создать новые риски.

Как стало известно "Ъ", ЦБ разослал руководителям IT-отделов банков письмо, в котором попросил до 10 февраля оценить, в какие сроки они могут внедрить шифрование платежей, направляемых в платежную систему Банка России, на уровне автоматизированной банковской системы (АБС). АБС банка — аппаратно-программный комплекс, который состоит из множества компьютеров, объединенных в единый защищенный контур, где обрабатываются платежные поручения и формируются реестры платежей. Сформированные в АБС реестры поступают в АРМ КБР (автоматизированное рабочее место клиента Банка России) — специальный компьютер в банке в отдельном защищенном контуре, с него уходят платежи в ЦБ.

Как сообщили "Ъ" в ЦБ, внедрение систем шифрования в АБС банка позволит защищать данные на более раннем этапе. "По нашему мнению, это усложнит для злоумышленников условия атак и снизит уровень хищений,— пояснили в пресс-службе.— Мера предлагается на основе анализа фактов хищений денежных средств у коммерческих банков и учитывает мировой опыт и современные тенденции. Именно такая практика применяется почти во всех крупных платежных системах". Хищения, которые упоминает ЦБ,— атаки на банки в конце 2015 — начале 2016 года. По данным ЦБ, тогда хакеры пытались вывести 2,87 млрд руб., предотвратить удалось хищение 1,67 млрд. Атаки совершались при передаче данных из АБС в АРМ КБР внутри банка.

Фактически ЦБ предлагает шифровать платежи на более раннем этапе. "Сейчас основная проблема заключается в нарушении некоторыми банками рекомендаций ЦБ, по которым АРМ КБР должно быть полностью изолировано от остальной сети банка и данные должны переноситься на него с помощью защищенных съемных носителей,— поясняет аналитик центра мониторинга и противодействия кибератакам Solar JSOC Алексей Павлов.— При отправке реестров часто используют промежуточную папку на файловом сервере корпоративной сети банка. Именно в этом месте хакеры и подменяют файл с реестрами". В результате в АРМ КБР приходят уже частично или полностью фиктивные данные, которые шифруются и уходят в ЦБ. Выявить фиктивный платеж в зашифрованном виде невозможно. Если же шифровать реестры сразу в АБС, то возможности подменить их фиктивными по пути к АРМ КБР не будет.

В опрошенных банках сообщили, что пока только оценивают сроки и возможную стоимость внедрения новации. Сейчас в АБС возможность шифрования реестров платежей не предусмотрена. "Необходимость в реализации данной функции ляжет на производителя конкретной АБС, а банку в техническом отношении придется проводить масштабное обновление",— отмечает Алексей Павлов. При этом, по словам специалиста по криптозащите одной из крупных фирм, решения под ключ не соответствуют всем требованиям законодательства о криптозащите, необходимо подключать специалистов, имеющих специальную лицензию ФСБ и минимум год времени на внедрение. В итоге обойдется эта новинка банку в несколько миллионов рублей, заключает эксперт. "Банк России обсуждает с участниками рынка сроки внедрения систем шифрования в АБС с целью определения комфортного переходного периода",— заверили в ЦБ.

Банкиры официально комментировать инициативу ЦБ не хотят, поскольку в основном относятся к ней негативно. "Защитить контур АБС сложнее,— поясняет руководитель IT-департамента банка из топ-100.— АРМ КБР — это защищенный контур из одного-двух компьютеров, АБС — это три сотни компьютеров, которым потребуется дополнительная защита". Кроме того, будет утеряна возможность дополнительного контроля, предостерегает специалист по IT из банка, входящего в топ-50. "Сейчас банк может сверить реестры, выгруженные из АБС, с попавшими в АРМ КБР и выявить фиктивный,— поясняет он.— При шифровании в АБС такая возможность исчезает". ЦБ уже потребовал от банков к 30 июня 2017 года усилить меры безопасности на участке АРМ КБР, что сопряжено с расходами, а теперь меняет подход, подчеркивает представитель крупного банка.

Впрочем, есть и те, кто считает, что идея ЦБ может повысить безопасность платежей. Хотя в принципе случаи взлома АБС банков были (см. "Ъ" от 1 декабря 2016 года), сделать это непросто. "Чтобы взломать АБС банка, нужен специалист, знакомый с экземпляром системы конкретного банка",— отмечает Алексей Павлов. "Доступ к АБС извне — это в большей степени проблема используемых средств защиты,— отмечает директор операционно-технологического департамента Абсолют-банка Варвара Доброжан.— Для атак извне первый барьер — как раз специализированные системы защиты, плюс в самой АБС есть встроенные механизмы защиты".

Заметили ошибку? Выделите её и нажмите CTRL+ENTER
все рынки »
- -
194
ПОДПИСАТЬСЯ на канал Finversia YouTube Яндекс.Дзен Telegram

обсуждение

Ваш комментарий
Вы зашли как: Гость. Войти через
Непоколебимый рубль: упадет ли к концу 2022 году? Непоколебимый рубль: упадет ли к концу 2022 году? Курс рубля так и не пошел на сколь либо заметное снижение минувшей осенью. Теперь аналитики гадают, как рубль завершит 2022 год. На фоне доминирования Tesla рынок электроавтомобилей США  расширяется за счет недорогих моделей На фоне доминирования Tesla рынок электроавтомобилей США расширяется за счет недорогих моделей Tesla по-прежнему является самым продаваемым брендом электромобилей в США, но ее доминирование ослабевает, поскольку конкуренты предлагают все больше доступных моделей, говорится в отчете агентства S&P Global Mobility. Рашид Исмаилов: «Экология – сфера проявления лидерства» Рашид Исмаилов: «Экология – сфера проявления лидерства» Председатель Российского экологического общества Рашид Исмаилов рассказал журналу «Юрист спешит на помощь», почему рейтинговая оценка вредит регионам, зачем понадобились «зеркальные» особо охраняемые природные территории, в чем состоит экологическая культура и какие тенденции в сфере экологии наблюдаются в российских регионах.
Канал Finversia на YouTube

календарь эфиров Finversia-TV »

Новости »