ЦБ изменит шифрование платежей из-за хакерских атак
Регулятор направил банкам письмо, в котором попросил оценить сроки внедрения системы шифрования платежей на уровне автоматизированной банковской системы. По мнению ЦБ, это усложнит для злоумышленников условия атак и снизит уровень хищений.
Центральный банк намерен изменить действующий подход к проведению платежей в целях борьбы с хакерскими атаками, пишет газета “Коммерсант” со ссылкой на письмо регулятора, направленное руководителям IT-отделов банков.
Как поясняет издание, в настоящее время платежи формируются в реестры в банках при помощи автоматизированной банковской системы (АБС), которая представляет собой аппаратно-программный комплекс, состоящий из множества компьютеров, объединенных в единый защищенный контур. После этого реестры передаются на АРМ КБР (автоматизированное рабочее место клиента Банка России) – специальный компьютер в банке в отдельном защищенном контуре, и уже с него платежи уходят в ЦБ.
При этом большинство хакерских атак происходит при передаче данных внутри банка. В связи с этим регулятор предлагает шифровать платежи сразу после формирования реестров.
В разосланном банкам письме ЦБ попросил до 10 февраля оценить, в какие сроки они могут внедрить шифрование платежей, направляемых в платежную систему Банка России, на уровне АБС. По словам представителей ЦБ, внедрение систем шифрования в АБС банка позволит защищать данные на более раннем этапе.
“По нашему мнению, это усложнит для злоумышленников условия атак и снизит уровень хищений. Мера предлагается на основе анализа фактов хищений денежных средств у коммерческих банков и учитывает мировой опыт и современные тенденции. Именно такая практика применяется почти во всех крупных платежных системах”, – сообщили в пресс-службе ЦБ.
По словам аналитика центра мониторинга и противодействия кибератакам Solar JSOC Алексея Павлова, в настоящее время некоторые банки нарушают требования ЦБ, согласно которым АРМ КБР должно быть полностью изолировано от остальной сети банка и данные должны переноситься на него с помощью защищенных съемных носителей.
“При отправке реестров часто используют промежуточную папку на файловом сервере корпоративной сети банка. Именно в этом месте хакеры и подменяют файл с реестрами”, – рассказал Павлов, пояснив, что в результате в АРМ КБР приходят уже частично или полностью фиктивные данные, которые шифруются и уходят в ЦБ. Если же шифровать реестры сразу в АБС, то возможности подменить их фиктивными по пути к АРМ КБР не будет. При этом аналитик отметил, что для взлома АБС нужен специалист, знакомый с экземпляром системы конкретного банка.
Представители нескольких банков сообщили изданию, что пока только оценивают сроки и возможную стоимость внедрения новой системы шифрования. Так, руководитель IT-департамента банка из топ-100 отметил, что защитить контур АБС сложнее.
“АРМ КБР – это защищенный контур из одного-двух компьютеров, АБС – это три сотни компьютеров, которым потребуется дополнительная защита”, – пояснил он.
В свою очередь, представитель другого банка добавил, что в случае внедрения новой системы будет утеряна возможность дополнительного контроля, поскольку сейчас банк может сверить реестры, выгруженные из АБС, с попавшими в АРМ КБР и выявить фиктивный, а при шифровании в АБС такая возможность будет утеряна.
Наконец, специалист по криптозащите одной из крупных фирм отметил, что решения под ключ не соответствуют всем требованиям законодательства о криптозащите, и для реализации поставленной задачи необходимо подключать специалистов, имеющих специальную лицензию ФСБ. На внедрение новой системы потребуется минимум год, а банку это обойдется в несколько миллионов рублей.
Напомним, что в декабре прошлого года стало известно о хакерской атаке на один из российских банков, в результате которой злоумышленники похитили свыше 100 млн рублей. Тогда сообщалось, что атака могла быть осуществлена с использованием уязвимости в АБС.