Банк России планирует новый этап в зачистке банковского сектора — вслед за финансовой надежностью власти озаботились технологической и проверят их софт на уязвимость, сообщает портал Банки.ру, ссылаясь на «Ведомости».
Регулятор планирует ужесточить требования к программному обеспечению (ПО), используемому при переводе средств, следует из проекта указания регулятора: софт должен пройти сертификацию на отсутствие недекларированных возможностей в Федеральной службе по техническому и экспортному контролю (ФСТЭК), подведомственной Минобороны.
Альтернатива — анализ уязвимостей на соответствие определенным требованиям, указывает консультант по безопасности Cisco Алексей Лукацкий, но правил такого анализа документ не определяет. Его должна проводить компания, имеющая лицензию ФСТЭК, говорит Игорь Легезин, директор направления информационной безопасности разработчика и поставщика IT-решений «Диасофт».
По сути, это равнозначные процедуры, указывает Лукацкий: обе занимают около полугода и стоят десятки тысяч долларов. До этого таких требований к прикладному ПО не предъявлялось, продолжает он, однако недостаточный уровень защиты заставил Совет безопасности усилить контроль в этой области, начав с банков и платежных систем.
В 2016 году злоумышленники девять раз находили уязвимости в банках и вывели с их корсчетов в ЦБ 2,18 млрд рублей, сообщал регулятор.
При расчетах карточками есть международный стандарт безопасности PA DSS, соответствие которому — это требование Visa и Mastercard, говорит Лукацкий. Новые же требования ЦБ шире и жестче, так как распространяются на любые формы денежных переводов.
ЦБ прописал в указании достаточно высокие требования, однако они не относятся ко всей АБС, а имеют отношение только к блоку, касающемуся проведения платежей, рассказывает Легезин.
Проблемы с соблюдением новых требований ЦБ могут возникнуть из-за регулярных обновлений программ. Сертификат после многих месяцев проверки выдается на конкретную версию системы, указывает ведущий аналитик департамента банковского ПО RS-Bank компании R-Style Softlab Сергей Ветров, а в таких системах, как АБС, обновления выходят каждые несколько дней и, значит, очередное обновление может оказаться несертифицированным.
Ветров надеется на то, что риски, связанные с версионностью решений, будут учтены. Вопрос обсуждается, говорит Легезин, скорее всего не нужно будет сертифицировать или тестировать каждое обновление ПО, речь идет только о глобальных изменениях.
Больше всего сложностей Лукацкий ожидает у «дочек» иностранных банков — у них зачастую используется зарубежное ПО, предоставляемое головной структурой.