28 марта ЦБ разослал в адрес финансовых организаций России предписание, обязывающее их принять некие «компенсирующие меры» для обеспечения информационной безопасности собственной ИТ-инфраструктуры. В качестве причины называлось прекращение операционной деятельности на российском рынке ряда иностранных компаний, решения по безопасности которых используются до сих пор в банках.
Письмо ЦБ недоступно для ознакомления через публичные источники. Но, как сообщает “Ъ”, им удалось ознакомиться с оригиналом. В нем указано, что ЦБ планирует оказать «поддержку участникам финансового рынка». Им предписано выбрать альтернативное ПО и оборудование для замены решений ушедших вендоров. Обращается внимание на то, что банкам следует производить выбор с учетом существующих нормативных требований. Они предусматривают, в том числе, регулярный выпуск обновлений и сертификацию. Дополнительно сообщалось, что регулятор «принял решение пересмотреть порядок применения мер в отношении банков за нарушения», однако какое именно решение было принято, не сообщалось.
Учитывая неопределенность в отношении правил выбора «компенсирующих» продуктов, участники рынка приняли решение ожидать поступления разъяснений своей позиции со стороны регулятора. Делать обоснованный выбор в нынешних условиях невозможно, пока нельзя ознакомиться с обновленными нормативными актами. В банках считают, что поиски аналогов ПО и оборудования можно начинать только после появления разъяснений со стороны ЦБ, чтобы не подвергаться риску получения предписаний с его стороны.
По данным анонимного источника, близкого к ЦБ, как пишет “Ъ”, предписания регулятора в основном затрагивают взаимодействие банков с платежной системой Банка России и правила проведения клиентских платежей, в том числе с использованием механизма дистанционного банковского обслуживания и мобильных приложений. Регулятор также может выпускать указания по работе систем антифрода, защите периметра (межсетевые экраны, обнаружение вторжений, анти-DDoS, антивирусы). Остальные вопросы, связанные с обеспечением работы ИТ-инфраструктуры, как, например, контроль показателей бесперебойности СБП или процедура реагирования на инциденты по несанкционированным платежам, обычно остаются за полем зрения регулятора.
По мнению эксперта Луки Сафонова, гендиректора компании «Киберполигон», каждое направление требует принятия конкретных шагов. «Например, можно писать собственное ПО для иностранного "железа" - и тем самым решить проблему обновления ПО ушедших игроков, можно закрывать внешний контур, существенно ограничив доступ в Интернет сотрудникам банка, и т.д.». В основном, такие решения связаны с использованием API оборудования. Например, для контроля межсетевого трафика подходят межсетевые экраны российских производителей UserGate или «Континент».
Если же рассматривать поставленные ЦБ задачи более широко, то, по мнению эксперта, в крупных банках отечественные решения доступны сейчас только для 10% оборудования, попавшего в «санкционные» списки, а для небольших банков – для 30%.
На форумах специалистов ИБ идет сейчас активное обсуждение возможности замены продуктов Oracle на платформенные решения Центра Финансовых Технологий (ЦФТ) – российской компании, разработавшей собственную технологическую платформу для финансового сектора. У нее есть различные решения, в том числе Автоматизированная банковская система (АБС), центр процессинговых услуг и др. Однако в основе этих продуктов используются те же самые клиенты Oracle, а решения упаковываются в Docker-контейнеры, которые распространяются под лицензией Apache. Назвать такие решения независимыми от иностранного софта довольно странно.
Много вопросов возникает даже с антивирусной защитой. Ранее банки пользовались антивирусами от «Лаборатории Касперского», Dr.Web, ESET, McAfee, Trend Micro, Norton. Теперь этот список сократился, и в нем остался выбор только двух первых решений.
Но буквально вчера Национальный центр кибербезопасности Великобритании (NCSC) объявил о необходимости пересмотра доступа «Лаборатории Касперского» к системе антивирусной защиты для британских клиентов. С аналогичным заявлением выступила Германия. С учетом того, что в настоящее время обновление антивирусных баз «Лаборатории Касперского» выстроено за счет работы ее центров анализа сетевого трафика, которые расположены в странах, включая Россию, Великобританию и Японию, возникают риски их закрытия. В этом случае эффективность работы антивирусов ЛК будет сильно подорвана.
Выбор только двух антивирусных продуктов для защиты банковской инфраструктуры также противоречит действующему ГОСТу. Согласно его требованиям, банковские организации должны использовать как минимум три независимых антивирусных решения для сканирования трафика. Из-за ухода западных игроков с российского рынка даже выполнить положения этого ГОСТа становится невозможно.
ЦБ РФ предложил банкам принять компенсирующие меры, но не дал разъяснений, готов ли он принять их. «Компенсирующие меры были и в действовавшем с 2012 года положении 383-П, и банки периодически пытались их применять, однако случаи, когда ЦБ счел их достаточными, неизвестны», заявил анонимный экс-сотрудник ЦБ в интервью “Ъ”.
В то же врем, как пишет “Ъ”, ссылаясь на мнение сотрудника из банка топ-30, пока нет понимания, что «конкретно можно считать достаточными мерами». По мнению Евгения Царева, управляющего компании RTM Group, ЦБ может согласиться с ограничением на использование только двух антивирусов взамен трех. Другой собеседник из банка топ-20 считает, что подобрать подходящие меры можно далеко не всегда, «особенно если приходят сообщения о большом количестве уязвимостей при отсутствии обновлений».
Пока банковский регулятор фактически устранился от решения проблем, возникающих вокруг банковской информационной безопасности. Он требует, чтобы кредитные организации сами приняли некие «компенсирующие меры», но не уточняет, что именно необходимо сделать.