Российским банкам грозят массовые санкции

Прекращение 14 января техподдержки ОС Windows 7 и Windows Server 2008 грозит отечественным банкам серьезными проблемами, сообщает в своей публикации издание «Коммерсантъ». Применение в работе компьютерных программ, не обеспечиваемых официальной поддержкой, действующие нормы относят к нарушениям информационной безопасности.

В то же время, даже крупнейшие участники российского банковского рынка еще не все свои ПК оснастили новейшей Windows 10. Де-юре они нарушители, и это может привлечь внимание Центробанка.

По словам архитектора технологического центра Microsoft в России Ивана Будылина, прекращение техподдержки старых ОС подразумевает отсутствие обновлений системы безопасности, что влечет риск потери данных.

«Де-юре это означает, что банки обязаны оперативно перейти на Windows 10, так как работа без техподдержки противоречит требованиям информбезопасности в рамках профильного ГОСТа и нормативных актов Федеральной службы по техническому и экспортному контролю (ФСТЭК)», - уверен Будылин.

Положение ФСТЭК №55 предполагает при прекращении техподдержки ПО прекращение действия выданного на него сертификата. В свою очередь, использовать сертифицированное программное обеспечение обязывает банки положение ЦБ №382-П.

Ряд российских банков заключили с Microsoft соглашение о платной дополнительной поддержке Windows 7 (EAS). Но по словам представителей самой Microsoft, это не равноценная замена обновлению ОС, а мера временного характера.

«Альфа-банк» полностью перешел на новую ОС осенью 2019 года. Процесс длился порядка полутора лет и охватил 25 тысяч компьютеров. Был модернизирован парк рабочих станций и проведены доработки ряда систем для совместимости с Windows 10.

В банке ВТБ конкретных сроков не назвали, сообщив, что обновление проходит в плановом режиме. Но также подчеркнули, что переход на Windows 10, включая обновление как ОС, так и оборудования, требует затрат времени и финансов.

Сервис Statcounter на декабрь 2019 года насчитывает в России 32-процентную долю компьютеров с Windows 7. Говоря о российских банках, бизнес-консультант по безопасности Cisco Алексей Лукацкий, оценивает ее ниже - порядка 20%.

На 1,3 млн россиян, занятых, по данным Росстата, в отечественной финансовой сфере, в первом приближении приходится примерно столько же компьютеров - считает управляющий партнер экспертной группы Veta Илья Жарский. Обновление каждого из них, с учетом скидки за объем, будет стоить порядка 1000 долларов США.

Говоря о реальной киберугрозе для банковских сетей в случае необновления, эксперты расходятся во мнениях. Алексей Лукацкий считает, что при работе компьютеров в локальной и оснащенной антивирусным ПО сети, серьезных рисков нет.

С другой стороны, руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин напоминает, что злоумышленнники могут найти брешь в сети компьютеров без техподдержки. Пример - глобальное распространение эксплойта EternalBlue и сетевого червя WannaCry именно в локальных сетях.

В 2015 году, после окончания поддержки Windows Server 2003, ФСТЭК продлила до августа 2017 года ранее выданные сертификаты, что помогло рынку плавно пройти обновление. Алексей Лукацкий надеется, что подобное произойдет и в этот раз. Иначе у надзорных органов де-юре сохранится повод применять санкции.

Неофициально инсайдеры в ЦБ сообщают, что формального подхода не предвидится, и для ЦБ главное - реальное обеспечение кибербезопасности российской банковской системы, налаженный процесс выявления и ликвидации атак-угроз. Официальных комментариев Центробанк пока не дал.



По материалам Коммерсантъ

Источник: DailyComm