ЦБ изменит подход к проведению платежей в целях борьбы с хакерами



Банкиры негативно отнеслись к идее регулятора из-за возможности появления новых рисков.

В рамках борьбы с хакерскими атаками Банк России предложил изменить действующий подход к проведению платежей. По данным издания «КоммерсантЪ», регулятор направил в кредитные организации письмо с просьбой до 10 февраля текущего года оценить сроки внедрения новой системы шифрования, предполагающей шифрование платежей, направляемых в платежную систему ЦБ, на уровне автоматизированной банковской системы (АБС).

Сейчас в АБС формируются реестры платежей, которые после уходят в АРМ КБР (автоматизированное рабочее место клиента ЦБ), где осуществляется шифрование. Далее зашифрованный платеж отправляется в Банк России.

Внедрение систем шифрования в АБС банка, пояснили в пресс-службе ЦБ, позволит защищать данные на более раннем этапе, что «усложнит для злоумышленников условия атак и снизит уровень хищений». Мера предлагается на основе анализа фактов хищений у коммерческих банков и учитывает мировой опыт и современные тенденции, отметили в ЦБ.

Как пояснил специалист центра мониторинга и противодействия кибератакам Solar JSOC Алексей Павлов, некоторые банки нарушают рекомендации ЦБ, касающиеся изолированности от сети банка и переноса данных на съемных носителях. При отправке реестров часто используется промежуточная папка на файловом сервере корпоративной сети банка. Именно здесь хакеры подменяют файл с реестрами, и в АРМ КБР поступают уже частично или полностью фиктивные данные, которые шифруются и отправляются в ЦБ. В зашифрованном виде выявить фиктивный платеж невозможно, но если шифровать реестры сразу в АБС, то возможности подменить платеж по пути к АРМ КБР не будет.

По словам представителей банков, кредитные организации только оценивают сроки и возможные затраты на реализацию инициативы регулятора. Как отметил Павлов, банкам придется проводить масштабное техническое обновление. Решения под ключ не соответствуют всем требованиям законодательства о криптозащите, поэтому нужно будет привлекать специалистов, имеющих специальную лицензию ФСБ. В конечном итоге внедрение инициативы может занять минимум год и обойдется банкам в несколько миллионов рублей.

Читайте также:  Разработан PoC-код вымогательского ПО для ПЛК

В основном банкиры с неодобрением относятся к идее ЦБ и официально комментировать ее не хотят, отмечает «Ъ». Как пояснили собеседники издания, АБС — это сотни компьютеров, которым потребуется дополнительная защита. К тому же, при шифровании АБС будет утеряна возможность сверки выгруженных из АБС реестров с попавшими в АРМ КБР, и выявления фиктивного платежа.

Центробанк уже потребовал от банков к 30 июня 2017 года усилить меры безопасности на участке АРМ КБР, что потребует расходов, а теперь регулятор меняет подход, отметил представитель одного из крупных банков.


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

17 − 4 =

наверх