Платежи будут проводиться по-новому

В борьбе с киберворами регулятор настроен на изменение действующего подхода к проведению платежей. В настоящее время их формирование в реестры осуществляется в банках с последующей передачей там же на отдельный компьютер, потом их шифруют и отправляют в ЦБ. Львиная доля атак приходится как раз на период, когда данные передаются внутри банка, поэтому регулятор выступил с предложением шифровки данных раньше — сразу после того, как реестры будут сформированы. У банкиров нет уверенности в том, что расходы, связанные с изменением действующего подхода, будут в полной мере окуплены, к тому же они могут привести к созданию новых рисков.

ЦБ инициировал рассылку руководителям банковских IT-отделов письма, в котором содержится просьба в срок до 10 февраля дать оценку тому, какой срок им нужен для внедрения шифрования платежей, которые направляются в платежную систему Банка России, на уровне АБС (автоматизированная банковская система. АБС банка является аппаратно-программным комплексом, представленным множеством компьютеров, которые объединены в единый защищенный контур, где и происходит обработка платежных поручений и формирование реестров платежей. Реестры, уже сформированные в АБС, направляются в АРМ КБР (автоматизированное рабочее место клиента Банка России) в виде специального компьютера в банке, находящемся в отдельно защищенном контуре, с которого платежи отправляются уже в Центробанк.

По словам представителей ЦБ, если системы шифрования будут внедрены в АБС банка, это поможет в защите данных на более ранней стадии. Мы считаем, что тогда для злоумышленников ухудшатся условия атак, что, в свою очередь, приведет к снижению уровня краж денежных средств. Данную меру предлагают запустить, тщательно проанализировав факты хищений денежных средств в коммерческих банках, а также с учетом мирового опыта и современных тенденций. Именно такой практикой пользуются почти все крупные платежные системы. Хищения, упоминаемые Центробанком, это атаки, с которыми банки столкнулись в к. 2015 — н. 2016 года. По сведениям ЦБ, в тот период хакеры попытались вывести порядка 2,87 млрд руб., предотвращена была кража 1,67 млрд. Все атаки были совершены именно, когда данные передавались внутри банков из АБС в АРМ КБР.

По факту ЦБ выступает за шифрование платежей на более ранней стадии. Сейчас, по словам аналитика центра мониторинга и противодействия кибератакам Solar JSOC Алексея Павлова, главная проблема состоит в том, что некоторые банки нарушают рекомендации ЦБ, по которым АРМ КБР должно быть изолировано от всей остальной банковской сети и перенос на него данных должен осуществляться через защищенные съемные носители. Во время отправки реестров часто пользуются промежуточной папкой на файловом сервере банковской корпоративной сети. И как раз в этом месте файл с реестрами и подменяется хакерами. Как результат, в АРМ КБР поступает уже частично или полностью фиктивная информация, которая шифруется и уходит в ЦБ. К сожалению, выявление фиктивного платежа в зашифрованном виде не представляется возможным. А если проводить шифрование реестров сразу в АБС, то подменить их на фиктивные по дороге к АРМ КБР будет никак нельзя.

По словам представителей некоторых банков, они пока только определяются со сроками и возможной стоимостью внедрения новации. Сегодня в АБС шифрование реестров платежей не предусмотрено. По словам Павлова, необходимость реализовать эту функцию будет возложена на того, кто произвел конкретную АБС, а банк технически будет вынужден заняться масштабным обновлением. При этом, как считает специалист по криптозащите, работающий в одной крупной фирме, решения под ключ не приведены в соответствие со всеми требованиями законодательства в отношении криптозащиты, здесь требуется подключение специалистов со специальной лицензией ФСБ и как минимум год - для внедрения новации. В итоге за новинку банк выложит не один миллион рублей.

Сейчас Банк России и участники рынка обсуждают сроки внедрения систем шифрования в АБС, чтобы определить комфортный переходный период.

Официально банкиры отказываются давать комментарии инициативе ЦБ, так как преимущественно их отношение к ней негативное. По словам руководителя IT-департамента из банка, входящего в топ-100, защита контура АБС более сложна. АРМ КБР является защищенным контуром из 1-2 компьютеров, АБС представляет собой три сотни компьютеров, нуждающихся в дополнительной защите. К тому же, мы может лишиться возможности дополнительно контролировать процесс. Сегодня банку доступна сверка реестров, выгруженных из АБС, с теми, которые попали в АРМ КБР и выявление фиктивных. А с шифрованием в АБС этой возможности не будет. ЦБ уже обратился к банкам с требованием усиления ими мер безопасности на участке АРМ КБР к 30 июня 2017 года, что несет расходы, а теперь подход меняется.

Но есть и те, кто уверен в том, что идея ЦБ сыграет в пользу повышения безопасности платежей. АБС банков время от времени взламывали, хоть это и сложная задача. По словам Алексея Павлова, для взлома АБС банка нужен специалист, которому известен экземпляр системы данного банка. По мнению директора операционно-технологического департамента Абсолют-банка Варвары Доброжан, возможность доступа к АБС извне — в большей мере является проблемой используемых защитных средств. При атаках извне первое препятствие возникает как раз в виде специализированных систем защиты, к тому же сама АБС оснащена встроенными защитными механизмами.