В рамках борьбы с хакерами ЦБ намерен изменить действующий подход к проведению платежей. Сейчас все они формируются в реестры в банках, передаются на отдельный компьютер там же, затем шифруются и уходят в ЦБ. Большинство атак происходит при передаче данных внутри банка, поэтому регулятор предлагает шифровать раньше — сразу после формирования реестров. Банкиры не уверены, что затраты на изменение действующего подхода окупятся, зато они могут создать новые риски.
Фото: Евгений Павленко, Коммерсантъ
Как стало известно "Ъ", ЦБ разослал руководителям IT-отделов банков письмо, в котором попросил до 10 февраля оценить, в какие сроки они могут внедрить шифрование платежей, направляемых в платежную систему Банка России, на уровне автоматизированной банковской системы (АБС). АБС банка — аппаратно-программный комплекс, который состоит из множества компьютеров, объединенных в единый защищенный контур, где обрабатываются платежные поручения и формируются реестры платежей. Сформированные в АБС реестры поступают в АРМ КБР (автоматизированное рабочее место клиента Банка России) — специальный компьютер в банке в отдельном защищенном контуре, с него уходят платежи в ЦБ.
Как сообщили "Ъ" в ЦБ, внедрение систем шифрования в АБС банка позволит защищать данные на более раннем этапе. "По нашему мнению, это усложнит для злоумышленников условия атак и снизит уровень хищений,— пояснили в пресс-службе.— Мера предлагается на основе анализа фактов хищений денежных средств у коммерческих банков и учитывает мировой опыт и современные тенденции. Именно такая практика применяется почти во всех крупных платежных системах". Хищения, которые упоминает ЦБ,— атаки на банки в конце 2015 — начале 2016 года. По данным ЦБ, тогда хакеры пытались вывести 2,87 млрд руб., предотвратить удалось хищение 1,67 млрд. Атаки совершались при передаче данных из АБС в АРМ КБР внутри банка.
Фактически ЦБ предлагает шифровать платежи на более раннем этапе. "Сейчас основная проблема заключается в нарушении некоторыми банками рекомендаций ЦБ, по которым АРМ КБР должно быть полностью изолировано от остальной сети банка и данные должны переноситься на него с помощью защищенных съемных носителей,— поясняет аналитик центра мониторинга и противодействия кибератакам Solar JSOC Алексей Павлов.— При отправке реестров часто используют промежуточную папку на файловом сервере корпоративной сети банка. Именно в этом месте хакеры и подменяют файл с реестрами". В результате в АРМ КБР приходят уже частично или полностью фиктивные данные, которые шифруются и уходят в ЦБ. Выявить фиктивный платеж в зашифрованном виде невозможно. Если же шифровать реестры сразу в АБС, то возможности подменить их фиктивными по пути к АРМ КБР не будет.
В опрошенных банках сообщили, что пока только оценивают сроки и возможную стоимость внедрения новации. Сейчас в АБС возможность шифрования реестров платежей не предусмотрена. "Необходимость в реализации данной функции ляжет на производителя конкретной АБС, а банку в техническом отношении придется проводить масштабное обновление",— отмечает Алексей Павлов. При этом, по словам специалиста по криптозащите одной из крупных фирм, решения под ключ не соответствуют всем требованиям законодательства о криптозащите, необходимо подключать специалистов, имеющих специальную лицензию ФСБ и минимум год времени на внедрение. В итоге обойдется эта новинка банку в несколько миллионов рублей, заключает эксперт. "Банк России обсуждает с участниками рынка сроки внедрения систем шифрования в АБС с целью определения комфортного переходного периода",— заверили в ЦБ.
Банкиры официально комментировать инициативу ЦБ не хотят, поскольку в основном относятся к ней негативно. "Защитить контур АБС сложнее,— поясняет руководитель IT-департамента банка из топ-100.— АРМ КБР — это защищенный контур из одного-двух компьютеров, АБС — это три сотни компьютеров, которым потребуется дополнительная защита". Кроме того, будет утеряна возможность дополнительного контроля, предостерегает специалист по IT из банка, входящего в топ-50. "Сейчас банк может сверить реестры, выгруженные из АБС, с попавшими в АРМ КБР и выявить фиктивный,— поясняет он.— При шифровании в АБС такая возможность исчезает". ЦБ уже потребовал от банков к 30 июня 2017 года усилить меры безопасности на участке АРМ КБР, что сопряжено с расходами, а теперь меняет подход, подчеркивает представитель крупного банка.
Впрочем, есть и те, кто считает, что идея ЦБ может повысить безопасность платежей. Хотя в принципе случаи взлома АБС банков были (см. "Ъ" от 1 декабря 2016 года), сделать это непросто. "Чтобы взломать АБС банка, нужен специалист, знакомый с экземпляром системы конкретного банка",— отмечает Алексей Павлов. "Доступ к АБС извне — это в большей степени проблема используемых средств защиты,— отмечает директор операционно-технологического департамента Абсолют-банка Варвара Доброжан.— Для атак извне первый барьер — как раз специализированные системы защиты, плюс в самой АБС есть встроенные механизмы защиты".