ЦБ готовит новый этап зачистки банковского сектора

Вслед за финансовой надежностью регулятор будет проверять технологическую
Больше всего сложностей Лукацкий ожидает у «дочек» иностранных банков – у них зачастую используется зарубежное ПО, предоставляемое головной структурой/ Д. Новожилов / Ведомости

ЦБ планирует ужесточить требования к программному обеспечению (ПО), используемому при переводе средств, следует из проекта указания регулятора: софт должен пройти сертификацию на отсутствие недекларированных возможностей в Федеральной службе по техническому и экспортному контролю (ФСТЭК), подведомственной Минобороны. Альтернатива [сертификации в ФСТЭК] – анализ уязвимостей на соответствие определенным требованиям, указывает консультант по безопасности Cisco Алексей Лукацкий, но правил такого анализа документ не определяет. Его должна проводить компания, имеющая лицензию ФСТЭК, говорит Игорь Легезин, директор направления информационной безопасности разработчика и поставщика IT-решений «Диасофт».

По сути, это равнозначные процедуры, указывает Лукацкий: обе занимают около полугода и стоят десятки тысяч долларов. До этого таких требований к прикладному ПО не предъявлялось, продолжает он, однако недостаточный уровень защиты заставил Совет безопасности усилить контроль в этой области, начав с банков и платежных систем.

В 2016 г. злоумышленники девять раз находили уязвимости в банках и вывели с их корсчетов в ЦБ 2,18 млрд руб., сообщал регулятор.

«С учетом катастрофического положения с точки зрения безопасности АБС [автоматизированная банковская система] и систем ДБО [дистанционное банковское обслуживание] любые шаги по повышению их уровня защищенности можно только приветствовать», – радуется гендиректор Digital Security Илья Медведовский, главное – чтобы это не свелось к формальным процедурам для галочки.

При расчетах карточками есть международный стандарт безопасности PA DSS, соответствие которому – это требование Visa и Mastercard, говорит Лукацкий. Новые же требования ЦБ шире и жестче, так как распространяются на любые формы денежных переводов.

Раньше ПО, используемое для перевода денег и разработанное внутри финансовых организаций или отечественными компаниями, не относилось к средствам защиты информации и сертифицировать его во ФСТЭК было не надо, отмечает Лукацкий. У ЦБ требований к АБС нет, констатирует Легезин, есть еще ГОСТ, где прописаны процедуры контроля софта для АБС, но он носит рекомендательный характер.

Проблемы с соблюдением новых требований ЦБ могут возникнуть из-за регулярных обновлений программ.

Сертификат после многих месяцев проверки выдается на конкретную версию системы, указывает ведущий аналитик департамента банковского ПО RS-Bank компании R-Style Softlab Сергей Ветров, а в таких системах, как АБС, обновления выходят каждые несколько дней и, значит, очередное обновление может оказаться несертифицированным.

Его компания планирует пройти сертификацию. Ветров надеется на то, что риски, связанные с версионностью решений, будут учтены. Вопрос обсуждается, говорит Легезин, скорее всего не нужно будет сертифицировать или тестировать каждое обновление ПО, речь идет только о глобальных изменениях.

ЦБ прописал в указании достаточно высокие требования, однако они не относятся ко всей АБС, а имеют отношение только к блоку, касающемуся проведения платежей, рассказывает Легезин.

Для ВТБ переход в необходимых случаях на использование сертифицированного ПО и обеспечение регулярного проведения анализа кода – это, по сути, технический вопрос, который в банке уже решается, заявил его представитель. То же и в НСПК: национальная платежная система сама разрабатывает ПО для процессинга с учетом всех требований. Процесс разработки включает обязательный автоматизированный аудит исходного кода на наличие уязвимостей, а каждый релиз проверяет сторонняя сертифицированная организация, заявил представитель НСПК.

Больше всего сложностей Лукацкий ожидает у «дочек» иностранных банков – у них зачастую используется зарубежное ПО, предоставляемое головной структурой.

Тем, кто специализируется на разработке софта, не составит труда подтвердить соответствие требованиям, считает Легезин. По его мнению, сложнее придется банкам с «самописным» ПО, поскольку нужно будет предоставлять всю документацию, начиная с этапа проектирования. Банкам и вендорам необходимо проработать передачу исходного кода, указывает директор по технологиям и безопасности Промсвязьбанка Алексей Янов.

Время есть – по проекту ЦБ новые требования вступят в силу с июля 2018 г.

Представители Сбербанка и Райффайзенбанка от комментариев отказались, остальные на запрос не ответили. Комментарии ФСТЭК получить не удалось, ЦБ на запрос не ответил.

Исправленный вариант: внесено уточнение в первый абзац. В третьем абзаце с конца добавлено имя эксперта.