Календарь мероприятий


Шлите VPN почтой: Банкиры опасаются утечек чувствительной информации

   Банкиры негативно отнеслись к новым требованиям ЦБ передавать информацию об использовании VPN в Роскомнадзор по незащищенному каналу - электронной почте. Как отмечают специалисты по информационной безопасности, в этом случае велики риски утечки чувствительных данных, что может привести к массированным DDoS-атакам. По мнению экспертов, подобные данные необходимо передавать через защищенные каналы связи ЦБ.
   Кредитные организации должны до 2 июня направить в Роскомнадзор информацию "об использовании для автоматизации технологических процессов VPN-протоколов", следует из письма ЦБ (с ним ознакомился "Ъ"), разосланного банкам 10 мая. Это делается "для исключения рисков функционирования отраслевых информационных систем", указано в документе. Передавать данные предлагается в формате Excel по электронной почте. Причем в ЦБ отправлять ответ не требуется, отмечается в письме.
   В октябре прошлого года Минцифры попросило банки и госкорпорации отчитаться об использовании VPN (см. "Ъ" от 11 ноября 2022 года). Там пояснили, что исследование нужно на случай, если такие сервисы перестанут работать в России. Эксперты связывали требования с планами блокировки VPN в стране. В опрошенных "Ъ" банках отказались от комментариев.
   Специалисты по информационной безопасности в банках уверены, что передача подобных чувствительных данных по электронной почте несет высокие риски. Если данные утекут, то у злоумышленников окажется информация об IP-адресах VPN-серверов допофисов банка, которые не так очевидны, как адреса главного офиса, в связи с чем возрастает риск DDoS-атак на них, поясняет собеседник "Ъ" из банка топ-30. Если у отделения автоматизированная банковская система (АБС) не своя, а центрального офиса и хакеры начнут атаковать этот офис, он "ляжет", и клиенты этого допофиса останутся без банковских услуг, подчеркивает он.
   С использованием VPN работают, в частности, система передачи информации SWIFT, банкоматы, обменные пункты, добавляет источник "Ъ" из другого крупного банка. Согласно нормативам, сервисы банков не могут "лежать" дольше определенного времени (обычно не более нескольких часов), иначе это негативно повлияет на оценку банка регулятором, напоминает управляющий RTM Group Евгений Царев.
   Для ЦБ такое отношение к безопасности передаваемых данных довольно редкий случай. В 2018 году ИБ-специалисты банков также возмущались по поводу использования незащищенных каналов (электронной почты) для передачи логинов и паролей для доступа в личный кабинет своей новой киберплатформы "Автоматизированная система обработки информации" (АСОИ, см. "Ъ" от 2 августа 2018 года). По той же электронной почте банки направляли в ЦБ анкеты на подключение, где указывали, в частности, контакты своих специалистов по ИБ и телефоны. К Роскомнадзору, добавляют источники "Ъ" из числа специалистов по кибербезопасности, в банковском сообществе в целом "достаточно скептическое отношение" - многие вспоминают, как ведомство по ошибке блокировало целые сегменты интернета, использовавшиеся добросовестными компаниями. В самом ведомстве не стали отвечать на вопросы "Ъ".
   В то же время независимые специалисты считают, что в данном случае риски не слишком велики. Электронная почта, "безусловно, незащищенный канал связи и риск утечки существует, но едва ли высокий", полагает господин Царев. "Атакующие постоянно сканируют сети финансовых организаций, находят открытые порты и сервисы,- поясняет владелец российского решения по защите от DDoS-атак Servicepipe Даниил Бобрышев.- Если злоумышленники получат доступ к пересылаемым данным, это несколько упростит их задачу по поиску ресурсов в сети жертвы, которые более уязвимы к DDoS-атаке".
   В любом случае эксперты призывают использовать для обмена данными безопасные каналы связи. "С ЦБ налажен обмен данными по защищенным каналам, и было бы логично направлять информацию также через ЦБ, который бы пересылал ее по своим защищенным каналам взаимодействия в Роскомнадзор",- считает собеседник "Ъ" из банка топ-30. Директор по развитию бизнеса центра противодействия кибератакам Solar JSOC компании "РТК-Солар" Алексей Павлов подтверждает, что более надежный вариант - собирать подобные данные через специализированные системы взаимодействия, такие как АСОИ ФинЦЕРТ. В ЦБ отказались комментировать возможность такого способа передачи данных.

Источник: Коммерсант https://www.kommersant.ru/doc/5979225

12.05.2023

Обсудить в нашей группе на Facebook
Обсудить новости на нашей странице на VKontakte


Новости ББТ
25.04.2024
Обновление раздела ББТ "Противодействие легализации" от 25.04.2024
25.04.2024
Обновление раздела ББТ "Платежные системы и денежные переводы" от 25.04.2024
25.04.2024
Обновление раздела ББТ "Противодействие НИИИ/МР" от 25.04.2024
25.04.2024
Обновление раздела ББТ "Банковские риски" от 25.04.2024
25.04.2024
Обновление раздела ББТ "Кредитные операции в банке" - от 25.04.2024 Все новости
Наши мероприятия
22.04.2024
22.04.2024 - "Осторожно, мошенники!"
19.04.2024
19.04.2024 - "Современное страхование жизни: проблемы и перспективы"
18.04.2024
18.04.2024 - Интернет-Чемпионат по банковскому делу
15.04.2024
15.04.2024 - "Цифровая экосистема исламских финансов"
12.04.2024
12.04.2024 - "От безналичных расчётов к цифровым валютам" Все новости
Новости для банков
21.06.2024
У банков появились трудности с валютными свопами
21.06.2024
Новикомбанк видит главной задачей на Кубе обеспечение стабильных расчетов между странами
21.06.2024
Банк России может существенно повысить ставку в июле
21.06.2024
Ведущие банки России провели более четверти от всех платежей по картам в Европе
21.06.2024
Reuters раскрыл схему обходных путей для банковских платежей между РФ и Китаем Все новости
Новости библиотеки
18.03.2019
Очередное обновление Электронной Библиотеки Банка от 18.03.2019
12.02.2019
Очередное обновление Электронной Библиотеки Банка от 12.02.2019 Все новости