Календарь мероприятий


Шлите VPN почтой: Банкиры опасаются утечек чувствительной информации

   Банкиры негативно отнеслись к новым требованиям ЦБ передавать информацию об использовании VPN в Роскомнадзор по незащищенному каналу - электронной почте. Как отмечают специалисты по информационной безопасности, в этом случае велики риски утечки чувствительных данных, что может привести к массированным DDoS-атакам. По мнению экспертов, подобные данные необходимо передавать через защищенные каналы связи ЦБ.
   Кредитные организации должны до 2 июня направить в Роскомнадзор информацию "об использовании для автоматизации технологических процессов VPN-протоколов", следует из письма ЦБ (с ним ознакомился "Ъ"), разосланного банкам 10 мая. Это делается "для исключения рисков функционирования отраслевых информационных систем", указано в документе. Передавать данные предлагается в формате Excel по электронной почте. Причем в ЦБ отправлять ответ не требуется, отмечается в письме.
   В октябре прошлого года Минцифры попросило банки и госкорпорации отчитаться об использовании VPN (см. "Ъ" от 11 ноября 2022 года). Там пояснили, что исследование нужно на случай, если такие сервисы перестанут работать в России. Эксперты связывали требования с планами блокировки VPN в стране. В опрошенных "Ъ" банках отказались от комментариев.
   Специалисты по информационной безопасности в банках уверены, что передача подобных чувствительных данных по электронной почте несет высокие риски. Если данные утекут, то у злоумышленников окажется информация об IP-адресах VPN-серверов допофисов банка, которые не так очевидны, как адреса главного офиса, в связи с чем возрастает риск DDoS-атак на них, поясняет собеседник "Ъ" из банка топ-30. Если у отделения автоматизированная банковская система (АБС) не своя, а центрального офиса и хакеры начнут атаковать этот офис, он "ляжет", и клиенты этого допофиса останутся без банковских услуг, подчеркивает он.
   С использованием VPN работают, в частности, система передачи информации SWIFT, банкоматы, обменные пункты, добавляет источник "Ъ" из другого крупного банка. Согласно нормативам, сервисы банков не могут "лежать" дольше определенного времени (обычно не более нескольких часов), иначе это негативно повлияет на оценку банка регулятором, напоминает управляющий RTM Group Евгений Царев.
   Для ЦБ такое отношение к безопасности передаваемых данных довольно редкий случай. В 2018 году ИБ-специалисты банков также возмущались по поводу использования незащищенных каналов (электронной почты) для передачи логинов и паролей для доступа в личный кабинет своей новой киберплатформы "Автоматизированная система обработки информации" (АСОИ, см. "Ъ" от 2 августа 2018 года). По той же электронной почте банки направляли в ЦБ анкеты на подключение, где указывали, в частности, контакты своих специалистов по ИБ и телефоны. К Роскомнадзору, добавляют источники "Ъ" из числа специалистов по кибербезопасности, в банковском сообществе в целом "достаточно скептическое отношение" - многие вспоминают, как ведомство по ошибке блокировало целые сегменты интернета, использовавшиеся добросовестными компаниями. В самом ведомстве не стали отвечать на вопросы "Ъ".
   В то же время независимые специалисты считают, что в данном случае риски не слишком велики. Электронная почта, "безусловно, незащищенный канал связи и риск утечки существует, но едва ли высокий", полагает господин Царев. "Атакующие постоянно сканируют сети финансовых организаций, находят открытые порты и сервисы,- поясняет владелец российского решения по защите от DDoS-атак Servicepipe Даниил Бобрышев.- Если злоумышленники получат доступ к пересылаемым данным, это несколько упростит их задачу по поиску ресурсов в сети жертвы, которые более уязвимы к DDoS-атаке".
   В любом случае эксперты призывают использовать для обмена данными безопасные каналы связи. "С ЦБ налажен обмен данными по защищенным каналам, и было бы логично направлять информацию также через ЦБ, который бы пересылал ее по своим защищенным каналам взаимодействия в Роскомнадзор",- считает собеседник "Ъ" из банка топ-30. Директор по развитию бизнеса центра противодействия кибератакам Solar JSOC компании "РТК-Солар" Алексей Павлов подтверждает, что более надежный вариант - собирать подобные данные через специализированные системы взаимодействия, такие как АСОИ ФинЦЕРТ. В ЦБ отказались комментировать возможность такого способа передачи данных.

Источник: Коммерсант https://www.kommersant.ru/doc/5979225

12.05.2023

Обсудить в нашей группе на Facebook
Обсудить новости на нашей странице на VKontakte


Новости ББТ
01.02.2024
Внеплановое обновление раздела ББТ "Противодействие легализации" от 01.02.2024
28.12.2023
Обновление раздела ББТ "Противодействие легализации" от 28.12.2023
28.12.2023
Обновление тестов ББТ по теме "Налогообложение" от 28.12.2023
28.12.2023
Обновление раздела ББТ "Противодействие НИИИ/МР" от 28.12.2023
28.12.2023
Обновление раздела ББТ "Операции банка с ценными бумагами" от 28.12.2023 Все новости
Наши мероприятия
10.01.2024
23.01.2024 - Обзор изменений банковского законодательства за IV кв 2023 г.
12.12.2023
21.12.2023 - Семинар "Страховые продукты в банковском бизнесе"
04.12.2023
Итоги конференции "Современные финансы и цифровая экономика" (УМКО-2023)
01.12.2023
Итоги открытой сертификации финансовых специалистов в ноябре 2023 года
29.11.2023
01.12.2023 - IV-я Уральская молодежная конференция (УМКО-2023)
08.11.2023
08.11.2023 - Встреча с иностранным банковским специалистом из Китая
01.11.2023
01.11.2023 - Поговорим об открытой сертификации банковских специалистов Все новости
Новости для банков
22.02.2024
Денег не давать: как будет работать закон о самозапрете кредитов
22.02.2024
Долларам пересчитают комиссии: ВС разберется с хранением банками валюты клиентов
22.02.2024
Розничный портфель кредитов банков РФ в январе замедлил рост до 0,7%
22.02.2024
В Госдуме одобрили размер лимита на переводы физлиц без открытия счета
22.02.2024
Отзыв лицензии Киви-банка спровоцировал платежный коллапс в России Все новости
Новости библиотеки
18.03.2019
Очередное обновление Электронной Библиотеки Банка от 18.03.2019
12.02.2019
Очередное обновление Электронной Библиотеки Банка от 12.02.2019 Все новости