Календарь мероприятий


Шлите VPN почтой: Банкиры опасаются утечек чувствительной информации

   Банкиры негативно отнеслись к новым требованиям ЦБ передавать информацию об использовании VPN в Роскомнадзор по незащищенному каналу - электронной почте. Как отмечают специалисты по информационной безопасности, в этом случае велики риски утечки чувствительных данных, что может привести к массированным DDoS-атакам. По мнению экспертов, подобные данные необходимо передавать через защищенные каналы связи ЦБ.
   Кредитные организации должны до 2 июня направить в Роскомнадзор информацию "об использовании для автоматизации технологических процессов VPN-протоколов", следует из письма ЦБ (с ним ознакомился "Ъ"), разосланного банкам 10 мая. Это делается "для исключения рисков функционирования отраслевых информационных систем", указано в документе. Передавать данные предлагается в формате Excel по электронной почте. Причем в ЦБ отправлять ответ не требуется, отмечается в письме.
   В октябре прошлого года Минцифры попросило банки и госкорпорации отчитаться об использовании VPN (см. "Ъ" от 11 ноября 2022 года). Там пояснили, что исследование нужно на случай, если такие сервисы перестанут работать в России. Эксперты связывали требования с планами блокировки VPN в стране. В опрошенных "Ъ" банках отказались от комментариев.
   Специалисты по информационной безопасности в банках уверены, что передача подобных чувствительных данных по электронной почте несет высокие риски. Если данные утекут, то у злоумышленников окажется информация об IP-адресах VPN-серверов допофисов банка, которые не так очевидны, как адреса главного офиса, в связи с чем возрастает риск DDoS-атак на них, поясняет собеседник "Ъ" из банка топ-30. Если у отделения автоматизированная банковская система (АБС) не своя, а центрального офиса и хакеры начнут атаковать этот офис, он "ляжет", и клиенты этого допофиса останутся без банковских услуг, подчеркивает он.
   С использованием VPN работают, в частности, система передачи информации SWIFT, банкоматы, обменные пункты, добавляет источник "Ъ" из другого крупного банка. Согласно нормативам, сервисы банков не могут "лежать" дольше определенного времени (обычно не более нескольких часов), иначе это негативно повлияет на оценку банка регулятором, напоминает управляющий RTM Group Евгений Царев.
   Для ЦБ такое отношение к безопасности передаваемых данных довольно редкий случай. В 2018 году ИБ-специалисты банков также возмущались по поводу использования незащищенных каналов (электронной почты) для передачи логинов и паролей для доступа в личный кабинет своей новой киберплатформы "Автоматизированная система обработки информации" (АСОИ, см. "Ъ" от 2 августа 2018 года). По той же электронной почте банки направляли в ЦБ анкеты на подключение, где указывали, в частности, контакты своих специалистов по ИБ и телефоны. К Роскомнадзору, добавляют источники "Ъ" из числа специалистов по кибербезопасности, в банковском сообществе в целом "достаточно скептическое отношение" - многие вспоминают, как ведомство по ошибке блокировало целые сегменты интернета, использовавшиеся добросовестными компаниями. В самом ведомстве не стали отвечать на вопросы "Ъ".
   В то же время независимые специалисты считают, что в данном случае риски не слишком велики. Электронная почта, "безусловно, незащищенный канал связи и риск утечки существует, но едва ли высокий", полагает господин Царев. "Атакующие постоянно сканируют сети финансовых организаций, находят открытые порты и сервисы,- поясняет владелец российского решения по защите от DDoS-атак Servicepipe Даниил Бобрышев.- Если злоумышленники получат доступ к пересылаемым данным, это несколько упростит их задачу по поиску ресурсов в сети жертвы, которые более уязвимы к DDoS-атаке".
   В любом случае эксперты призывают использовать для обмена данными безопасные каналы связи. "С ЦБ налажен обмен данными по защищенным каналам, и было бы логично направлять информацию также через ЦБ, который бы пересылал ее по своим защищенным каналам взаимодействия в Роскомнадзор",- считает собеседник "Ъ" из банка топ-30. Директор по развитию бизнеса центра противодействия кибератакам Solar JSOC компании "РТК-Солар" Алексей Павлов подтверждает, что более надежный вариант - собирать подобные данные через специализированные системы взаимодействия, такие как АСОИ ФинЦЕРТ. В ЦБ отказались комментировать возможность такого способа передачи данных.

Источник: Коммерсант https://www.kommersant.ru/doc/5979225

12.05.2023

Обсудить в нашей группе на Facebook
Обсудить новости на нашей странице на VKontakte


Новости ББТ
31.10.2024
Обновление раздела ББТ "Информационная безопасность банка" от 31.10.2024
31.10.2024
Обновление раздела ББТ "Противодействие легализации" от 31.10.2024
31.10.2024
Обновление раздела ББТ "Внутренний контроль в банке" от 31.10.2024
31.10.2024
Обновление раздела ББТ "Кредитные операции в банке" - от 31.10.2024
31.10.2024
Обновление раздела ББТ "Противодействие НИИИ/МР" от 31.10.2024 Все новости
Наши мероприятия
05.11.2024
05.11.2024 - "Розничные инвесторы и торговля на бирже"
22.10.2024
22.10.2024 - "Основы потребительского кредитования. Обзорная лекция"
18.10.2024
18.10.2024 - "Осень ипотеки: бабье лето или первые заморозки"
17.10.2024
17.10.2024 - "Организация работы профессиональных студенческих объединений"
15.10.2024
15.10.2024 - "Обзор изменений банковского законодательства за III кв 2024 г." Все новости
Новости для банков
09.07.2024
ВНИМАНИЮ КЛИЕНТСКИХ И ЮРИДИЧЕСКИХ СЛУЖБ БАНКОВ
08.11.2024
ЦБ с 1 апреля может получить право ограничивать банкам выдачу ипотеки и автокредитов
08.11.2024
Банки РФ в сентябре увеличили запасы драгметаллов на 0,7 т
08.11.2024
Путин заявил, что о единой валюте БРИКС говорить пока рано
08.11.2024
Легальные клиенты банков оказались в мошеннической базе ЦБ Все новости
Новости библиотеки
18.03.2019
Очередное обновление Электронной Библиотеки Банка от 18.03.2019
12.02.2019
Очередное обновление Электронной Библиотеки Банка от 12.02.2019 Все новости