ЦБ попросил банки принять «компенсирующие меры» в ИТ-безопасности
Центробанк попросил банки ввести «компенсирующие меры» для обеспечения информационной безопасности в условиях ухода с российского рынка профильных зарубежных компаний и международных санкций, письмо с таким содержанием регулятор разослал кредитным организациям 28 марта, сообщил «Коммерсантъ».
В Банке России заявили изданию, что приняли решение «пересмотреть порядок принятия мер в отношении банков за нарушения», а обращение было разослано в целях «поддержки участников финансового рынка». Однако в регуляторе не прояснили свою позицию и порядок действий для банков, не уточненным остался вопрос по изменениям в нормативные акты, которые позволят банкам искать аналоги используемого ПО и оборудования без риска предписаний со стороны Центробанка.
В Банке России также не уточнили, готовятся ли дополнительные объяснения для участников рынка, отправив к ГОСТу «Безопасность финансовых (банковских) операций…», отметила газета.
Пока у участников рынка нет понимания, что именно «можно считать достаточными мерами» в этом вопросе, заявил собеседник «Коммерсанта» из банка в топ-30. Такие меры можно подобрать далеко не всегда, особенно если приходят сообщения о большом количестве уязвимостей при отсутствии обновлений, указал собеседник газеты в банке из топ-20. «Компенсирующие меры были и в действовавшем с 2012 года положении 383-П, и банки периодически пытались их применять, однако случаи, когда ЦБ счел их достаточными, неизвестны», — сообщил изданию бывший сотрудник Банка России.
Близкий к регулятору источник газеты добавил, что предписания относятся чаще всего к участку платежной системы Центробанка и клиентских платежей, в их числе — дистанционное банковское обслуживание, мобильные приложения. Коснется оно и периметровой защиты (антивирусов, анти-DDoS, обнаружение вторжения, межсетевые экраны), систем антифрода, но не будет иметь иметь отношения к реагированию на случаи несанкционированных платежей или показателям бесперебойности Системы быстрых платежей (СБП).
Все опрошенные газетой кредитные организации отметили, что будут «изобретать самостоятельно» необходимые меры в этих условиях. «Можно писать собственное ПО для иностранного «железа» — и тем самым решить проблему обновления ПО ушедших игроков, можно закрывать внешний контур, существенно ограничив доступ в интернет сотрудникам банка, заменять иностранные решения отечественными и т.д.», — считает гендиректор компании «Киберполигон» Лука Сафонов. По его мнению, межсетевые экраны можно будет заменить предложением от российских разработчиков UserGate или «Континент». К этому дню российские аналоги есть лишь для 10% санкционного оборудования крупных банков и 30% небольших банков, добавил он.
Кроме того, в ГОСТе есть требование об использовании трех антивирусов, однако из-за того, что рынок покинули зарубежные компании, выполнить его невозможно, указывает управляющий RTM Group Евгений Царев. «Использование двух антивирусов, которые позволяют обеспечить необходимый уровень защиты, можно также считать компенсирующими мерами», — считает эксперт. По его словам, прежде банки использовали антивирусы ESET, Norton, McAfee, Trend Micro, «Лаборатории Касперского» и Dr. Web, сейчас остались продукты только двух последних компаний.
Прежде всего банки должны будут доказать Центробанку правильность выбранных решений, занимаясь «бумажной безопасностью», а не решая настоящие проблемы, прокомментировал эксперт по кибербезопасности Алексей Лукацкий. Он указал, что проверяющим из регулятора нелегко доказать достаточно компенсирующих мер.
В начале марта Центробанк сообщил о риске замедления работы СБП из-за DDoS-атаки на каналы телеком-провайдеров. «Часть операций может проходить медленнее или их потребуется повторить через некоторое время. Это никак не влияет на сохранность средств», — заверили тогда в регуляторе, отметив, что клиринговый и операционный платежный центр СБП взаимодействует с телеком-провайдерами по произошедшему.