Боль и дрожь: про письмо ЦБ от 20.01.2017 с требованием ввести шифрование в АБС

Банк России в недавнем времени начал рассылку своего письма датированного от 20.01.2017  в адрес банков расположенных на территории РФ с требованиями ввести шифрование  (сертифицированное, по ГОСту) в автоматизированные банковские системы (АБС), что потенциально влечет за собой существенные и серьезные изменения в банковской ИТ-инфраструктуре.

По заявлению регулятора данное письмо направлено в поддержку уже  вступившего в силу П-552, подписанного  совсем недавно, еще в декабре прошлого года,  и призвано обеспеить дополнительный уровень защиты данных при придаче платежной информации из АБС банка в ЦБ РФ. Однако, как заявляют многие эксперты это новое требование вносит хаос и влечет за собой большие проблемы как для разработчиков ПО так и для их пользователей - т.е. банков

Как сообщает источник, в рамках борьбы с хакерами ЦБ намерен изменить действующий подход к проведению платежей. Если сейчас все финансовые транзакции  формируются в реестры в банках, после передаются на отдельный компьютер, а только затем шифруются и уходят по специальному каналу связи в ЦБ. И тут кроется проблема, большинство атак происходит  как раз при передаче данных внутри банка, поэтому регулятор предлагает шифровать раньше — сразу после формирования реестров. Банкиры в свою очередь не уверены, что затраты на изменение действующего подхода окупятся, зато они могут создать новые риски.

Регулятор разослал некоторым руководителям IT-отделов банков  данное письмо, в котором попросил до 10 февраля оценить, в какие сроки они могут внедрить шифрование платежей, направляемых в платежную систему Банка России, на уровне автоматизированной банковской системы (АБС).  По действующей сегодня схеме все сформированные в АБС реестры поступают в АРМ КБР (автоматизированное рабочее место клиента Банка России) — специальный компьютер в банке в отдельном защищенном контуре, и позже с него отправляются в ЦБ.

"Сейчас основная проблема заключается в нарушении некоторыми банками рекомендаций ЦБ, по которым АРМ КБР должно быть полностью изолировано от остальной сети банка и данные должны переноситься на него с помощью защищенных съемных носителей,— поясняет аналитик центра мониторинга и противодействия кибератакам Solar JSOC Алексей Павлов.— При отправке реестров часто используют промежуточную папку на файловом сервере корпоративной сети банка. Именно в этом месте хакеры и подменяют файл с реестрами". Логика регулятора проста: так как в АРМ КБР приходят уже частично или полностью фиктивные данные, которые позже шифруются и уходят в ЦБ, выявить фиктивный платеж в зашифрованном виде невозможно. Если же шифровать реестры сразу в АБС, то возможности подменить их фиктивными по пути к АРМ КБР не будет.

Банкиры официально комментировать инициативу ЦБ на настоящий момент не хотят, поскольку в основном относятся к ней резко негативно. "Защитить контур АБС сложнее,— поясняет руководитель IT-департамента банка из топ-100.— АРМ КБР — это защищенный контур из одного-двух компьютеров, АБС — это три сотни компьютеров, которым потребуется дополнительная защита". Кроме того, будет утеряна возможность дополнительного контроля, предостерегает специалист по IT из банка, входящего в топ-50. "Сейчас банк может сверить реестры, выгруженные из АБС, с попавшими в АРМ КБР и выявить фиктивный,— поясняет он.— При шифровании в АБС такая возможность исчезает". 

Согласно раздела 5 ст. 5.1 Положения ЦБ РФ от 24.08.2016 № 552-П “О требованиях к защите информации в платежной системе Банка России”:

5.1. В целях обеспечения идентификации, аутентификации и авторизации клиента в системе интернет-банкинга, а так же определения перечня устройств, с использованием которых может осуществляться доступ к системе интернет-банкинга при переводе денежных средств посредством передачи ЭС в ПС БР, функции формирования, обработки, контроля и передачи (приема) ЭС должны осуществляться с использованием АРМ обмена ЭС с ПС БР или с использованием специальной компоненты автоматизированной банковской системы участников.”

Иными словами проблема в том, что:

• в АБС нужно встраивать дополнительные СЗИ;
• встраиваемые СЗИ должны использовать только отечественные алгоритмы шифрования;
• все СЗИ внедряемые в АБС должны быть сертифицированы ФСТЭК;

Соответственно все вендоры должны мгновенно внести изменения в АБС,  а так же подать заявление сертификацию  в ФСБ\ФСТЭК и получить сертификат. В виду того, что в СЗИ должны использоваться только отечественные алгоритмы криптографии это почти автоматически отсекает иностранных разработчиков.. а так же приносит кучу геморроя для эксплуатации, изменению ИТ-инфраструктуры, изменению схемы поддержи АБС и т.д.

Необходимо сказать, что изменение использования программных средств клиента Банка России (ПС КБР) при взаимодействии с автоматизированными системами (АС) Банка России касается только клиентов Банка России, с которыми заключены либо планируется заключить договоры, а также юридических лиц – клиентов кредитных организаций, с которыми начаты работы по включению в состав пользователей системы передачи финансовых сообщений Банка России (СПФС).

Так же, возможно, потребуется внести в договор кредитной организации с разработчиком АБС дополнительные условия, касающиеся порядка передачи разработчику АБС соответствующего СКЗИ для проведения указанных работ в АБС.