Санкции на обновление
Банкам придется досрочно перейти на отечественное ПО
Банкам, попавшим под санкции, грозят серьезные проблемы с кибербезопасностью на фоне отсутствия возможности обновления программного обеспечения (ПО). Эксперты сомневаются в возможности кредитных организаций перейти на отечественное ПО, называя в качестве наиболее реальных способов решения проблемы использование теневых посредников для покупки софта и поставщиков из третьих стран, например Китая. Однако ни один из вариантов не выглядит действительно надежным и устойчивым.
Введение санкций в отношении российских банков, в первую очередь внесенных в SDN-лист США ВТБ, «ФК Открытие», Новикомбанка, Промсвязьбанка (ПСБ), ВЭБ.РФ и Совкомбанка, вызывало вопросы у экспертов по информбезопасности. Эти банки не смогут докупать лицензии программного обеспечения по истечении срока действия и потеряют возможность обновлять его.
По словам адвоката ЕМПП Мергена Дораева, риски для международных игроков в случае нарушения санкций США могут быть слишком велики в сравнении с выручкой от работы с российскими банками. Гендиректор дата-центра и облачного провайдера Oxygen Павел Кулаков объясняет, что ограничения для банков, оказавшихся под санкциями, затронут весь комплекс программно-аппаратных средств, которые составляют ядро IT в компании, в том числе системы управления базами данных, таких как SAP, Oracle и софт IBM, Microsoft.
Отсутствие обновлений сделает банки уязвимыми для хакеров, поэтому нужно оперативно переходить на отечественное ПО, считают эксперты.
Между тем еще в июне 2020 года Ассоциация банков России (АБР) просила Михаила Мишустина отложить на четыре года перевод на отечественное ПО критической информационной инфраструктуры (КИИ), куда входят в том числе банки. По оценке АБР, для замены всего программного обеспечения и IT-оборудования банкам разово придется потратить более 700 млрд руб. (см. “Ъ” от 17 июня 2020 года). Тогда Минцифры предложило продлить сроки импортозамещения для объектов КИИ на три года (см. “Ъ” от 2 ноября 2020 года).
Точной информации о степени реализации импортозамещения ПО нет, однако эксперты сходятся во мнении, что это будет дорого стоить и с трудом реализуемо оперативно. По словам совладельца RuSIEM Максима Степченкова, ЦБ регулярно напоминал об этом, понимая, что часть кредитных организаций «будет ждать до последнего». Управляющий партнер Swordfish Security Алексей Антонов считает, что переход на отечественное ПО обойдется крупным банкам в несколько десятков миллиардов рублей и займет больше года. Независимый консультант по работе с национальными проектами Андрей Шолохов отмечает, что банкам будет необходимо увеличить бюджет на 25–50% одномоментно.
Анатолий Аксаков, глава комитета Госдумы по финансовому рынку, 16 июня 2021 года:
«Условия перехода на российский софт для банков заметно ослабили, они получили право на плавный переход без привязки к конкретным датам».
Впрочем, сами банки настроены оптимистично. В ВТБ отметили, что банк пользуется в основном российскими разработками, но на вопрос об объеме лицензий от отечественных поставщиков не ответили. В Совкомбанке говорят, что банк имеет полностью сформированную инфраструктуру для работы в условиях санкций, кроме возможности оплачивать товары и услуги с использованием токенизации PAY. В «ФК Открытие» пояснили, что на первых порах обслуживание иностранного программного обеспечения будут обеспечивать локальные партнеры, хотя в будущем банк планирует мигрировать на отечественные аналоги. В ПСБ и Новикомбанке не ответили на запрос “Ъ”. В ВЭБ.РФ отказались от комментариев.
Помимо перехода на отечественное ПО среди возможных вариантов обхода санкций эксперты называют работу банков с американскими поставщиками через «компании-прокладки», которые не попали под санкции, или «закупку софта у более дружественных стран», хотя и отмечают риски. Генеральный директор дата-центра и облачного провайдера Oxygen Павел Кулаков считает, что Китай пока не способен обеспечить полноценные альтернативы американскому ПО, как и отечественные решения, которые пока не могут «закрыть все задачи, поставленные сегодня бизнесом перед ИТ». Алексей Антонов добавляет, что посредники тоже могут быстро стать «токсичными» для американских поставщиков, даже если их отношения с российскими банками не будут оформлены официально.