Первый заместитель главы департамента информбезопасности ЦБ Артем Сычев однажды заявил, что в банках порой включают «тумблер "безопасник" не тогда, когда это нужно, а тогда, когда им нужно оправдать свое бездействие» (цитата по «РИА Новости»). А вот банкиры говорят, что ЦБ, наоборот, временно выключил тумблер, предпочтя кибербезопасности удобство. А именно Банк России рассылал пароли и логины для доступа в личный кабинет своей новой киберплатформы АСОИ по незащищенным каналам связи, то есть через обычную электронную почту. По той же электронной почте банки ранее направляли в ЦБ анкеты на подключение, где указывали IP-адреса, контакты своих специалистов по ИБ, телефоны и т. д.
Обоснованы ли опасения участников рынка? Лично для меня, получавшей даже пароль в личный кабинет налогоплательщика путем посещения ИФНС, рассылка паролей по почте выглядит странной. Тем более что задача этой платформы — стать святая святых кибербезопасности всего финансового сектора. Ведь туда будет стекаться информация о хищениях, там будет база уязвимостей, архив расследования инцидентов и т. д. И именно через личный кабинет в АСОИ банки будут сообщать о результатах проведенных ими тестов на проникновение (пентестов).
Поэтому удивление банкиров понятно — имея возможность передать данные по защищенным каналам (например, личный кабинет в ЦБ), стоило ли рисковать и использовать обычную почту? Кроме того, в связи с внедрением АСОИ в июле было минимум три встречи со специалистами по ИБ банков, и намного безопаснее было передать логины и пароли лично.
В Банке России эти опасения не разделяют. “Ъ” там сообщили, что электронная почта была выбрана как наиболее оперативный и удобный для банков канал передачи первичных данных. Они могут использоваться только для первого входа, отметили в ЦБ, для работы в системе пользователь должен войти в личный кабинет и сменить одноразовые логин и пароль на постоянные. Получить доступ к личному кабинету будет нельзя без использования специальных средств криптографической защиты, уверяют в ЦБ. Правда, по словам участников рынка, эти средства криптозащиты вместе с дистрибутивом АСОИ размещены в открытом доступе на сайте регулятора и скачать их мог любой желающий.
В ряде случаев, например при смене специалиста по информбезопасности банка, ЦБ должен прислать логин и пароль повторно. И как следует из ответа ЦБ, эти сведения будут направлены по защищенным каналам связи. Но если есть возможность использовать закрытые каналы, то почему в этом случае были использованы незащищенные?