Отмена технической поддержки операционных систем Windows 7 и Windows Server 2008 может стать серьезной проблемой для российских банков: нормативные документы относят работу с программами без техподдержки к нарушениям информационной безопасности. Но даже крупнейшие игроки еще не перевели все свои устройства на Windows 10. И хотя по факту банк способен обеспечить безопасную работу машин со старой операционной системой в локальной сети, де-юре он будет оставаться нарушителем и может получить предписание от ЦБ.
Фото: Christof Stache, AP
С 14 января Microsoft прекратила техническую поддержку Windows 7 и Windows Server 2008. Как пояснил “Ъ” архитектор технологического центра Microsoft в России Иван Будылин, это означает отсутствие обновлений безопасности, а использование операционной системы без установки обновлений ведет к существенным рискам потери данных.
Де-юре это означает, что банки обязаны оперативно перейти на Windows 10, так как работа без техподдержки противоречит требованиям информбезопасности в рамках профильного ГОСТа и нормативных актов Федеральной службы по техническому и экспортному контролю (ФСТЭК).
В частности, в положении ФСТЭК №55 указано, что действие выданного сертификата на программное обеспечение прекращается в случае прекращения техподдержки, а согласно положению ЦБ №382-П, банки обязаны использовать только сертифицированное ПО.
Российские банки пока не готовы полностью отказаться от Windows 7 и Windows Server 2008, показал опрос “Ъ”.
Часть банков отметили, что заключили с Microsoft соглашение о платной дополнительной поддержке Windows 7 (EAS). Однако, как пояснил “Ъ” собеседник в Microsoft, предлагаемая платная поддержка — не альтернатива обновлению операционной системы, а временная мера. В Альфа-банке сообщили, что полный переход был завершен осенью 2019 года, он охватил 25 тыс. машин и продлился около полутора лет, потребовал модернизации парка рабочих станций, кроме того, были доработаны несколько систем для совместимости с Windows 10. В ВТБ отметили, что, «безусловно, банкам требуются временные и финансовые затраты на апгрейд оборудования и информационных систем, обновление систем ВТБ идет в плановом режиме». Проводят обновления и в Росбанке.
По данным сервиса Statcounter, по состоянию на декабрь 2019 года доля компьютеров с Windows 7 в России составляла около 32%. По оценке бизнес-консультанта по безопасности Cisco Алексея Лукацкого, соотношение в российских банках ниже — примерно на каждом пятом компьютере установлена Windows 7. По оценке управляющего партнера экспертной группы Veta Ильи Жарского, данные Росстата о количестве работающих в финансовой отрасли (1,3 млн человек) соответствуют в первом приближении числу установленных компьютеров. Для обновления 20% этого парка с установкой операционной системы Windows 10 может потребоваться не менее 15 млрд руб. (с учетом того, что каждая единица техники обойдет не менее чем в $1 тыс., и скидки за объем).
По мнению Алексея Лукацкого, компьютер с необновляемой ОС не несет серьезных рисков информбезопасности, если работает в локальной сети, защищенной антивирусами и т. д. Впрочем, руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин уверен, что работать без техподдержки относительно безопасно только до тех пор, пока злоумышленники не находят в ней неустраненную уязвимость. Он привел пример с эксплойтом EternalBlue и сетевым червем WannaCry, когда нахождение в локальной сети никак не спасало компьютеры от внешних атак.
Вместе с тем, когда в 2015 году была прекращена техподдержка Windows Server 2003, ФСТЭК выпустила письмо о продлении ранее выданных сертификатов до августа 2017 года. Это дало рынку возможность плавно пройти обновление. «На сегодняшний день такого письма нет, и остается надеяться, что в ближайшее время оно появится и снимет часть вопросов»,— отметил Алексей Лукацкий. Сейчас у регулятора есть все юридические основания привлечь к ответственности банк за отсутствие обновлений. В неофициальной беседе собеседник “Ъ”, близкий к ЦБ, отметил, что для регулятора главное, чтобы был настроен процесс выявления и ликвидации атак-угроз. Официально ЦБ отказался комментировать ситуацию. «А без официальной позиции каждый проверяющий банка будет на свое усмотрение решать, является ли нарушением использование Windows 7 или нет»,— сетует господин Лукацкий.