ЦБ фактически устранился от проблем банковской информационной безопасности, которые возникли из-за ухода с российского рынка профильных иностранных компаний. Регулятор просто требует от кредитных организаций неких «компенсирующих мер», не уточняя, что именно нужно сделать. Банкиры опасаются, что в создавшихся условиях им сложно будет доказывать регулятору достаточность своих усилий.
Фото: Евгений Павленко, Коммерсантъ
“Ъ” ознакомился с письмом ЦБ, которое банки получили 28 марта. В нем регулятор просит применения компенсирующих мер для обеспечения информационной безопасности на фоне введенных санкций и ухода с российского рынка профильных иностранных компаний. Наличие обновлений и сертификации оборудования и ПО также являются нормативными требованиями (см. “Ъ” от 22 марта 2022 года). В ЦБ пояснили “Ъ”, что письмо выпущено «для поддержки участников финансового рынка» и что регулятор «принял решение пересмотреть порядок применения мер в отношении банков за нарушения».
В то же время в ЦБ не ответили, что именно делать банкам и готовятся ли дополнительные разъяснения, отослав к ГОСТ «Безопасность финансовых (банковских) операций…». Опрошенные “Ъ” эксперты говорят, что и там не описаны конкретные меры.
Участники рынка ожидали разъяснения позиции регулятора и внесения изменений в нормативные акты, которые позволят им искать аналоги используемого ПО и оборудования без риска предписаний со стороны ЦБ. Однако, по словам собеседника “Ъ” в банке топ-30, так и нет понимания, что «конкретно можно считать достаточными мерами». В банке топ-20 отмечают, что такие меры можно подобрать далеко не всегда, особенно если приходят сообщения о большом количестве уязвимостей при отсутствии обновлений. «Компенсирующие меры были и в действовавшем с 2012 года положении 383-П, и банки периодически пытались их применять, однако случаи, когда ЦБ счел их достаточными, неизвестны»,— рассказал бывший сотрудник ЦБ.
Собеседник “Ъ”, близкий к ЦБ, пояснил, что предписания регулятора касаются в основном участка платежной системы Банка России и клиентских платежей, в том числе дистанционного банковского обслуживания, мобильных приложений. Оно также коснется систем антифрода, периметровой защиты (межсетевые экраны, обнаружение вторжений, анти-DDoS, антивирусы), но не имеет отношения к показателям бесперебойности СБП и реагирования на инциденты по несанкционированным платежам.
Все опрошенные банки признают, что меры будут «изобретать самостоятельно».
Гендиректор компании «Киберполигон» Лука Сафонов отмечает, что конкретные шаги зависят от уязвимостей, на закрытие которых они направлены: «Например, можно писать собственное ПО для иностранного "железа" — и тем самым решить проблему обновления ПО ушедших игроков, можно закрывать внешний контур, существенно ограничив доступ в интернет сотрудникам банка, заменять иностранные решения отечественными и т. д.». В частности, по словам господина Сафонова, межсетевые экраны можно заменить на решения от российских UserGate или «Континента».
В то же время, признает эксперт, сейчас отечественные решения есть только для 10% санкционного оборудования крупных банков и 30% небольших. На форумах специалистов ИБ активно обсуждается замена Oracle на решение ЦФТ. «В ГОСТ есть требование по применению трех антивирусов, но из-за ухода ряда игроков с рынка выполнить его нельзя. Использование двух антивирусов, которые позволяют обеспечить необходимый уровень защиты, можно также считать компенсирующими мерами»,— полагает управляющий RTM Group Евгений Царев. По его словам, ранее обычно банки пользовались антивирусами от «Лаборатории Касперского», Dr.Web, ESET, McAfee, Trend Micro, Norton, сейчас остались только решения двух первых компаний.
В то же время основная задача банков будет сводиться к тому, чтобы доказать регулятору правильность выбранных решений.
По словам независимого эксперта по кибербезопасности Алексея Лукацкого, так как на практике проверяющим из ЦБ непросто доказать достаточность компенсирующих мер, данное письмо приведет к тому, что безопасникам придется больше заниматься «бумажной безопасностью» и писать для регулятора доказательства, а не заниматься реальными проблемами.