Банкиры негативно отнеслись к новым требованиям ЦБ передавать информацию об использовании VPN в Роскомнадзор по незащищенному каналу — электронной почте. Как отмечают специалисты по информационной безопасности, в этом случае велики риски утечки чувствительных данных, что может привести к массированным DDoS-атакам. По мнению экспертов, подобные данные необходимо передавать через защищенные каналы связи ЦБ.
Фото: Анатолий Жданов, Коммерсантъ
Кредитные организации должны до 2 июня направить в Роскомнадзор информацию «об использовании для автоматизации технологических процессов VPN-протоколов», следует из письма ЦБ (с ним ознакомился “Ъ”), разосланного банкам 10 мая. Это делается «для исключения рисков функционирования отраслевых информационных систем», указано в документе. Передавать данные предлагается в формате Excel по электронной почте. Причем в ЦБ отправлять ответ не требуется, отмечается в письме.
В октябре прошлого года Минцифры попросило банки и госкорпорации отчитаться об использовании VPN (см. “Ъ” от 9 ноября 2022 года). Там пояснили, что исследование нужно на случай, если такие сервисы перестанут работать в России. Эксперты связывали требования с планами блокировки VPN в стране. В опрошенных “Ъ” банках отказались от комментариев.
Специалисты по информационной безопасности в банках уверены, что передача подобных чувствительных данных по электронной почте несет высокие риски.
Если данные утекут, то у злоумышленников окажется информация об IP-адресах VPN-серверов допофисов банка, которые не так очевидны, как адреса главного офиса, в связи с чем возрастает риск DDoS-атак на них, поясняет собеседник “Ъ” из банка топ-30. Если у отделения автоматизированная банковская система (АБС) не своя, а центрального офиса и хакеры начнут атаковать этот офис, он «ляжет», и клиенты этого допофиса останутся без банковских услуг, подчеркивает он.
С использованием VPN работают, в частности, система передачи информации SWIFT, банкоматы, обменные пункты, добавляет источник “Ъ” из другого крупного банка. Согласно нормативам, сервисы банков не могут «лежать» дольше определенного времени (обычно не более нескольких часов), иначе это негативно повлияет на оценку банка регулятором, напоминает управляющий RTM Group Евгений Царев.
Для ЦБ такое отношение к безопасности передаваемых данных довольно редкий случай.
В 2018 году ИБ-специалисты банков также возмущались по поводу использования незащищенных каналов (электронной почты) для передачи логинов и паролей для доступа в личный кабинет своей новой киберплатформы «Автоматизированная система обработки информации» (АСОИ, см. “Ъ” от 2 августа 2018 года). По той же электронной почте банки направляли в ЦБ анкеты на подключение, где указывали, в частности, контакты своих специалистов по ИБ и телефоны. К Роскомнадзору, добавляют источники “Ъ” из числа специалистов по кибербезопасности, в банковском сообществе в целом «достаточно скептическое отношение» — многие вспоминают, как ведомство по ошибке блокировало целые сегменты интернета, использовавшиеся добросовестными компаниями. В самом ведомстве не стали отвечать на вопросы “Ъ”.
В то же время независимые специалисты считают, что в данном случае риски не слишком велики. Электронная почта, «безусловно, незащищенный канал связи и риск утечки существует, но едва ли высокий», полагает господин Царев. «Атакующие постоянно сканируют сети финансовых организаций, находят открытые порты и сервисы,— поясняет владелец российского решения по защите от DDoS-атак Servicepipe Даниил Бобрышев.— Если злоумышленники получат доступ к пересылаемым данным, это несколько упростит их задачу по поиску ресурсов в сети жертвы, которые более уязвимы к DDoS-атаке».
Вадим Уваров, глава департамента информационной безопасности ЦБ, 23 ноября 2022 года:
«С момента введения стабилизационных мер в области защиты информации… мы не выявили случаев реализации существенных рисков информационной безопасности и операционной надежности».
В любом случае эксперты призывают использовать для обмена данными безопасные каналы связи. «С ЦБ налажен обмен данными по защищенным каналам, и было бы логично направлять информацию также через ЦБ, который бы пересылал ее по своим защищенным каналам взаимодействия в Роскомнадзор»,— считает собеседник “Ъ” из банка топ-30. Директор по развитию бизнеса центра противодействия кибератакам Solar JSOC компании «РТК-Солар» Алексей Павлов подтверждает, что более надежный вариант — собирать подобные данные через специализированные системы взаимодействия, такие как АСОИ ФинЦЕРТ. В ЦБ отказались комментировать возможность такого способа передачи данных.