Из разосланного российским банкам 10 мая письма ЦБ стало извес | Футляр для курая - КушТау #Куштаубудетжить
Из разосланного российским банкам 10 мая письма ЦБ стало известно, что кредитные организации должны до 2 июня направить в Роскомнадзор информацию «об использовании для автоматизации технологических процессов VPN-протоколов». По словам авторов документа, это делается «для исключения рисков функционирования отраслевых информационных систем». Передавать данные предлагается в формате Excel по электронной почте, при этом в ЦБ отправлять ответ не требуется.
В октябре прошлого года Минцифры попросило банки и госкорпорации отчитаться об использовании VPN. Там пояснили, что исследование нужно на случай, если такие сервисы перестанут работать в России. Эксперты связывали требования с планами блокировки VPN в стране.
Специалисты по информационной безопасности в банках уверены, что передача подобных чувствительных данных по электронной почте несет высокие риски. Если данные утекут, то у злоумышленников окажется информация об IP-адресах VPN-серверов допофисов банка, которые не так очевидны, как адреса главного офиса, в связи с чем возрастает риск DDoS-атак на них. По словам экспертов, если у отделения автоматизированная банковская система (АБС) не своя, а центрального офиса и хакеры начнут атаковать этот офис, он «ляжет», и клиенты этого допофиса останутся без банковских услуг. С использованием VPN работают, в частности, система передачи информации SWIFT, банкоматы, обменные пункты. Согласно нормативам, сервисы банков не могут «лежать» дольше определенного времени (обычно не более нескольких часов), иначе это негативно повлияет на оценку банка регулятором.
Эксперты призывают использовать для обмена данными защищенные каналы связи — по их мнению, было бы логично направлять информацию также через ЦБ, который бы пересылал ее по своим защищенным каналам взаимодействия в Роскомнадзор. Другим более безопасным вариантом передачи данных является сбор подобные данные через специализированные системы взаимодействия, такие как АСОИ ФинЦЕРТ.
Электронная почта и таблица в Excel — самая короткая рецензия на подход госструктур к обеспечению информационной безопасности, защите IT—инфраструктуры и данных россиян, уважаемые читатели.
