ЦБ нашел новую причину для зачистки банков - уязвимость программного обеспечения
 
ЦБ нашел новую причину для зачистки банков - уязвимость программного обеспечения
Moscow-Live.ru

Банк России готовится к новому этапу зачистки банков. Теперь вслед за финансовой надежностью регулятор хочет проверять технологическую, пишет газета "Ведомости". ЦБ, по ее данным, решил ужесточить требования к программному обеспечению (ПО), используемому, например, для перевода денежных средств.

До сих пор ПО, используемое для перевода денег и разработанное внутри финансовых организаций или отечественными компаниями, не относилось к средствам защиты информации, но недостаточный уровень защиты заставил усилить контроль в этой области, начав с банков и платежных систем. Новые требования ЦБ вступят в силу с июля 2018 года.

Банки смогут выбирать из двух вариантов. Софт должен пройти сертификацию на отсутствие недекларированных возможностей в Федеральной службе по техническому и экспортному контролю (ФСТЭК) Минобороны. В ином случае должен быть проведен анализ уязвимостей на соответствие определенным требованиям, рассказал изданию консультант по безопасности Cisco Алексей Лукацкий. При этом правил такого анализа проект указания ЦБ не содержит.

По мнению директора направления информационной безопасности разработчика и поставщика IT-решений "Диасофт" Игоря Легезина, анализ должна проводить компания, имеющая лицензию ФСТЭК. По сути, обе процедуры равнозначны, занимают около полугода и стоят десятки тысяч долларов. Лукацкий также напомнил, что при расчетах карточками есть международный стандарт безопасности PA DSS, соответствие которому является требованием Visa и MasterСard. Однако новые требования ЦБ шире и жестче, так как распространяются на любые формы денежных переводов.

Проблемы с соблюдением новых требований могут возникнуть из-за регулярных обновлений программ: очередное обновление может оказаться несертифицированным, предупреждает ведущий аналитик департамента банковского ПО RS-Bank компании R-Style Softlab Сергей Ветров.

В компании Cisco полагают, что больше всего сложностей ожидает "дочек" иностранных банков, у которых зачастую используется зарубежное ПО, предоставляемое головной структурой.

Ранее ЦБ сообщал, что в 2016 году злоумышленники девять раз находили уязвимости в банках и вывели с их корсчетов 2,18 млрд рублей.