Банки негативно отнеслись требованиям ЦБ передавать информацию об использовании VPN в Роскомнадзор по незащищенному каналу
Банкиры негативно отнеслись к новым требованиям ЦБ передавать информацию об использовании VPN в Роскомнадзор по незащищенному каналу — электронной почте, сообщил "Коммерсант".
Кредитные организации должны до 2 июня направить в Роскомнадзор информацию "об использовании для автоматизации технологических процессов VPN-протоколов", следует из письма ЦБ, разосланного банкам 10 мая. Это делается "для исключения рисков функционирования отраслевых информационных систем", указано в документе. Передавать данные предлагается в формате Excel по электронной почте. Причем в ЦБ отправлять ответ не требуется, отмечается в письме.
В октябре прошлого года Минцифры попросило банки и госкорпорации отчитаться об использовании VPN. Там пояснили, что исследование нужно на случай, если такие сервисы перестанут работать в России. Эксперты связывали требования с планами блокировки VPN в стране. В опрошенных изданием банках отказались от комментариев.
Специалисты по информационной безопасности в банках уверены, что передача подобных чувствительных данных по электронной почте несет высокие риски.
Если данные утекут, то у злоумышленников окажется информация об IP-адресах VPN-серверов допофисов банка, которые не так очевидны, как адреса главного офиса, в связи с чем возрастает риск DDoS-атак на них, поясняет собеседник СМИ из банка топ-30. Если у отделения автоматизированная банковская система (АБС) не своя, а центрального офиса и хакеры начнут атаковать этот офис, он "ляжет", и клиенты этого допофиса останутся без банковских услуг, подчеркивает он.
С использованием VPN работают, в частности, система передачи информации SWIFT, банкоматы, обменные пункты, добавляет источник газеты из другого крупного банка. Согласно нормативам, сервисы банков не могут "лежать" дольше определенного времени (обычно не более нескольких часов), иначе это негативно повлияет на оценку банка регулятором, напоминает управляющий RTM Group Евгений Царев.
Для ЦБ такое отношение к безопасности передаваемых данных довольно редкий случай.
В 2018 году ИБ-специалисты банков также возмущались по поводу использования незащищенных каналов (электронной почты) для передачи логинов и паролей для доступа в личный кабинет своей новой киберплатформы "Автоматизированная система обработки информации". По той же электронной почте банки направляли в ЦБ анкеты на подключение, где указывали, в частности, контакты своих специалистов по ИБ и телефоны.
К Роскомнадзору, добавляют источники издания из числа специалистов по кибербезопасности, в банковском сообществе в целом "достаточно скептическое отношение" — многие вспоминают, как ведомство по ошибке блокировало целые сегменты интернета, использовавшиеся добросовестными компаниями.