Про деньги | 07.02.2017 09:38

Центробанк России и хакеры: В банках появится новая система шифрования платежей?

До 10 февраля банки должны дать ответ ЦБ РФ о сроках внедрения новой системы шифрования платежей. Чтобы понять, в чем недостатки старой системы и как их исправить, воспользуемся для наглядности образом из классической математической задачи.

Итак, банк – это бассейн с двумя трубами. По одной «трубе» поступают платежные поручения клиентов, в «бассейне» из них формируется реестр платежей, который зашифровывается и по второй «трубе» – уже в зашифрованном виде – отправляется в ЦБ РФ. В идеальном случае у хакеров нет возможности проявить свою изворотливость.

В реальности же «бассейн» состоит из двух частей. Платежи приходят в автоматизированную банковскую систему (АБС), которая объединяет все компьютеры конкретного банка в единый защищенный контур. Именно в АБС после обработки платежных поручений формируются реестры платежей. Вторая часть – это автоматизированное рабочее место клиента Банка России (АРМ КБР) — еще один защищенный компьютер, на котором поступающие реестры шифруются и уходят в ЦБ. Вот это разделение функций и делает систему уязвимой.

Надежная защита и АБС, и АРМ КБР не оставляют лазеек для хакеров. Таким образом, единственное слабое место системы – это канал связи между АБС и АРМ КБР. Согласно правилам, обмен информацией должен осуществляться с помощью защищенных съемных носителей, чтобы АРМ КБР было полностью изолировано от остальной сети банка. В этом случае система будет неуязвима для внешних атак. Однако в некоторых банках (не станем говорить – во всех, но во многих) обмен информацией идет через корпоративный сервер, и в этот момент мошенники могут перехватить и заменить настоящие данные фиктивными.

Решение проблемы ЦБ РФ видит в том, чтобы шифровать данные на более раннем этапе – когда формируется реестр платежей. Но сейчас возможность шифрования реестров в АБС не предусмотрена, к тому же АБС для каждого банка разрабатывается индивидуально. При этом в АРМ КЦБ компьютеры можно пересчитать по пальцам одной руки, тогда как в банке в целом их сотни. В результате потребуется масштабное обновление с привлечением специалистов по криптозащите, имеющих специальную лицензию ФСБ.

Для банка средних размеров сроки такого внедрения оцениваются в год, а стоимость – в несколько миллионов рублей. Поэтому нет ничего удивительного в том, что банкирам не нравится идея в одиночку нести дополнительные расходы, хотя под запись они об этом никогда не скажут. Вместо этого они выражают осторожную надежду на то, что ЦБ РФ разработает и будет предлагать банкам некое стандартное типовое решение.

Безусловно, во всей финансовой системе должен быть обеспечен высочайший уровень защиты информации. Банкиры понимают это лучше всех, поскольку ошибки в этой сфере сразу же приводят к финансовым и репутационным потерям. Поэтому поиск и устранение слабых мест в системе обмена финансовой информацией должны вестись постоянно.

Специалисты по кибербезопасности должны работать на опережение, потому что мошенники, потеряв лазейку в одном месте, сразу же начнут искать ее в другом. Можно предположить, что, потеряв доступ к сегменту передачи данных, они сосредоточат свои усилия на взломе АБС.

Если вдуматься, это для преступников даже предпочтительнее, поскольку выявить подмену данных на уровне банка практически невозможно. То, что АБС имеет множество серверов, модулей, ролей и прав доступа большого количества сотрудников банка, дает хакерам больше потенциальных возможностей для проникновения в систему. И, как заявляют эксперты, подобные случаи уже фиксируются. 

Также очевидно, что новая система шифрования отвечает только за техническую сторону защиты информации. Не стоит забывать про внутренний инсайд или методы социальной инженерии (когда Вас обманом заставляют сообщить конфиденциальную информацию), а также про админов, которым зачастую предоставляются неограниченные права доступа. Не случайно специалисты по компьютерной безопасности подчеркивают: "Чтобы взломать АБС конкретного банка, нужен специалист, знакомый с экземпляром системы именно этого банка".

Олег Якушев, эксперт АО ИК «ЦЕРИХ Кэпитал Менеджмент»

 
Последнее из рубрики Про деньги
 
 

Комментарии

БЛОГИ
ПОПУЛЯРНЫЕ ТОПИКИ

Лунный посевной календарь - 2017 год

Февраль - октябрь 2017 года
2017-01-30 14:26:43

Коллективное заявление: в Общероссийский народный фронт, президенту Татарстана, мэру Челнов...

Общероссийский народный фронт, 119235, г. Москва, ул. Мосфильмовская, д. 40. post@onf.ru; Копии: Президенту республики Татарстан Минниханову Р.Н. Начальнику ГЖИ РТ Крайнову С.А. Начальнику НЧЗЖИ Мухаметдинову Ш.М Мэру города Набережные Челны Магдееву Н.Г. Прокурору Татарстана и города Набережные Челны Нафикову И.Ф и Евграфову А.П. от группы граждан - собственников, председателей и членов Советов МКД г.Набережные Челны.
2015-12-20 10:18:43
« Посмотреть все блоги »
ПОСЛЕДНИЕ КОММЕНТАРИИ

Призыв сменить для Казани и Набережных Челнов часовой пояс не находит поддержки

2017-06-20 20:46:53
Мы летом должны жить в летнем времени, нам никчему рассветы ...

Призыв сменить для Казани и Набережных Челнов часовой пояс не находит поддержки

2017-06-20 14:56:03
А ничего, что эта публикация вышла без малого год назад, и ...

Призыв сменить для Казани и Набережных Челнов часовой пояс не находит поддержки

2017-06-20 12:22:24
Проблема заключается в том, что т.н. "московский часовой ...

Призыв сменить для Казани и Набережных Челнов часовой пояс не находит поддержки

2017-06-20 11:26:50
Ты тупой или просто баран?Объясни сюда людям, что изменится ...

Как я зарабатывал на Севере...

2017-06-19 21:28:50
Он все правильно сказал, в норильск как и во всю страну ...

"Зотовы"

2017-06-19 10:59:58
  Уважаемая  Елена!  Если Вы решили учиься - ...

Призыв сменить для Казани и Набережных Челнов часовой пояс не находит поддержки

2017-06-18 17:17:41
Даже с переводом часов на один час назад мы не стали ...

Призыв сменить для Казани и Набережных Челнов часовой пояс не находит поддержки

2017-06-18 17:17:19
21 июля 2014 года был принят Федеральный закон «О ...

Призыв сменить для Казани и Набережных Челнов часовой пояс не находит поддержки

2017-06-16 19:08:01
Этот сайт закроется когда-нибудь? Чего тут старые ...

Призыв сменить для Казани и Набережных Челнов часовой пояс не находит поддержки

2017-06-16 00:50:44
Вы че тут тупите!  темнеет в 10 вечера в середине ...

"Зотовы"

2017-06-15 22:25:20
вам нужно сначала среднюю школу закончить, хотя бы русский ...

Зачем нужны бойлеры в подвалах

2017-06-15 18:47:12
у нас, окозалось, есть бойлерплата за горячую воду ...

Татарстан примет 23400 легальных гастарбайтеров

2017-06-15 07:51:43
Кто сказал, что гатарбайтеры работают, у нас пол деревни ...

К 2050 году нехватка пахотной земли обернется продовольственным кризисом

2017-06-14 20:34:21
А ещё концов света было штук сто уже. И глобальных ...

Рузаль Асадуллин ("29-й комплекс") отдал приказ убить в Москве 2 киллеров, которых наняли для него

2017-06-14 14:28:08
Лана точно знает, как он сидит. Наверное вместе чалится. ...
ОТВЕТЬ НА ВОПРОС!
Должно ли государство платить за медицинскую страховку для безработных?
Логин:
Пароль:
Запомнить меня на этом компьютере
Забыли пароль?
« Регистрация нового пользователя »