Главная » Банки » ЦБ изменит порядок проведения платежей

ЦБ изменит порядок проведения платежей

ЦБ разослал руководителям IT-отделов банков письмо, в котором попросил до 10 февраля оценить, в какие сроки они могут внедрить шифрование платежей, направляемых в платежную систему Банка России, на уровне автоматизированной банковской системы (АБС). Большинство атак происходит при передаче данных внутри банка, поэтому регулятор предлагает шифровать раньше — сразу после формирования реестров, пишет «Коммерсант».

«По нашему мнению, это усложнит для злоумышленников условия атак и снизит уровень хищений, — пояснили в пресс-службе ЦБ. — Мера предлагается на основе анализа фактов хищений денежных средств у коммерческих банков и учитывает мировой опыт и современные тенденции. Именно такая практика применяется почти во всех крупных платежных системах».

Хищения, которые упоминает ЦБ, — атаки на банки в конце 2015 — начале 2016 года. По данным регулятора, тогда хакеры пытались вывести 2,87 млрд рублей, предотвратить удалось хищение 1,67 млрд. Атаки совершались при передаче данных из АБС в АРМ КБР внутри банка.

ЦБ: хакеры пытались похитить из российских банков с IV квартала 2015 года 2,87 млрд рублей

Хакеры с IV квартала 2015 года пытались похитить из российских банков 2,87 млрд рублей. При этом реальные потери банковской системы составили менее 1,5 млрд рублей. Об этом сообщил в среду консультант Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере ГУБиЗИ Банка России Александр Чебарь.

Фактически ЦБ предлагает шифровать платежи на более раннем этапе. «Сейчас основная проблема заключается в нарушении некоторыми банками рекомендаций ЦБ, по которым АРМ КБР должно быть полностью изолировано от остальной сети банка и данные должны переноситься на него с помощью защищенных съемных носителей, — поясняет аналитик центра мониторинга и противодействия кибератакам Solar JSOC Алексей Павлов. — При отправке реестров часто используют промежуточную папку на файловом сервере корпоративной сети банка. Именно в этом месте хакеры и подменяют файл с реестрами».

В результате в АРМ КБР приходят уже частично или полностью фиктивные данные, которые шифруются и уходят в ЦБ. Выявить фиктивный платеж в зашифрованном виде невозможно. Если же шифровать реестры сразу в АБС, то возможности подменить их фиктивными по пути к АРМ КБР не будет.

В опрошенных банках сообщили, что пока только оценивают сроки и возможную стоимость внедрения новации. Сейчас в АБС возможность шифрования реестров платежей не предусмотрена. «Необходимость реализации данной функции ляжет на производителя конкретной АБС, а банку в техническом отношении придется проводить масштабное обновление», — отмечает Павлов. При этом, по словам специалиста по криптозащите одной из крупных фирм, решения под ключ не соответствуют всем требованиям законодательства о криптозащите, необходимо подключать специалистов, имеющих специальную лицензию ФСБ, и минимум год времени на внедрение. В итоге обойдется эта новинка банку в несколько миллионов рублей, заключает эксперт.

«Банк России обсуждает с участниками рынка сроки внедрения систем шифрования в АБС с целью определения комфортного переходного периода», — заверили в ЦБ.

Банкиры официально комментировать инициативу ЦБ не хотят, поскольку в основном относятся к ней негативно. Впрочем, есть и те, кто считает, что идея ЦБ может повысить безопасность платежей.

Источник

НЕВЫЛЕТ.РФ - Онлайн сервис проверки всех долгов