ЦБ требует от банков отчитаться об использовании VPN по электронной почте — «Ъ»

Банк России требует от российских кредитных организаций отчитаться об использовании VPN — сообщает «Коммерсантъ» со ссылкой на источники. При этом, банки будут обязаны собрать отчёт в таблицу и отправить по имейлу. Специалисты считают это небезопасным.

Ранее с подобными требованиями к финорганизациям выступили в Минцифры РФ. В ноябре «Ведомости» сообщали, что правительство потребовало от «Роскосмоса», «Ростеха», «Газпрома», Сбербанка, ВТБ, «Альфа-банка» и других предоставить информацию об использовании VPN. В обращении говорилось что информацию собирают для «получения актуальных данных об используемых российскими компаниями протоколах, технологиях и сервисах VPN».

По данным «Ъ», такие запросы начались ещё в 2021 году. Сообщалось, что на основании собранных данных Роскомнадзор решает, какие сервисы блокировать, а какие — нет. Отмечалось, что внутри России подобные услуги оказывали только HideMy.name, «Лаборатория Касперского», S-terra и «Ростелеком». Последние недоступны для частных пользователей, а HideMy.name подвергался блокировке властями.

Журналисты выяснили, что позавчера ЦБ направил российским банкам письмо, в котором потребовал до 2 июня отчитаться перед Роскомнадзором «об использовании для автоматизации технологических процессов VPN-протоколов». Выяснилось, что кредитные организации должны собрать таблицу в Excel и направить её имейлом.

Специалисты по кибербезопасности считают электронную почту уязвимой. Одной из главных проблем называют отсутствие достаточно сильного алгоритма шифрования, который сделал бы данные из писем устойчивыми к взлому.

Опрошенные «Ъ» эксперты сказали, что передача подобных чувствительных данных по электронной почте «несёт высокие риски». Отмечается, что VPN используется даже для передачи сообщений SWIFT, а также в работе банкоматов и обменных пунктов. Если хакеры взломают имейлы и выяснят, какими сервисами пользуются банки, они смогут атаковать соответствующие IP-адреса, что приведёт к сбоям в работе. Если атака продлится достаточно долго, ЦБ может снизить оценку соответствующего банка.

«Если данные утекут, то у злоумышленников окажется информация об IP-адресах VPN-серверов допофисов банка <..> в связи с чем возрастает риск DDoS-атак на них. Если у отделения автоматизированная банковская система (АБС) не своя, а центрального офиса и хакеры начнут атаковать этот офис, он “ляжет”, и клиенты этого допофиса останутся без банковских услуг <..> Согласно нормативам, сервисы банков не могут “лежать” дольше определенного времени, иначе это негативно повлияет на оценку банка регулятором», — рассказали собеседники издания.

В конце марта СМИ писали, что блокировать западные ресурсы российским властям помогают китайские специалисты. В декабре прошлого года в России за неделю заблокировали рекордное количество сайтов со времён протестов в поддержку Навального