МОСКВА, 19 мая — ЦБ РФ предоставил банкам до 1 июля 2021 года отсрочку по выполнению требований к используемому для банковских или финансовых операций программному обеспечению, следует из информационного письма регулятора. Эксперты и банки называют данную меру своевременной и нужной в условиях ограничений из-за коронавируса и уверяют, что она не отразится на безопасности в сфере защиты информации при переводе денежных средств.

Банки должны были с 1 января этого года использовать при проведении финансовых операций сертифицированное прикладное программное обеспечение или программное обеспечение (ПО), прошедшее анализ уязвимости с участием организаций, имеющих соответствующую лицензию. По словам консультанта Центра информационной безопасности компании «Инфосистемы Джет» Александра Бакина, к такому программному обеспечению, например, относятся мобильные банковские приложения и ряд внутренних систем финансовых организаций. Однако ЦБ решил снова предоставить отсрочку на выполнение этого требования.

Так, аналогичное информационное письмо регулятор выпустил 31 декабря 2019 года, в котором говорилось о переносе даты на 1 июля 2020 года. Новым письмом ЦБ перенес сроки еще на год, указал Бакин. Тем временем, адвокат «BMS Law Firm» Александр Иноядов обращает внимание на то, что сами требования сохраняются, а речь идёт только «о временном моратории на применение санкций за их несоблюдение».

ОТРАСЛЬ НЕ ГОТОВА

«Несмотря на то, что данное требование было опубликовано еще в 2018 году с отложенной датой, отрасль оказалась совершенно не готова его выполнять», — отметил Бакин.

По словам директора экспертно-аналитического центра ГК InfoWatch Михаила Смирнова, анализ ПО на отсутствие уязвимостей, реализация в нем новых требований, а затем внедрение – «дело не быстрое», поэтому финансовые организации получили «хороший шанс сделать все спокойно и качественно».

С экспертом согласны и в Промсвязьбанке (ПСБ). «На это, конечно, необходимо время, и Банк России своим решением его банкам дает», — пояснил директор службы информационной безопасности банка Дмитрий Миклухо.

Между тем в пресс-службе ВТБ отметили, что выполнение данных требований зависит не только от кредитных организаций, но и от наличия соответствующего сертифицированного ПО, методик анализа ПО на уязвимости, а также способности лицензиатов проводить такой анализ в требуемые банкам сроки.

«Очевидно, что в период карантинных мер многие процессы по обеспечению выполнения указанных требований существенно замедлились. Поэтому мы считаем предоставленную Банком России отсрочку своевременной и объективно обоснованной», — отметили в ВТБ.

Консультант Центра информационной безопасности компании «Инфосистемы Джет» Бакин утверждает, что перенос срока исполнения данного требования «снимает существенную головную боль» с департаментов информационной безопасности финансовых организаций, а также возможные регуляторные риски с участников рынка.

ОТРАЗИТСЯ ЛИ НА БЕЗОПАСНОСТИ?

«Послабления со стороны регулятора не отразятся на безопасности в сфере защиты информации при переводе денежных средств в худшую сторону. По большому счету, все останется, как было долгие годы, еще на один год», — уверен Бакин.

При этом он отметил, что данное информационное письмо снимает ответственность за невыполнение лишь малой части положений ЦБ РФ в сфере защиты информации, все остальные остаются в силе. В ВТБ также заверили, что снижения безопасности банковских систем не произойдет, так как указанные требования имеют в большей степени «профилактическую направленность».

Руководитель службы безопасности «РГС Банка» Валерий Антонов заверил, что на текущий момент банк соблюдает все необходимые требования ЦБ к защите информации при переводе денежных средств.

Ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов уверен, что банки сейчас «очень ответственно походят к кибербезопасности, поэтому смогут оценить возникающие риски и минимизировать их».