Представители финансовых организаций негативно отнеслись к новым требованиям Банка России передавать информацию об использовании VPN в Роскомнадзор по незащищённому каналу — электронной почте.
Как отмечают специалисты по информационной безопасности, в этом случае велики риски утечки чувствительных данных, что может привести к массированным DDoS-атакам. По мнению экспертов, подобные данные необходимо передавать через защищённые каналы связи ЦБ РФ, пишет «Коммерсант».
Кредитные организации должны до 2 июня направить в Роскомнадзор информацию «об использовании для автоматизации технологических процессов VPN-протоколов», следует из письма ЦБ РФ, с которым ознакомилось издание. Это делается «для исключения рисков функционирования отраслевых информационных систем», указано в документе.
В октябре прошлого года Минцифры попросило банки и госкорпорации отчитаться об использовании VPN. Это исследование нужно на случай, если такие сервисы перестанут работать в России. Эксперты связывали требования с планами блокировки VPN в стране.
Специалисты по ИБ в банках уверены, что передача подобных чувствительных данных по электронной почте несёт высокие риски. Если данные утекут, то у злоумышленников окажется информация об IP-адресах VPN-серверов допофисов банка, в связи с чем возрастает риск DDoS-атак на них, подчеркнул один из экспертов «Комменсанта». С использованием VPN работают, в частности, система передачи информации SWIFT, банкоматы, обменные пункты. Согласно нормативам, сервисы банков не могут «лежать» дольше определённого времени (обычно не более нескольких часов), иначе это негативно повлияет на оценку банка регулятором.
Для Банка России такое отношение к безопасности передаваемых данных довольно редкий случай. В то же время независимые специалисты считают, что в данном случае риски не слишком велики. В любом случае эксперты призывают использовать для обмена данными безопасные каналы связи.
В Центробанке отказались комментировать возможность передачи данных по защищённым каналам. В Роскомнадзоре также не стали отвечать на вопросы журналистов.
