10 марта 2022 banki.ru Нехаенко Антон
На протяжении последних десяти лет все большее число российских банков с гордостью заявляли, что они на самом деле IT-компании. Выясняем оборотные стороны этого подхода в условиях санкций.
В IT-отделах российских банков, занимающихся созданием и эксплуатацией «железной» и программной технологической инфраструктуры, горячая пора — технарям приходится постоянно мониторить уход крупных международных поставщиков с рынка. Несмотря на все разговоры об импортозамещении, продукты Microsoft, SAP, Oracle и Cisco до сих пор лежат в основе многих внутренних процессов в российском финансовом секторе. Проданные российским юрлицам продукты снимаются с поддержки (и лишаются обновлений) или вовсе вскоре перестанут работать, а нагрузка на критические системы только повышается — клиенты массово снимают деньги, проводят валютные операции, заменяют карты и постоянно звонят в поддержку.
С телефонной поддержкой связана одна из наиболее трудных ситуаций — вокруг Cisco. Американский производитель телекоммуникационного оборудования занимал в последние годы существенную долю на российском рынке оборудования для кол-центров. Теперь все установленное в России «железо» как минимум осталось без обновлений программного обеспечения, что может негативно сказаться на безопасности кол-центров или просто нарушить их работу, считают опрошенные менеджеры служб поддержки. В этих условиях специалистам служб безопасности придется еще внимательнее следить за возможными отклонениями в работе этих систем. По IT-подразделениям банков уже разошлась инструкция, как отсечь системы производства Cisco от связи с производителем, чтобы исключить их преждевременное отключение.
Уходят с российского рынка поставщики облачных сервисов, в том числе виртуальных серверов, средств защиты от DDoS-атак, инструментов разработки ПО, — AWS, Oracle, VMware и т. д. Это распространенные и популярные системы, с которыми хорошо умеют работать программисты и по которым есть много обучающих материалов. Опрошенные сотрудники банковского IT говорят, что сейчас их отделы бросили все силы на переезд в отечественные «облака», такие как SberCloud и Yandex.Cloud.
Машут рукой на прощание и поставщики привычных всем офисных и дизайнерских решений — Microsoft и Adobe. Для некоторых из них подобрать прямые аналоги непросто, и компании как минимум заменяют продукты, работающие по подписке, на однократные лицензии. В целом банковские айтишники признают, что поиск замены Microsoft Office — один из наиболее болезненных вопросов. О продукте «Мой офис», который с начала 2010-х годов разрабатывался российской компанией «Новые облачные технологии», ни один из пяти опрошенных специалистов не вспомнил.
Ожидая атак, службы безопасности банков проводят кампании оповещений и внеочередные тестирования сотрудников на соблюдение правил работы с IT-инфраструктурой. Такие тесты выявляют, откроет ли сотрудник подозрительную ссылку в письме, знает ли правила обращения с доступами к базам данных и т. д. На какое-то время это мобилизует сотрудников, но по факту срок действенности таких мер непонятен. «Перебарщивать и нагнетать обстановку чревато, — объясняет менеджер по работе с кадрами одного из банков. — Но в целом регулярные тренинги, если они подаются в четкой и доступной форме, безусловно, полезны».
В ситуации, когда приложения российских банков удаляют из AppStore и Google Play, одним из наиболее проблемных моментов могут стать сертификаты безопасности сайтов — они нужны для подтверждения подлинности сайта и шифрования информации между интернет-браузером пользователя и сайтом, например «Клиент-Банком». Их выпускают международные удостоверяющие центры, такие как VeriSign и Thawte, на ограниченный срок. Недавно последний отозвал такой сертификат у сайта ЦБ РФ, и подобные проблемы могут возникнуть у подсанкционных коммерческих банков. Теоретически они могли бы прибегнуть к помощи российского УЦ, но его сертификаты вряд ли будут признаны распространенными браузерами от Apple и Google, а у отечественного «Спутника» пользователей немного.
Можно выпустить и свой сертификат, но в этом случае его придется добавлять в систему или браузер вручную, что под силу лишь продвинутым пользователям. «Если банки запустят массированную кампанию по установке собственных сертификатов, этим могут воспользоваться мошенники и подменить на свой», — предупреждает специалист по информационной безопасности. После этого они смогут получить доступ к обмену информацией между клиентом и банком или подсунуть свою версию «Клиент-Банка».
http://www.banki.ru/ (C)
Не является индивидуальной инвестиционной рекомендацией
При копировании ссылка обязательна Нашли ошибку: выделить и нажать Ctrl+Enter
В IT-отделах российских банков, занимающихся созданием и эксплуатацией «железной» и программной технологической инфраструктуры, горячая пора — технарям приходится постоянно мониторить уход крупных международных поставщиков с рынка. Несмотря на все разговоры об импортозамещении, продукты Microsoft, SAP, Oracle и Cisco до сих пор лежат в основе многих внутренних процессов в российском финансовом секторе. Проданные российским юрлицам продукты снимаются с поддержки (и лишаются обновлений) или вовсе вскоре перестанут работать, а нагрузка на критические системы только повышается — клиенты массово снимают деньги, проводят валютные операции, заменяют карты и постоянно звонят в поддержку.
С телефонной поддержкой связана одна из наиболее трудных ситуаций — вокруг Cisco. Американский производитель телекоммуникационного оборудования занимал в последние годы существенную долю на российском рынке оборудования для кол-центров. Теперь все установленное в России «железо» как минимум осталось без обновлений программного обеспечения, что может негативно сказаться на безопасности кол-центров или просто нарушить их работу, считают опрошенные менеджеры служб поддержки. В этих условиях специалистам служб безопасности придется еще внимательнее следить за возможными отклонениями в работе этих систем. По IT-подразделениям банков уже разошлась инструкция, как отсечь системы производства Cisco от связи с производителем, чтобы исключить их преждевременное отключение.
Уходят с российского рынка поставщики облачных сервисов, в том числе виртуальных серверов, средств защиты от DDoS-атак, инструментов разработки ПО, — AWS, Oracle, VMware и т. д. Это распространенные и популярные системы, с которыми хорошо умеют работать программисты и по которым есть много обучающих материалов. Опрошенные сотрудники банковского IT говорят, что сейчас их отделы бросили все силы на переезд в отечественные «облака», такие как SberCloud и Yandex.Cloud.
Машут рукой на прощание и поставщики привычных всем офисных и дизайнерских решений — Microsoft и Adobe. Для некоторых из них подобрать прямые аналоги непросто, и компании как минимум заменяют продукты, работающие по подписке, на однократные лицензии. В целом банковские айтишники признают, что поиск замены Microsoft Office — один из наиболее болезненных вопросов. О продукте «Мой офис», который с начала 2010-х годов разрабатывался российской компанией «Новые облачные технологии», ни один из пяти опрошенных специалистов не вспомнил.
Ожидая атак, службы безопасности банков проводят кампании оповещений и внеочередные тестирования сотрудников на соблюдение правил работы с IT-инфраструктурой. Такие тесты выявляют, откроет ли сотрудник подозрительную ссылку в письме, знает ли правила обращения с доступами к базам данных и т. д. На какое-то время это мобилизует сотрудников, но по факту срок действенности таких мер непонятен. «Перебарщивать и нагнетать обстановку чревато, — объясняет менеджер по работе с кадрами одного из банков. — Но в целом регулярные тренинги, если они подаются в четкой и доступной форме, безусловно, полезны».
В ситуации, когда приложения российских банков удаляют из AppStore и Google Play, одним из наиболее проблемных моментов могут стать сертификаты безопасности сайтов — они нужны для подтверждения подлинности сайта и шифрования информации между интернет-браузером пользователя и сайтом, например «Клиент-Банком». Их выпускают международные удостоверяющие центры, такие как VeriSign и Thawte, на ограниченный срок. Недавно последний отозвал такой сертификат у сайта ЦБ РФ, и подобные проблемы могут возникнуть у подсанкционных коммерческих банков. Теоретически они могли бы прибегнуть к помощи российского УЦ, но его сертификаты вряд ли будут признаны распространенными браузерами от Apple и Google, а у отечественного «Спутника» пользователей немного.
Можно выпустить и свой сертификат, но в этом случае его придется добавлять в систему или браузер вручную, что под силу лишь продвинутым пользователям. «Если банки запустят массированную кампанию по установке собственных сертификатов, этим могут воспользоваться мошенники и подменить на свой», — предупреждает специалист по информационной безопасности. После этого они смогут получить доступ к обмену информацией между клиентом и банком или подсунуть свою версию «Клиент-Банка».
http://www.banki.ru/ (C)
Не является индивидуальной инвестиционной рекомендацией
При копировании ссылка обязательна Нашли ошибку: выделить и нажать Ctrl+Enter