На протяжении последних десяти лет все большее число российских банков с гордостью заявляли, что они на самом деле IT-компании. Выясняем оборотные стороны этого подхода в условиях санкций.
В IT-отделах российских банков, занимающихся созданием и эксплуатацией «железной» и программной технологической инфраструктуры, горячая пора — технарям приходится постоянно мониторить уход крупных международных поставщиков с рынка. Несмотря на все разговоры об импортозамещении, продукты Microsoft, SAP, Oracle и Cisco до сих пор лежат в основе многих внутренних процессов в российском финансовом секторе. Проданные российским юрлицам продукты снимаются с поддержки (и лишаются обновлений) или вовсе вскоре перестанут работать, а нагрузка на критические системы только повышается — клиенты массово снимают деньги, проводят валютные операции, заменяют карты и постоянно звонят в поддержку.
Cisco: телефонная горячая линия и не только
С телефонной поддержкой связана одна из наиболее трудных ситуаций — вокруг Cisco. Американский производитель телекоммуникационного оборудования занимал в последние годы существенную долю на российском рынке оборудования для кол-центров.Теперь все установленное в России «железо», как минимум, осталось без обновлений программного обеспечения, что может негативно сказаться на безопасности кол-центров или просто нарушить их работу, считают опрошенные менеджеры служб поддержки. В этих условиях специалистам служб безопасности придется еще внимательнее следить за возможными отклонениями в работе этих систем.
По IT-подразделениям банков уже разошлась инструкция, как отсечь системы производства Cisco от связи с производителем, чтобы исключить их преждевременное отключение.
AWS, Oracle, VMware: облачные сервисы банков
Уходят с российского рынка поставщики облачных сервисов, в том числе виртуальных серверов, средств защиты от DDoS-атак, инструментов разработки ПО, — AWS, Oracle, VMware и т. д. Это распространенные и популярные системы, с которыми хорошо умеют работать программисты и по которым есть много обучающих материалов.Опрошенные сотрудники банковского IT говорят, что сейчас их отделы бросили все силы на переезд в отечественные «облака», такие как SberCloud и Yandex.Cloud.
Microsoft и Adobe: офисные программы
Машут рукой на прощание и поставщики привычных всем офисных и дизайнерских решений — Microsoft и Adobe. Для некоторых из них подобрать прямые аналоги непросто, и компании как минимум заменяют продукты, работающие по подписке, на однократные лицензии.В целом банковские айтишники признают, что поиск замены Microsoft Office — один из наиболее болезненных вопросов. О продукте «Мой офис», который с начала 2010-х годов разрабатывался российской компанией «Новые облачные технологии», ни один из пяти опрошенных специалистов не вспомнил.
Защита от мошенников
Ожидая атак, службы безопасности банков проводят кампании оповещений и внеочередные тестирования сотрудников на соблюдение правил работы с IT-инфраструктурой. Такие тесты выявляют, откроет ли сотрудник подозрительную ссылку в письме, знает ли правила обращения с доступами к базам данных и т. д.«Перебарщивать и нагнетать обстановку чревато, — объясняет менеджер по работе с кадрами одного из банков. — Но в целом регулярные тренинги, если они подаются в четкой и доступной форме, безусловно, полезны».На какое-то время это мобилизует сотрудников, но по факту срок действенности таких мер непонятен.
Сертификаты безопасности
В ситуации, когда приложения российских банков удаляют из AppStore и Google Play, одним из наиболее проблемных моментов могут стать сертификаты безопасности сайтов — они нужны для подтверждения подлинности сайта и шифрования информации между интернет-браузером пользователя и сайтом, например «Клиент-Банком». Их выпускают международные удостоверяющие центры, такие как VeriSign и Thawte, на ограниченный срок.Теоретически они могли бы прибегнуть к помощи российского УЦ, но его сертификаты вряд ли будут признаны распространенными браузерами от Apple и Google, а у отечественного «Спутника» пользователей немного. Можно выпустить и свой сертификат, но в этом случае его придется добавлять в систему или браузер вручную, что под силу лишь продвинутым пользователям.Недавно последний отозвал такой сертификат у сайта ЦБ, подобные проблемы могут возникнуть у подсанкционных коммерческих банков.
«Если банки запустят массированную кампанию по установке собственных сертификатов, этим могут воспользоваться мошенники и подменить на свой, — предупреждает специалист по информационной безопасности. — После этого они смогут получить доступ к обмену информацией между клиентом и банком или подсунуть свою версию „Клиент-Банка“».
Для просмотра ссылки необходимо нажать
Вход или Регистрация