Сбер софтверно национализирует банкоматы
Банк отказался от использования вендорских инструментов управления инфраструктурой сети, внедрил онлайн-инструменты мониторинга и восстановления работоспособности устройств самообслуживания. Вся логика работы банкомата и инструменты отражения клиентского и сервисного интерфейса функционируют с помощью разработок Сбера, в том числе на базе решений с открытым кодом.
"Использование только вендорских решений ограничивает возможности конкретного ПО, поэтому мы приняли решение уйти от этой практики, т.к. это не позволяет реализовать максимально эффективные процессы с той скоростью, которая нам требуется, при оптимальной стоимости", - так прокомментировала ComNews предпосылки данного проекта пресс-служба Сбербанка. При этом ранее на всех устройствах использовался фирменный софт NCR и Nautilus (производители банкоматов, терминалов и кассовых аппаратов). ПО последнего поколения устанавливается поверх этих продуктов.
Полностью успешно завершена миграция 14 тыс. устройств электронной очереди на использование собственной сборки Linux. Разработка ПО для банкоматов на базе ядра Linux, как сообщили в пресс-службе Сбера, находится на завершающей стадии. Замена российских разработок, эксплуатируемых в Сбере, не планируется.
"Все системы написаны "с нуля", опираясь на наш опыт и процессы. Фактически у нас получилась программная реализация отечественного отраслевого стандарта по управлению сетью устройств самообслуживания", - сообщили в пресс-службе Сбербанка.
Директор дивизиона "Управление сетью устройств самообслуживания" Сбербанка Константин Подвальный заявил о том, что решение об обеспечении независимости автоматизированных систем для сети банкоматов было принято еще в 2018 году: "Мы планомерно двигались к этому, разрабатывая собственные решения. Поэтому Сбер и оказался готов к вызовам текущего времени. Нам потребовалось кардинально перестроить архитектуру решений и пересмотреть процессы внутри сети. Собственная разработка позволила нам полностью управлять созданием продуктов, достигнуть требуемого уровня надежности и безопасности. В результате мы получили максимальную независимость при обеспечении высокого уровня сервиса в сети устройств самообслуживания".
Пресс-служба Сбербанка выразила готовность предоставить рынку наши решения или сервис по управлению сетью устройств самообслуживания, если у рынка будет такой запрос.
Департамент маркетинга и коммуникаций АО "Россельхозбанк" в ответ на запрос ComNews сообщил, что также планирует разрабатывать ПО собственной разработки для банкоматов. Использовать же сторонние разработки в Россельхозбанке не планируют: "В настоящее время банкоматы РСХБ не подвержены рискам из-за изменения ИТ-ландшафта в России, так как в них используется прикладное ПО отечественные производства одного из российских вендоров, которое полностью соответствует требованиям международных стандартов. Это позволяет гарантировать бесперебойность функционирования сети самообслуживания и своевременно расширять функционал банкоматов для максимального удобства клиентов".
Эксперт "Лаборатории Касперского" Олег Горобец считает, что уровень защищенности устройств зависит от того, насколько качественно написано ПО и насколько вероятна его утечка: "Очевидно, стандартный инструментарий для Windows будет неприменим – но и под Линукс у злоумышленников существуют свои инструменты, которые могут быть эффективны в случае недостаточно высокого уровня защищённости".
В исследовании Positive Technologies "Кибербезопасность 2020-2021" миграция на Windows 10 с прошлых версий названа одной из главных проблем, которая влияет на безопасность банкоматов: "В настоящее время идет переход банковского ПО на новую операционную систему Windows 10. Она обладает бóльшим количеством возможностей по сравнению с предыдущими версиями Windows, и эти возможности увеличивают риск того, что злоумышленник обойдет защиту киоска банкомата и получит доступ к ОС. Как показывает наш опыт, в банкоматах в настоящее время существует небезопасное разграничение доступа к ПО, что позволяет злоумышленнику после получения доступа к ОС устройства и изменения доступных исполняемых файлов выполнять произвольный код, что может привести к выдаче денежных средств или краже персональных данных".
В 2022 году, однако, тенденция сменилась, и злоумышленники, по данным, приведенным в исследовании Positive Research 2022, меньше обращают внимание на платежные карты и банкоматы, но больше уходят в онлайн-мошенничество (кредитный фрод, обход онлайн-проверок, связанных с технологиями onboarding, KYC, AML).
По мнению Олега Горобца, адаптация техник злоумышленников под новое ПО не является невероятной: "Все зависит от ряда факторов, среди которых ключевые – попадание софта в руки злоумышленников и уровень защищённости всего программно-аппаратного комплекса – насколько хорошо продуманы аспекты безопасности сразу при создании сборке и какие киберзащитные решения используются. Есть также вопрос прямого физического воздействия на "железо", когда уже не важно, какая операционная система стоит. Банкомат - достаточно умное "устройство", которое может быть задействовано в ботнетах для DDoS-атак. Вопрос, опять же, в надежности защиты".