Отмена Microsoft поддержки операционных систем Windows 7 и Windows Server 2008 ставит в затруднительное положение российские банки: не все из них успели перейти на Windows 10, а работа с программами без техподдержки считается нарушением требований информационной безопасности, пишет «Коммерсант».
Что случилось
Microsoft во вторник официально прекратила технически обеспечивать свои устаревшие ОС — теперь они не будут получать обновления безопасности и не смогут восстанавливать данные при потере. Это означает, что теперь банки, работающие с этими операционными системами (по оценке экспертов, таких в России от трети до 20%), должны быстро перейти на новое программное обеспечение, иначе они будут нарушать закон РФ — работать без техподдержки запрещает Федеральная служба по техническому и экспортному контролю (ФСТЭК).
- Среди нескольких опрошенных изданием банков полный переход на Windows 10 завершил только Альфа-банк. В ВТБ сказали, что банку необходимы «временные и финансовые затраты на апгрейд оборудования и информационных систем», и заявили, что обновление идет не в экстренном, а в плановом режиме.
- Если взять оценку бизнес-консультанта по безопасности Cisco Алексея Лукацкого, что каждый пятый компьютер в банковской сфере работает на Windows 7, то переустановка их всех на новое обеспечение может обойтись в 15 млрд рублей.
Что важно знать
По поводу того, насколько действительно небезопасно работать на ОС без обновлений, мнения экспертов расходятся: Лукацкий считает, что при установке антивирусов серьезных рисков нет, а руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин говорит о том, что такая ОС безопасна до тех пор, пока злоумышленники не находят в ней неустраненную уязвимость.
В 2015 году Windows уже прекращала обеспечивать другую свою систему — Windows Server 2003. Тогда ФСТЭК выпустила письмо о двухлетней отсрочке перехода на новую операционку для банков, что дало им возможность плавно пройти обновление.
Что дальше
Теперь банковский сектор ждет разъяснений от ФСТЭК и ЦБ — регулятор по закону может привлечь к ответственности банк за отсутствие обновлений. ЦБ в последнее время уделяет кибербезопасности повышенное внимание — летом регулятор выпустил специальный доклад со статистикой в сфере финансового мошенничества и рекомендациями по защите от него (о нем мы писали здесь).