Сбер софтверно национализирует банкоматы

Банк отказался от использования вендорских инструментов управления инфраструктурой сети, внедрил онлайн-инструменты мониторинга и восстановления работоспособности устройств самообслуживания. Вся логика работы банкомата и инструменты отражения клиентского и сервисного интерфейса функционируют с помощью разработок Сбера, в том числе на базе решений с открытым кодом.

"Использование только вендорских решений ограничивает возможности конкретного ПО, поэтому мы приняли решение уйти от этой практики, т.к. это не позволяет реализовать максимально эффективные процессы с той скоростью, которая нам требуется, при оптимальной стоимости", - так прокомментировала ComNews предпосылки данного проекта пресс-служба Сбербанка. Но при этом разработки предыдущего поколения ПО в разных форматах установлены на всех устройствах. ПО последнего поколения устанавливаются на целевые рецеркуляторы Nautilus и NCR.

Полностью успешно завершена миграция 14 тыс. устройств электронной очереди на использование собственной сборки Linux. Разработка ПО для банкоматов на базе ядра Linux, как сообщили в пресс-службе Сбера, находится на завершающей стадии. Замена российских разработок, эксплуатируемых в Сбере, не планируется.

"Все системы написаны "с нуля", опираясь на наш опыт и процессы. Фактически у нас получилась программная реализация отечественного отраслевого стандарта по управлению сетью устройств самообслуживания", - сообщили в пресс-службе Сбербанка.

Директор дивизиона "Управление сетью устройств самообслуживания" Сбербанка Константин Подвальный заявил о том, что решение об обеспечении независимости автоматизированных систем для сети банкоматов было принято еще в 2018 году: "Мы планомерно двигались к этому, разрабатывая собственные решения. Поэтому Сбер и оказался готов к вызовам текущего времени. Нам потребовалось кардинально перестроить архитектуру решений и пересмотреть процессы внутри сети. Собственная разработка позволила нам полностью управлять созданием продуктов, достигнуть требуемого уровня надежности и безопасности. В результате мы получили максимальную независимость при обеспечении высокого уровня сервиса в сети устройств самообслуживания".

Пресс-служба Сбербанка выразила готовность предоставить рынку наши решения или сервис по управлению сетью устройств самообслуживания, если у рынка будет такой запрос.

Департамент маркетинга и коммуникаций АО "Россельхозбанк" в ответ на запрос ComNews сообщил, что также планирует разрабатывать ПО собственной разработки для банкоматов. Использовать же сторонние разработки в Россельхозбанке не планируют: "В настоящее время банкоматы РСХБ не подвержены рискам из-за изменения ИТ-ландшафта в России, так как в них используется прикладное ПО отечественные производства одного из российских вендоров, которое полностью соответствует требованиям международных стандартов. Это позволяет гарантировать бесперебойность функционирования сети самообслуживания и своевременно расширять функционал банкоматов для максимального удобства клиентов".

Эксперт "Лаборатории Касперского" Олег Горобец считает, что уровень защищенности устройств зависит от того, насколько качественно написано ПО и насколько вероятна его утечка: "Очевидно, стандартный инструментарий для Windows будет неприменим – но и под Линукс у злоумышленников существуют свои инструменты, которые могут быть эффективны в случае недостаточно высокого уровня защищённости".

В исследовании Positive Technologies "Кибербезопасность 2020-2021" миграция на Windows 10 с прошлых версий названа одной из главных проблем, которая влияет на безопасность банкоматов: "В настоящее время идет переход банковского ПО на новую операционную систему Windows 10. Она обладает бóльшим количеством возможностей по сравнению с предыдущими версиями Windows, и эти возможности увеличивают риск того, что злоумышленник обойдет защиту киоска банкомата и получит доступ к ОС. Как показывает наш опыт, в банкоматах в настоящее время существует небезопасное разграничение доступа к ПО, что позволяет злоумышленнику после получения доступа к ОС устройства и изменения доступных исполняемых файлов выполнять произвольный код, что может привести к выдаче денежных средств или краже персональных данных".

В 2022 году, однако, тенденция сменилась, и злоумышленники, по данным, приведенным в исследовании Positive Research 2022, меньше обращают внимание на платежные карты и банкоматы, но больше уходят в онлайн-мошенничество (кредитный фрод, обход онлайн-проверок, связанных с технологиями onboarding, KYC, AML).

По мнению Олега Горобца, адаптация техник злоумышленников под новое ПО не является невероятной: "Все зависит от ряда факторов, среди которых ключевые – попадание софта в руки злоумышленников и уровень защищённости всего программно-аппаратного комплекса – насколько хорошо продуманы аспекты безопасности сразу при создании сборке и какие киберзащитные решения используются. Есть также вопрос прямого физического воздействия на "железо", когда уже не важно, какая операционная система стоит. Банкомат - достаточно умное "устройство", которое может быть задействовано в ботнетах для DDoS-атак. Вопрос, опять же, в надежности защиты".

Яков Шпунт