Прекращение поддержки Windows 7 грозит проблемами российским банкам

"КоммерсантЪ " напоминает, что с 14 января Microsoft прекратила техническую поддержку Windows 7 и Windows Server 2008. Как пояснил “Ъ” архитектор технологического центра Microsoft в России Иван Будылин, это означает отсутствие обновлений безопасности, а использование операционной системы без установки обновлений ведет к существенным рискам потери данных.

Де-юре это означает, что банки обязаны оперативно перейти на Windows 10, так как работа без техподдержки противоречит требованиям информбезопасности в рамках профильного ГОСТа и нормативных актов Федеральной службы по техническому и экспортному контролю (ФСТЭК).

В частности, в положении ФСТЭК №55 указано, что действие выданного сертификата на программное обеспечение прекращается в случае прекращения техподдержки, а согласно положению ЦБ №382-П, банки обязаны использовать только сертифицированное ПО.

Российские банки пока не готовы полностью отказаться от Windows 7 и Windows Server 2008, показал опрос “Ъ”.

Часть банков отметили, что заключили с Microsoft соглашение о платной дополнительной поддержке Windows 7 (EAS). Однако, как пояснил “Ъ” собеседник в Microsoft, предлагаемая платная поддержка — не альтернатива обновлению операционной системы, а временная мера.

По данным сервиса Statcounter, по состоянию на декабрь 2019 года доля компьютеров с Windows 7 в России составляла около 32%. По оценке бизнес-консультанта по безопасности Cisco Алексея Лукацкого, соотношение в российских банках ниже — примерно на каждом пятом компьютере установлена Windows 7. По оценке управляющего партнера экспертной группы Veta Ильи Жарского, данные Росстата о количестве работающих в финансовой отрасли (1,3 млн человек) соответствуют в первом приближении числу установленных компьютеров. Для обновления 20% этого парка с установкой операционной системы Windows 10 может потребоваться не менее 15 млрд руб. (с учетом того, что каждая единица техники обойдет не менее чем в $1 тыс., и скидки за объем).

По мнению Алексея Лукацкого, компьютер с необновляемой ОС не несет серьезных рисков информбезопасности, если работает в локальной сети, защищенной антивирусами и т. д. Впрочем, руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин уверен, что работать без техподдержки относительно безопасно только до тех пор, пока злоумышленники не находят в ней неустраненную уязвимость.

Вместе с тем, когда в 2015 году была прекращена техподдержка Windows Server 2003, ФСТЭК выпустила письмо о продлении ранее выданных сертификатов до августа 2017 года. Это дало рынку возможность плавно пройти обновление. «На сегодняшний день такого письма нет, и остается надеяться, что в ближайшее время оно появится и снимет часть вопросов»,— отметил Алексей Лукацкий. Сейчас у регулятора есть все юридические основания привлечь к ответственности банк за отсутствие обновлений. 

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!