Архитектор технологического центра Microsoft в России Иван Будылин напомнил изданию, что прекращение поддержки означает отсутствие обновлений безопасности, а использование ОС без таких обновлений чревато рисками потери данных. По правилам российские банки должны по рекомендации Microsoft перейти на OC Windows 10, поскольку работа без техподдержки противоречит требованиям информбезопасности в рамках профильного ГОСТа и нормативных актов Федеральной службы по техническому и экспортному контролю (ФСТЭК). Например, в положении ФСТЭК N 55 указано, что действие выданного сертификата на программное обеспечение прекращается в случае прекращения техподдержки, а положение Центробанка N 382-П обязывает банки использовать только сертифицированное ПО.
Однако опрос "Коммерсанта" показал, что пока российские банки не готовы отказаться от Windows 7 и Windows Server 2008. Так, в некоторых банках сообщили о заключении с Microsoft соглашения о платной поддержке в течение трех лет, но источник издания в Microsoft, назвал это временной мерой, а не альтернативой обновлению ОС.
Представитель "Альфа-банка" сообщили, что переход на новые ОС был завершен осенью прошлого года. Процесс охватил 25 тыс. устройств и продлился около полутора лет, а также потребовал модернизации парка рабочих станций и доработки нескольких систем для совместимости с Windows 10. В ВТБ сообщили, что обновление систем банка идет в плановом режиме.
Согласно данным сервиса Statcounter, в декабре 2019 года доля компьютеров с Windows 7 в России составляла около 32%. По мнению бизнес-консультанта по безопасности компании Cisco Алексея Лукацкого, в банках Windows 7 установлена на 20% компьютеров. По словам управляющего партнера экспертной группы Veta Ильи Жарского, речь идет примерно о 260 тыс. устройств – для обновления этого парка с установкой операционной системы Windows 10 может потребоваться не менее 15 млрд рублей.
Как полагает Лукацкий, компьютер с необновляемой ОС не представляет угрозу информбезопасности, если работает в локальной сети, защищенной антивирусами. В свою очередь руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин заявил, что работать без техподдержки относительно безопасно только до тех пор, пока злоумышленники не найдут в ОС неустраненную уязвимость.
Отметим, что банки не впервые оказались в такой ситуации. В 2015 году Microsoft прекратила техподдержку Windows Server 2003. По словам Лукацкого, тогда ФСТЭК разослала письмо о продлении ранее выданных сертификатов до августа 2017 года, что дало рынку возможность плавно обновить софт.
"На сегодняшний день такого письма нет, и остается надеяться, что в ближайшее время оно появится и снимет часть вопросов", – отметил эксперт, отметив, что без подобного письма у ЦБ есть все юридические основания для привлечения банков к ответственности. В неофициальном разговоре источник издания, близкий к ЦБ, отметил, что для регулятора главное, чтобы у банков был настроен процесс выявления и ликвидации атак-угроз.