МОСКВА, 18 апр - Прайм. Банк России поясним банкам, как минимизировать риски, связанные с выявленной уязвимостью в программном обеспечении OpenSSL, обеспечивающем безопасность передачи данных.
"Банк России информирует о выявлении в свободном программном обеспечении OpenSSL, предназначенном для криптографической защиты информации с использованием протокола Secure Sockets Layer (SSL), уязвимости, получившей название Heartbleed. Уязвимость позволяет осуществить несанкционированный доступ к используемым ключам шифрования, а также к зашифрованным данным, передающимся при использовании сайтов в сети интернет, в том числе систем интернет-банкинга", - говорится в сообщении регулятора.
ЦБ рекомендует банкам обновить программное обеспечение OpenSSL до актуальной версии, провести смену криптографических ключей в порядке, определенном в положении 382-П, а также довести до клиентов информацию о рекомендуемых мерах по снижению возможных рисков.
Протокол OpenSSL используют веб-сайты по всему миру, работающие с информацией, которая должна быть защищена. Это не только банковские сайты, но также социальные сети, электронная почта и другие сайты, на которых пользователи вводят персональные данные, пароли, номера банковских карт. В начале апреля в последнем релизе протокола была обнаружена критическая уязвимость, позволяющая сторонним лицам получать доступ к конфиденциальной информации.
БАНКИ И УЯЗВИМОСТЬ
На прошлой неделе Райффайзенбанк рекомендовал клиентам сменить пароли на доступ в интернет-банк из-за серьезной уязвимости в криптографическом пакете OpenSSL. Пресс-служба банка сообщила РИА Новости, что OpenSSL является широко используемой сторонней разработкой. "Инцидент коснулся как минимум 10 крупных российских банков", - отметили в Райффайзенбанке.
Начальник управления развития технологий дистанционных сервисов и продаж ХКФ Банка Илья Боровов заявил, что ХКФ для его клиентов опасности нет. "Мы используем многоступенчатую систему защиты и своевременно отказались от использования пакета OpenSSL", - заверил он.
В свою очередь, в "ВТБ 24" заявили, что все узлы, которые банк использует по системе OpenSSL, были проверены. "Никаких уязвимостей не выявлено", - подчеркнул официальный представитель второго по величине розничного банка РФ.
В ТКС Банке , одном из лидеров на российском рынке кредитных карт, отметили, что изначально не были подвержены уязвимости Heartbleed, поскольку банк не использовал поддержку технологии Heartbeat протокола SSL ни в одной из систем, взаимодействующих с клиентами и клиентскими данными.