Прекращение поддержки Windows 7 - серьезный вызов для банкоматного бизнеса?
Недавно одна известная европейская корпорация в области банковских технологий в своем пресс-релизе подняла проблему, с которой может столкнуться банковская индустрия в 2020 году. Речь идет о том, что Microsoft перестанет поддерживать Windows7 и прекратит выпуск обновлений для банкоматов, работающих на данной операционной системе.
Авторы релиза приходят к следующему выводу: если банк действительно заботится о безопасности данных, ему предстоит обновить парк банкоматов, установив на все устройства под управлением Windows7 новую операционную систему. Насколько они правы? Портал PLUSworld.ru предложил экспертам банкоматного рынка поделиться своим взглядом на ситуацию и оценить серьезность проблемы.
По мнению Дениса Черновасиленко, начальника отдела технической поддержки и ремонта ЗИП компании «АТМ АЛЬЯНС», вопрос безопасности банкоматов намного глобальней, чем состояние операционной системы на нем, точнее, ее замена – лишь одна из многочисленных мер, причем далеко не самая важная. Подобная ситуация уже была с Windows XP, напоминает эксперт.
«Операционная система применительно к банкоматам исполняет больше роль платформы-носителя для технико-программного комплекса вендора, за счет которого и достигается основной уровень необходимой защиты. Говоря иначе, операционная система – это далеко не первая ступень защиты. Сама по себе операционная система Windows в данном случае является только «несущей» частью, необходимой основой для работы комплекса аппаратных и программных решений на отдельно взятой модели банкомата. Выбор той или иной версии операционной системы на банкомате целиком зависит от мощности установленного системного блока – его процессора, оперативной памяти и прочего. Есть практика апгрейдов, когда можно на одной и той же модели банкомата развернуть банковский софт на основе Windows 7 взамен Windows XP и т. д. Но это совсем другая история».
«Знаменитые и надежные устройства серии Personas и SelfServ банкоматов NCR или Procash от Wincor Nixdorf и по сей день в подавляющем своем большинстве работают под управлением даже не Windows 7, а Windows XP. Другое дело, что различные средства противодействия, критично не зависящие от версии операционной системы для этих же устройств, не перестают совершенствоваться и на старых поколениях. Примером аппаратного решения защиты может служить устройство под названием ATM Keeper (линейка NCR) – отдельное устройство, которое шифрует данные в канале связи между системным блоком и диспенсером, противодействующее атакам типа «black box», несанкционированной выдачи наличности, инициируемой злоумышленниками.
В итоге производитель банкомата всегда сам понимает все риски и знает уязвимые места, которые могут иметь место в зависимости от эксплуатируемой ОС. Вендоры, со своей стороны, всегда держат ситуацию под контролем в части совершенствования уже своего собственного программного обеспечения, которое и управляет основной работой банкомата, с учетом известных «узких мест» Windows. На самом деле благодаря их программным решениям, ОС Windows в банкомате очень строго «зажата» в скриптах программ, отвечающих за безопасность. Эта не та версия «операционки», которая известна широкому кругу пользователей. Как правило это очень сильно урезанная версия системы Embedded, которая, кстати, через платные контракты может поддерживаться и дольше повсеместно используемых вариантов Windows.
Если мы говорим об обеспечении безопасности банкомата в целом, то это строго регламентированные и технически сложные меры, о соблюдении которых необходимо в первую очередь озаботиться. Например, убедиться в том, что везде по маршруту данных установлены устройства шифрования, проверить системный блок – диспенсер, разобраться с вопросами видеонаблюдения и условиями охраны объектов, выявить особо рискованные единицы УС и все-таки поставить на них комплект кассет с функцией автоматического окрашивания купюр специальной несмываемой краской при попытке физического взлома (данной мерой из-за экономии многие пренебрегают) и т. д. Возможно, стоит выбирать самые новые решения от производителей банкоматов, где объективно меры безопасности шагнули далеко вперед. Но и старые, проверенные временем поколения, рано сбрасывать со счетов».
Подводя итог, Д. Черновасиленко считает, что поддержка операционной системы со стороны разработчика является важным залогом того, что многие ее недочеты будут устранены. Которые, в первую очередь, могут нести общий характер, касаясь проблемы безопасности банкомата лишь косвенно. «Банкомат и так физически достаточно защищен. Куда важнее чтобы специальные средства защиты были установлены по регламенту. А пока, как показывает практика, прекращение поддержки Windows еще не повлекло за собой резонансной волны успешных преступлений», – считает эксперт.
По мнению Сергея Юдина, технического директора отдела сервисного обслуживания банкоматов «АТМ АЛЬЯНС», «о проблемах с безопасностью на фоне прекращения поддержки Windows7 говорить пока рано. Не всегда безопасность зависит только от самой операционной системы, все работает в совокупности – антивирусы, файерволы, другие внутренние протоколы банка. Поддержка банкоматов на Windows XP прекратилась 8 апреля 2014 года, а менять операционную систему банки начали только в прошлом году. Windows7 постигнет та же участь. Процесс будет происходить постепенно, разработчики банковского ПО будут создавать различные дополнительные патчи под Windows 7, как это было с Windows XP, во избежание массовой смены операционной системы. Обусловлено это тем, что переход занимает не только много времени, но и требует значительных финансовых затрат. Также процесс обновления на Windows 10 не пройдет легко, обязательно будет процесс обкатки и создания протоколов банка именно под эту операционную систему».
Как отмечает Алексей Каминский, директор по продажам банковского департамента компании Diebold Nixdorf, «14 января 2020 года компанией Microsoft действительно будет официально завершён период поддержки операционной системы (ОС) Widows 7[1]. Это означает, что обновления системы безопасности данной ОС, в том числе и для критических системных уязвимостей, более не будут выпускаться ее производителем.
Безусловно, такая ситуация может послужить причиной репутационных и финансовых рисков для банков-заказчиков, на банкоматах которых установлены устаревшие версии ОС. В случае использования на устройстве самообслуживания (УС) злоумышленниками вредоносного кода, который эксплуатирует уязвимости устаревших версий ОС, не получающих обновления системы безопасности, возможна кража не только персональных данных, но и финансовых средств розничных клиентов банка.
Более того, использование неактуальных версий ОС означает несоответствие требованиям Payment Card Industry Data Security Standard (PCI DSS) – стандарта безопасности данных индустрии платежных карт, обязательного к исполнению на банкоматах и терминальных устройствах, работающих с картами МПС Visa, Masterсard, American Express, JCB, Discover и НСПК. А это требование критично и несоответствие ему может грозить банку штрафными санкциями со стороны МПС.
В качестве компенсационных мер компания Microsoft предлагает воспользоваться программой ESU (Extended Security Updates, расширенная поддержка системы безопасности), которая призвана пролонгировать срок использования ОС Windows7 до января 2023 года при условии ежегодной оплаты программы ESU для каждой лицензии ОС. Однако данная программа не отменяет необходимость миграции на ОС Windows10, а лишь позволяет отсрочить финальную дату неизбежного перехода.
В случае, если по каким-либо причинам УС банка не готовы к переходу на Windows10, возможно использование альтернативных мер, таких как установка антивирусного ПО, для которого, впрочем, требуется регулярное обновление сигнатур вредоносного кода, что крайне непросто выполнить в случае разветвленной банкоматной сети. Компания Diebold Nixdorf рекомендует использование пакета ПО Vynamic Security, разработанного специально для использования на банкоматах и не требующего обновления. Это специализированный пакет программных решений позволяет защитить банкоматы от информационных угроз и обеспечить соответствие требованиям PCI DSS даже при условии отсутствия обновлений ОС – как на переходный период, так и впоследствии.
Однако, конечно же, переход на Windows10 – актуальную ОС, поддерживаемую производителем, необходим и неизбежен – как и любое светлое будущее!
По материалам PLUSworld.ru
[1] https://support.microsoft.com/en-us/help/4057281/windows-7-support-will-end-on-january-14-2020