КЕЙСЫ
 

Обновление и продление поддержки Windows на банкоматах, платежных киосках и кассах

Почему в 2020 году многие банки и торговые сети начали массово обновлять устройства самообслуживания, ККМ и операционные системы? Как сориентироваться в многообразии ОС и вариантах обновлений? Как сэкономить на обновлении и не платить дважды? Кто и как должен обновить программное обеспечение на банкоматах и прочих устройствах? Что делать, если ОС обновить невозможно технически? На эти и другие вопросы отвечают Валерий Дробышевский, директор департамента IoT компании «Кварта Технологии», и Дмитрий Ахтанин, руководитель направления по развитию ПО и решений по безопасности, «ЛАН АТМсервис» (входит в группу ЛАНИТ).
Валерий Дробышевский
Директор департамента IoT компании «Кварта Технологии»
Дмитрий Ахтанин
Руководитель направления по развитию ПО и решений по безопасности, «ЛАН АТМсервис»
В начале 2020 года произошло важное событие, отразившееся на функционировании устройств как в банковском, так и в других секторах, — окончание поддержки Windows 7 корпорацией Microsoft. Оно породило волну задач, связанных с обновлением не только операционной системы, но и зачастую всего парка устаревших устройств самообслуживания и ККМ. Таким образом, окончание поддержки Windows 7 «подтолкнуло» процессы естественной модернизации оборудования.

Для того чтобы понять, что это значит для индустрии «умных» устройств, нужно сказать несколько слов о том, что, собственно, представляет собой «поддержка Microsoft».
В чем польза обновлений?

Все мы пользуемся обновлениями. Почти каждый регулярно скачивает обновления для наших мобильных устройств, так как мы знаем — производитель закрыл уязвимости, которые хакеры ищут беспрестанно в сложном коде операционных систем, прошивок и драйверов, а мы не хотим, чтобы нашим банковским приложением воспользовался мошенник, или наши персональные данные и фотографии попали в чужие руки. Кроме того, обновления привносят и новые полезные функции, а также исправления ошибок в коде и обновления встроенного антивирусного ПО. Обновления выходят регулярно, закрывая те уязвимости, которые найдены на сегодняшний день, а иногда — вне очереди, если обнаружена критическая уязвимость.

Для финансовой сферы вопрос обеспечения максимальной защищенности устройств особенно критичен, поскольку касается вполне реальной сущности — денег. Да и в других сферах, таких как ритейл, безопасность, автоматизация, государственные сервисы и так далее, обеспечение защиты устройств всегда было первоочередной задачей.

Кроме безопасности, есть еще три важных момента — соответствие регламентам, поддержка новейшего оборудования и новых функциональных возможностей оборудования.
Регламенты у каждой индустрии свои. В банковской сфере это, например, «Стандарт безопасности данных в индустрии платежных карт» (PSI DSS): «На все системы должны быть установлены все надлежащие обновления ПО, чтобы защититься от эксплуатации уязвимостей и от компрометации данных о держателях карт» (Требование 6 стандарта PCI DSS). Также есть требования Международной платежной системы VISA, чтобы все обновляемые или устанавливаемые в России после 18 апреля 2020 года банкоматы принимали бесконтактные карты и устройства.

В отраслях, работающих с персональными данными, применяется Закон о безопасности персональных данных 152-ФЗ: «Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации» (Приказ ФСТЭК России № 21 от 18.02.2013, раздел VIII «Контроль (анализ) защищенности персональных данных»).

В госсекторе есть риск несоответствия требованиям для подключения к государственным информационным системам: «При анализе уязвимостей информационной системы проверяется отсутствие известных уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников» (п. 16.6 Требований о защите информации. Приказ ФСТЭК России от 11.02.2013 № 17).

Что касается поддержки нового оборудования, то с такой проблемой сталкиваются при сервисном обслуживании устройств. Новые устройства зачастую несовместимы с неподдерживаемыми ОС, так как производители оборудования ориентируются преимущественно на новейшие версии ПО.
Прекращение поддержки Windows 7: на кого повлияло и что делать?
Итак, необходимость наличия поддерживаемой операционной системы очевидна, но ни один производитель не поддерживает свои ОС бесконечно. Выходят новые версии, а старые уходят в прошлое. Microsoft, как правило, поддерживает продукты в течение 10 лет с даты релиза (так было до выхода Windows 10), иногда незначительно увеличивая этот срок по разным причинам. В январе 2020 года закончился срок продленной поддержки самой популярной в прошлом операционной системы Microsoft Windows 7, таким образом, никакие исправления, обновления, «заплатки» и антивирусные базы более не поступают на устройства, делая их все более уязвимыми с каждым днем. А ведь на этой ОС работают сотни тысяч устройств по всему миру! Среди специализированных устройств на базе Windows 7 лидируют банкоматы, киоски и кассы.

Именно эта причина вкупе с моральным и техническим устареванием оборудования и привела к волне обновлений в отраслях, не только традиционно связанных с высокой долей использования компьютерных устройств в операционной деятельности, но и особо чувствительных к вопросам безопасности, таких как финансовая отрасль и ритейл.

Самыми распространенными ОС на банкоматах и киосках являются Windows XP Professional for Embedded Systems и Windows 7 Professional for Embedded Systems, а также производные от них — Windows Embedded POSReady 2009 и Windows Embedded POSReady 7. Решения на Windows 10 только начинают появляться, и пока их выход сдерживается инертностью производителей как оборудования, так и приложений.

Для выбора варианта решения проблемы с поддержкой разделим устройства на три группы, по степени их готовности к обновлению.
Группа 1. Устаревшие устройства на Windows XP
с оборудованием, не поддерживающим современные процессоры, которые невозможно или экономически невыгодно переводить на Windows 7 или Windows 10.
Группа 2. Не очень старые устройства, работающие на Windows 7
которые невозможно (или дорого) обновить до Windows 10 в силу аппаратной несовместимости и неготовности управляющего ПО устройств работать на Windows 10 в настоящее время. А иногда просто не хочется трогать «хорошо отлаженный механизм». Это самая массовая группа устройств в настоящее время.
Группа 3. Относительно современные устройства, пока работающие на Windows 7
но технически поддерживающие апгрейд до Windows 10. Как правило, это устройства 3−4-летней давности.
Далее рассмотрим возможные пути для устройств каждой группы.
Группа 1: «Пора на покой»
Судьба таких устройств — полная замена. Можно попробовать защитить их сторонними средствами, например Kaspersky Embedded Systems Security, если это устроит регуляторов и службу информационной безопасности. Обновлять их «железо», как правило, смысла нет, это дорого и в целом неоправданно, хотя иногда такие попытки предпринимаются. Поскольку наша статья посвящена вопросам обновления ОС Windows, эту группу мы подробно рассматривать не будем.
Группа 2: «Еще послужим!»
Группу 2 характеризует невозможность перехода на поддерживаемую Windows 10 при одновременном приемлемом состоянии для продолжения работы еще в течение нескольких лет.
Задача – обеспечить доставку обновлений безопасности для Windows 7, установленной на этих устройствах.
Для такого сценария Microsoft предлагает очень удобный продукт под названием Extended Security Updates, или сокращенно — ESU.

ESU — это платная поддержка определенного продукта Microsoft после окончания основной и продленной фазы поддержки, предоставляющая обновления, связанные с безопасностью, но только относящиеся к «Критическим» и «Важным» (классификация доступна на сайте Microsoft).
Важно понимать, что в рамках ESU не поставляются обновления, связанные с новыми возможностями, а также с ошибками, не касающимися безопасности (см. таб. 1).
Таб. 1. Обновления и циклы поддержки ПО Microsoft
Купить ESU можно только на определенный период. В таб. 2 указаны эти периоды.
Например, для Windows 7 for Embedded Systems максимальная дата окончания платной поддержки — 10 января 2023 года. При этом вы можете купить ESU и до января 2022 года, если вам не потребуется такой долгий срок поддержки. Разумеется, это будет стоить дешевле.
Таб. 2. Даты начала и окончания ESU для Embedded-продуктов
После приобретения ESU вы получаете специальное программное обеспечение, которое надо установить на устройство (затрагивает только Windows), и ключ, активирующий получение обновлений. Сами обновления доставляются на устройство тем же способом, что и ранее, ничего перенастраивать не придется. При этом оригинальный ключ операционной системы не затрагивается и не изменяется. Ключ ESU устанавливается в дополнение к существующему ключу.

Обновления ESU будут доступны для подключенных к интернету устройств через Windows Update (WU), а также могут быть загружены для автономной установки через Update Catalog ежемесячно или по мере надобности.

Ваш партнер, который осуществит поставку, поможет в случае каких-либо проблем с активацией ESU.

Важно! Лицензии ESU для операционных систем Windows Embedded приобретаются только через производителя устройства или сервисную компанию, по OEM-каналу (IoT)! Мы встречали случаи, когда опция ESU была приобретена, по незнанию, через корпоративный канал CSP, предназначенный для офисных ПК, и ключ просто не работал.

Что имеем в итоге? Не прекращая работы, минимальными затратами мы обеспечили безопасную работу существующих киосков, банкоматов и касс до января 2023 года и сохранили соответствие регламентам. А за это время можно начать постепенную замену устройств на более современные.
Группа 3: «Бодры и веселы!»
В этой группе у нас вполне современные устройства, которые без особых проблем можно обновить на новую операционную систему и тем самым обеспечить соответствие всем регламентам. Один вопрос — как это сделать с минимальными затратами?
Здесь необходимо сказать несколько слов об особенностях лицензирования Microsoft.

У Microsoft есть три основных канала — ритейл (поставки физлицам ключей или «коробочных» продуктов), корпоративное лицензирование (оптимизирован для поставки ПО организациям) и OEM (от Original Equipment Manufacturer — поставка ПО производителям оборудования, в т. ч. обсуждаемых в этой статье устройств).

Чаще всего конечный пользователь (банк, торговая сеть и т. д.) обращается за обновлением программных продуктов к своему поставщику ПО или объявляет тендер на приобретение лицензий на обновление из корпоративного канала, что верно для обновления офисных ПК и серверов. Однако многие поступают точно так же и в случае обновления киосков, касс или банкоматов, что не является оптимальным способом с точки зрения стоимости и может привести к дополнительным расходам и проблемам с работоспособностью устройства.

Стандартным путем для обновления подобных устройств является обращение к производителю либо к сервисной компании. Дело в том, что по лицензионному соглашению OEM (а именно по этому каналу поставляются операционные системы для специализированных устройств) поддержку устройств должен выполнять сам производитель либо его уполномоченный подрядчик. Это обусловлено сложностью и специфичностью таких устройств, часто требующих предварительной подготовки и тестирования каждого образа обновления, для гарантии его работоспособности. Приобретая обновления по корпоративному каналу (Open Value, Enterprise Agreement, Select и т. п.), заказчик будет вынужден решать вопросы установки этих обновлений самостоятельно либо платить за решение проблем сторонней компании. Также лицензия на такое обновление обойдется существенно дороже.

Часто мы слышим примерно такое утверждение: «Я куплю именную корпоративную лицензию Windows на банкоматы, так как если в дальнейшем мне нужно будет заменить это оборудование, я сохраню лицензию за компанией, и мне не придется платить еще раз». Однако давайте посмотрим, к чему это приведет.

Представим ситуацию — банк приобрел лицензию обновления Windows 10 Upgrade для устройств на Windows 7 в корпоративном канале, заплатив существенные средства (лицензия в корпоративном канале самая дорогая!). Всем известно, что лицензия Windows 10 Upgrade подразумевает обязательное наличие предыдущей версии и без нее не является легитимной — нельзя купить Upgrade на «пустое» устройство.

Далее банк списал этот банкомат, лицензия Windows Upgrade действительно осталась за банком. Однако «базовая» лицензия Windows 7 оказывается списанной вместе с устройством, поскольку ОЕМ-лицензия не может быть «оторвана» от устройства и утилизируется вместе с ним! Следовательно, такой Upgrade перестает быть легальным. Выход один — покупать Windows 10 вместе с новым устройством (полную версию иначе не приобрести), фактически — второй раз! То есть смысла в такой «привязке» к компании изначально не было, и этот шаг привел к дополнительным расходам вместо ожидаемой экономии.

Правильным путем было бы обратиться к производителю, интегратору или сервисной компании за обновлением Windows 10 IoT Enterprise Field Upgrade — специальной лицензией для обновления существующих устройств. Эта лицензия будет гарантированно дешевле (иногда в разы!), чем Windows 10 Upgrade в корпоративном канале, из-за особенностей лицензирования.
Другой минус покупки обновления для банкоматов и киосков в корпоративном канале — это цикл обновлений, который вы получаете. Поскольку в 99% случаев покупают более дешевую версию Windows 10 Professional Upgrade, вы (и ваше устройство) получите цикл поддержки SAC (Semi-Annual Channel), который: а) печально известен своими спонтанными обновлениями (именно SAC-версии так «достают» постоянными просьбами обновиться и перезагрузками), б) поддерживается только полтора года, а далее — либо обновляйся, либо теряй поддержку со всеми описанными выше последствиями.

В отличие от корпоративного канала, в канале IoT вы приобретаете Windows 10 IoT Enterprise — самую полную на сегодня версию Windows 10, имеющую цикл обновления LTSC (Long-Term Servicing Channel), гарантированно обеспечивающую 10-летнюю поддержку и не беспокоящую ваше устройство просьбами обновиться. И при этом — наиболее выгодную по стоимости.

Таким образом, для устройств группы 3, которые поддерживают Upgrade до Windows 10, оптимальным вариантом будет приобретение лицензии Windows 10 IoT Enterprise Field Upgrade, которую могут поставить производители устройств, интеграторы и обслуживающие компании.

P. S.

В настоящей статье мы рассмотрели самые распространенные варианты сохранения защищенности соответствия регламентам ваших устройств: Extended Security Updates (ESU) — платное продление поддержки для устаревших банкоматов, касс и киосков на базе Windows 7 до 2023 года и лицензию Windows 10 IoT Enterprise Field Upgrade для тех устройств, которые поддерживают Windows 10. Однако сценариев в реальной жизни гораздо больше. Обращайтесь к нам, мы готовы рассмотреть ваш конкретный случай и предложить оптимальное решение!

По вопросам приобретения Extended Security Updates и Windows 10 IoT Enterprise Field Upgrade обращайтесь к производителю устройства, обслуживающей компании или интегратору, либо напишите нам.