Спецпроекты

ПО Безопасность Бизнес Цифровизация ИТ в банках ИТ в госсекторе Маркет

Экс-зампред ЦБ России: IBM взяла Центробанк «за яблочко»

Бывший зампредседателя Центробанка, до 2013 г. курировавший в нем ИТ, рассказал о беззащитности операционной системы ЦБ перед ее вендором — американской компанией IBM.

IBM контролирует ОС Центробанка

Дейcтвующая ОС для платежной системы Центробанка (ЦБ) как минимум с 2016 г. полностью открыта для обслуживающей ее компании IBM, получившей на соответствующий фронт работ прямой контракт. Об этом в интернет-передаче Тимура Аитова «Криптоправда» заявил экс-заместитель председателя ЦБ, курировавший в нем сферу ИТ до 2013 г. Михаил Сенаторов, в настоящий момент выступающий председателем совета директоров компании Vento Technologies.

«У американцев возникли очень хорошие возможности вставки в свою ОС каких-то своих ненужных нам кодов, которые просто-напросто могут привести к замедлению обработки платежной информации», — рассуждает он. При этом эксперт все же полагает, что вендор вряд ли когда-либо пойдет на остановку системы (хотя и может это сделать), потому что политические последствия такого шага могут быть самыми тяжелыми.

«Если банковская система встанет, то это будет война, — рассуждает он. — Но затормозить работу можно, развитие затормозить можно, контролировать потоки можно». Такое положение вещей Михаил Сенаторов считает для ЦБ предельно зависимым. «Самое главное — ты держишь за яблочко клиента, — поясняет он статус IBM в этой ситуации. — И в любой момент можешь регулировать поступление кислорода».

Как было раньше

По словам Сенаторова, компьютерные мощности и ОС производства IBM используются в Центробанке традиционно многие годы, однако до недавнего времени связанные с этим риски были существенно ниже, чем сейчас. С его слов можно заключить, что после ухода его команды банк перешел с полностью проприетарной, но исключительно надежной и ни разу не взломанной за полвека своего существования, ОС Z/OS IBM на некий «линуксовый вариант» операционной системы этого же вендора. При этом контроль над ситуацией от этого не вырос, а уменьшился.

На какой именно ОС сейчас работает платежная система банка, в пресс-службе ЦБ на момент выхода материала CNews не ответили. Речь может, например, идти об ОС IBM z/Linux или LinuxONE, а также о сторонней ОС на основе ядра Linux, работающей с помощью виртуальной машины.

tsb571.jpg
Бывший ИТ-руководитель Центробанка считает, что организация попала в зависимое положение от IBM

Ранее ЦБ удалось договориться с IBM о предоставлении доступа к элементу исходных кодов ОС, связанному с возможностью оценки доступа к основному процессору обработки информации. «Когда поступает команда на обработку, то гипервизор должен знать, что эта команда идет от правильного источника, — поясняет Сенаторов. — И если у гипервизора только один вход, то этот вход можно заблокировать своим специальным программным устройством, которое не пропускает команды, которые она не знает».

По заверению эксперта, его команде удалось сделать и проверить такое устройство, получив на него сертификат ФСБ о том, что в обход него никаких проникновений в гипервизор нет. «Поэтому мы работали полностью защищенными», — резюмирует он.

Оттеснение российских разработчиков

К вышесказанному Сенаторов добавляет, что для снижения рисков нужно было еще контролировать весь тот набор изменений, который регулярно вносится в ОС и в прикладные продукты разработчиками. Эта задача была во многом решена за счет того, что операционные вопросы на 90% закрывала российская компания «Эктор» (выходцы из НИЦЭВТа — создателя ЕС ЭВМ), и лишь в 10% случаев она же обращалась за помощью к вендору.

При этом любые изменения в ОС, прежде чем встроиться в нее, анализировались на многочисленных специализированных стендах (их было порядка 70) — на функциональность, безопасность, нагрузки, совместимость и т. д. «После того, как становилось понятно, что продукт нормальный, не повредит, он вставлялся в работающую систему, и она обновлялась», — отмечает Сенаторов.

Произошедшее недавно оттеснение упомянутых российских разработчиков в пользу прямого контракта с IBM, по его словам, было мотивировано экономией средств. «В результате сейчас IBM имеет прямой выход на свою операционную систему», — говорит он. При этом он считает, что американский вендор, по всей видимости, вносит изменения в свою ОС полностью бесконтрольно, потому что проверить их не на чем — старые стенды разобраны, а новые, по его данным, не создавались.

Зарубежные рекомендации

Предполагаемой причиной отказа от услуг российской компании Михаил Сенаторов считает выводы аудита деятельности его команды, проведенной известными зарубежными компаниями, в частности голландской KPMG.

«Они дали рекомендации, что нужно делать, — говорит эксперт. — По этим рекомендациям развивалась реорганизация всей ИТ-инфраструктуры Банка России. В этих рекомендациях и было прописано — “зачем платить лишние деньги”?. Пусть подрядчик работает напрямую».

Денис Воейков

Короткая ссылка