Экс-зампред ЦБ России: IBM взяла Центробанк «за яблочко»
Денис Воейков
Бывший зампредседателя Центробанка, до 2013 г. курировавший в нем ИТ, рассказал о беззащитности операционной системы ЦБ перед ее вендором — американской компанией IBM
IBM контролирует ОС Центробанка
Дейcтвующая ОС для платежной системы Центробанка (ЦБ) как минимум с 2016 г. полностью открыта для обслуживающей ее компании IBM, получившей на соответствующий фронт работ прямой контракт. Об этом в интернет-передаче Тимура Аитова«Криптоправда» заявил экс-заместитель председателя ЦБ, курировавший в нем сферу ИТ до 2013 г. Михаил Сенаторов, в настоящий момент выступающий председателем совета директоров компании Vento Technologies.
«У американцев возникли очень хорошие возможности вставки в свою ОС каких-то своих ненужных нам кодов, которые просто-напросто могут привести к замедлению обработки платежной информации»
— рассуждает он
При этом эксперт все же полагает, что вендор вряд ли когда-либо пойдет на остановку системы (хотя и может это сделать), потому что политические последствия такого шага могут быть самыми тяжелыми.
«Если банковская система встанет, то это будет война, — рассуждает он. — Но затормозить работу можно, развитие затормозить можно, контролировать потоки можно»
Такое положение вещей Михаил Сенаторов считает для ЦБ предельно зависимым.
«Самое главное — ты держишь за яблочко клиента, — поясняет он статус IBM в этой ситуации. — И в любой момент можешь регулировать поступление кислорода»
Как было раньше
По словам Сенаторова, компьютерные мощности и ОС производства IBM используются в Центробанке традиционно многие годы, однако до недавнего времени связанные с этим риски были существенно ниже, чем сейчас. С его слов можно заключить, что после ухода его команды банк перешел с полностью проприетарной, но исключительно надежной и ни разу не взломанной за полвека своего существования, ОС Z/OS IBM на некий «линуксовый вариант» операционной системы этого же вендора. При этом контроль над ситуацией от этого не вырос, а уменьшился.
На какой именно ОС сейчас работает платежная система банка, в пресс-службе ЦБ на момент выхода материала CNews не ответили. Речь может, например, идти об ОСIBMz/Linux или LinuxONE, а также о сторонней ОС на основе ядра Linux, работающей с помощью виртуальной машины.
Бывший ИТ-руководитель Центробанка считает, что организация попала в зависимое положение от IBM
Ранее ЦБ удалось договориться с IBM о предоставлении доступа к элементу исходных кодов ОС, связанному с возможностью оценки доступа к основному процессору обработки информации.
«Когда поступает команда на обработку, то гипервизор должен знать, что эта команда идет от правильного источника, — поясняет Сенаторов. — И если у гипервизора только один вход, то этот вход можно заблокировать своим специальным программным устройством, которое не пропускает команды, которые она не знает»
По заверению эксперта, его команде удалось сделать и проверить такое устройство, получив на него сертификат ФСБ о том, что в обход него никаких проникновений в гипервизор нет.
«Поэтому мы работали полностью защищенными»
— резюмирует он
Оттеснение российских разработчиков
К вышесказанному Сенаторов добавляет, что для снижения рисков нужно было еще контролировать весь тот набор изменений, который регулярно вносится в ОС и в прикладные продукты разработчиками. Эта задача была во многом решена за счет того, что операционные вопросы на 90% закрывала российская компания «Эктор» (выходцы из НИЦЭВТа — создателя ЕС ЭВМ), и лишь в 10% случаев она же обращалась за помощью к вендору.
При этом любые изменения в ОС, прежде чем встроиться в нее, анализировались на многочисленных специализированных стендах (их было порядка 70) — на функциональность, безопасность, нагрузки, совместимость и т. д.
«После того, как становилось понятно, что продукт нормальный, не повредит, он вставлялся в работающую систему, и она обновлялась»
— отмечает Сенаторов
Произошедшее недавно оттеснение упомянутых российских разработчиков в пользу прямого контракта с IBM, по его словам, было мотивировано экономией средств.
«В результате сейчас IBM имеет прямой выход на свою операционную систему»
— говорит он
При этом он считает, что американский вендор, по всей видимости, вносит изменения в свою ОС полностью бесконтрольно, потому что проверить их не на чем — старые стенды разобраны, а новые, по его данным, не создавались.
Зарубежные рекомендации
Предполагаемой причиной отказа от услуг российской компании Михаил Сенаторов считает выводы аудита деятельности его команды, проведенной известными зарубежными компаниями, в частности голландской KPMG.
«Они дали рекомендации, что нужно делать, — говорит эксперт. — По этим рекомендациям развивалась реорганизация всей ИТ-инфраструктуры Банка России. В этих рекомендациях и было прописано — “зачем платить лишние деньги”?. Пусть подрядчик работает напрямую».
Денис Воейков
Источник
Понравилась статья? Подпишитесь на канал, чтобы быть в курсе самых интересных материалов
Подписаться
Свежие комментарии