Спецпроекты

Экс-зампред ЦБ России: IBM взяла Центробанк «за яблочко»

16476
ПО Безопасность Бизнес Интеграция ИТ в банках ИТ в госсекторе

Бывший зампредседателя Центробанка, до 2013 г. курировавший в нем ИТ, рассказал о беззащитности операционной системы ЦБ перед ее вендором — американской компанией IBM.

IBM контролирует ОС Центробанка

Дейcтвующая ОС для платежной системы Центробанка (ЦБ) как минимум с 2016 г. полностью открыта для обслуживающей ее компании IBM, получившей на соответствующий фронт работ прямой контракт. Об этом в интернет-передаче Тимура Аитова «Криптоправда» заявил экс-заместитель председателя ЦБ, курировавший в нем сферу ИТ до 2013 г. Михаил Сенаторов, в настоящий момент выступающий председателем совета директоров компании Vento Technologies.

«У американцев возникли очень хорошие возможности вставки в свою ОС каких-то своих ненужных нам кодов, которые просто-напросто могут привести к замедлению обработки платежной информации», — рассуждает он. При этом эксперт все же полагает, что вендор вряд ли когда-либо пойдет на остановку системы (хотя и может это сделать), потому что политические последствия такого шага могут быть самыми тяжелыми.

«Если банковская система встанет, то это будет война, — рассуждает он. — Но затормозить работу можно, развитие затормозить можно, контролировать потоки можно». Такое положение вещей Михаил Сенаторов считает для ЦБ предельно зависимым. «Самое главное — ты держишь за яблочко клиента, — поясняет он статус IBM в этой ситуации. — И в любой момент можешь регулировать поступление кислорода».

Как было раньше

По словам Сенаторова, компьютерные мощности и ОС производства IBM используются в Центробанке традиционно многие годы, однако до недавнего времени связанные с этим риски были существенно ниже, чем сейчас. С его слов можно заключить, что после ухода его команды банк перешел с полностью проприетарной, но исключительно надежной и ни разу не взломанной за полвека своего существования, ОС Z/OS IBM на некий «линуксовый вариант» операционной системы этого же вендора. При этом контроль над ситуацией от этого не вырос, а уменьшился.

На какой именно ОС сейчас работает платежная система банка, в пресс-службе ЦБ на момент выхода материала CNews не ответили. Речь может, например, идти об ОС IBM z/Linux или LinuxONE, а также о сторонней ОС на основе ядра Linux, работающей с помощью виртуальной машины.

tsb571.jpg
Бывший ИТ-руководитель Центробанка считает, что организация попала в зависимое положение от IBM

Ранее ЦБ удалось договориться с IBM о предоставлении доступа к элементу исходных кодов ОС, связанному с возможностью оценки доступа к основному процессору обработки информации. «Когда поступает команда на обработку, то гипервизор должен знать, что эта команда идет от правильного источника, — поясняет Сенаторов. — И если у гипервизора только один вход, то этот вход можно заблокировать своим специальным программным устройством, которое не пропускает команды, которые она не знает».

По заверению эксперта, его команде удалось сделать и проверить такое устройство, получив на него сертификат ФСБ о том, что в обход него никаких проникновений в гипервизор нет. «Поэтому мы работали полностью защищенными», — резюмирует он.

Оттеснение российских разработчиков

К вышесказанному Сенаторов добавляет, что для снижения рисков нужно было еще контролировать весь тот набор изменений, который регулярно вносится в ОС и в прикладные продукты разработчиками. Эта задача была во многом решена за счет того, что операционные вопросы на 90% закрывала российская компания «Эктор» (выходцы из НИЦЭВТа — создателя ЕС ЭВМ), и лишь в 10% случаев она же обращалась за помощью к вендору.

При этом любые изменения в ОС, прежде чем встроиться в нее, анализировались на многочисленных специализированных стендах (их было порядка 70) — на функциональность, безопасность, нагрузки, совместимость и т. д. «После того, как становилось понятно, что продукт нормальный, не повредит, он вставлялся в работающую систему, и она обновлялась», — отмечает Сенаторов.

Произошедшее недавно оттеснение упомянутых российских разработчиков в пользу прямого контракта с IBM, по его словам, было мотивировано экономией средств. «В результате сейчас IBM имеет прямой выход на свою операционную систему», — говорит он. При этом он считает, что американский вендор, по всей видимости, вносит изменения в свою ОС полностью бесконтрольно, потому что проверить их не на чем — старые стенды разобраны, а новые, по его данным, не создавались.

Зарубежные рекомендации

Предполагаемой причиной отказа от услуг российской компании Михаил Сенаторов считает выводы аудита деятельности его команды, проведенной известными зарубежными компаниями, в частности голландской KPMG.

«Они дали рекомендации, что нужно делать, — говорит эксперт. — По этим рекомендациям развивалась реорганизация всей ИТ-инфраструктуры Банка России. В этих рекомендациях и было прописано — “зачем платить лишние деньги”?. Пусть подрядчик работает напрямую».



Персона месяца

Импортозамещение не должно порождать некачественные продукты для местечкового применения

Сергей Калин

президент компании «Открытые технологии»

Стратегия месяца

Рынок заказной разработки ПО в России растет

Олег Баранов

управляющий партнер «Неофлекс»