Как стать автором
Обновить

Банки РФ против требования ЦБ передавать информацию об использовании VPN в Роскомнадзор по незащищённому каналу

Время на прочтение2 мин
Количество просмотров17K
Всего голосов 6: ↑5 и ↓1+8
Комментарии37

Комментарии 37

Строго говоря, в процитированном письме не написано, что данные надо отправлять по электронной почте. Просто даны контакты ответственного за сбор данных лица.

Там к письму идёт файл с примером для заполнения.

В отрывке письма не написано, что заполненную таблицу нужно отправлять по e-mail.

Там даны контакты РКН и электронная почта.

хммм, то есть можно заказным письмом посылать? /s

Конечно, файл надо распечатать и принести в окошечко

Никто не мешает записать файл на диск, поставить гриф и отправить спецсвязью. Возможно, что контактный мужик из письма это и советует делать.

Лучше записать на 5" дискету и отправить спецсвязью

Да и архивы с шифрованием пока никто не отменял.

И пароль открытым текстом этим же письмом :)

Вообще там всё на аппаратных ключах:)

Возможно, речь идёт о официальном деловом письме с запросом, которое отправляется на главную почту юрлица

В таком случае необходимо отвечать таким же официальным деловым письмом, также на электронную почту.

Обычно в таких письмах снизу ещё указывают инициатора запроса с номером и ФИО.

Во-первых, способ ответа, а уж тем более категорию его конфиденциальности, выбирает отправитель.

Во-вторых, официальное письмо в принципе не должно приходить на электронную почту. Такая практика полуофициально существует для юридически незначимых писем, но получатель всегда может отрицать их получение, поскольку электронная почта не гарантирует доставку и не выдаёт (как правило) подтверждений получения. Юридически значимым способом является бумажная почта с подтверждением получения, или факс на официальный номер с подтверждением получения (если есть), или корпоративная система гарантированного обмена сообщениями (если есть).

Я бы вообще на любой запрос от государственных органов рекомендовал отвечать только в бумажном виде под протокол (или, вроде, это как-то можно делать сервисом электронных заказных писем “Почты России”). Можно иногда для ускорения отправить вторую копию бумажного письма по электронной почте, но не более того. А то упадёт это электронное письмо в спам в министерстве, там потом скажут “мы не получали”, отключат VPN, и привет огромные штрафы от ЦБ за неработающий сервис.

А в данном случае вообще нечего думать. Если банки считают свою информацию конфиденциальной и не имеют при этом системы электронной доставки конфиденциальных сообщений адресату, то только ФГУП "Спецсвязь России". Оно специально для этого и существует. Приедут мужики с автоматом и обеспечат защищённый канал.

При этом, собственно, совершенно неважно, что подразумевали люди из министерства (если даже они подразумевали что-то другое, в чём я не уверен). Если обязан защищать информацию – защищай.

А то упадёт это электронное письмо в спам в министерстве

А они все ещё не в курсе, что можно написать фильтр в gmail, чтобы все письма шли не в спам?

Цирк с конями. Так и представил, как сбер подключается к впн через hidemyass

Да нет, это для ситуаций, когда филиалы связаны между собой через VPN. Чтобы, когда захочется погасить весь vpn по известным сигнатурам — банки не пострадали.

Кроме банков из филиалов состоят и другие организации, включая топливно-энергетический сектор. Он как-бы критичнее в этой ситуации. Но там исторически больше завязано на физические каналы. Может после сбора информации с банков, их тоже заставят стать ближе к физике.

Не верю что они смогут всё выборочно погасить, сейчас это не получается. Проще тогда вообще интернет внешний выключить. А есть ещё всякие Shadowsocks и v2ray, до них вообще не доберутся долго.

Какая разница, во что вы верите. Речь про белые списки айпишников, которые блочить не надо. Например, протокол QUIC (http/3) в целом блокируется, но до избранных сайтов типа вкашечки работает.

Они же поставили китайские DPI всюду, в чем проблема гасить по сигнатурам? У Китая вполне выходит, и даже shadowsocks с v2ray надо еще правильно настроить, чтобы он работал нормально, а не прибивался через 10 минут на сутки.

Сбер VPN не использует внешний Интернет, не факт, что они вообще Интернет, а не Интранет используют.

А как быть что вполне может быть ситуация когда человек имеет доступ к банковскому VPN(для работы на банк, с домашнего компа) но при этом также имеет и вовсе даже не банковский VPN (например для случая если опять заблокируют github).
Это вообще учитывается?
А если при этом еще и не собрали адреса таких пользователей или адрес динамический?

НЛО прилетело и опубликовало эту надпись здесь

человек имеет доступ к банковскому VPN (для работы на банк, с домашнего компа) 

А это вообще законно? Разве банк не обязан иметь охраняемый периметр? Я просто не в курсе.

Ну как то согласовали ж.
Ну и разумеется через такую VPN сразу к продовому контуру с данными реальнов клиентов доступ не получишь даже если имеешь права на доступ к нему.

Если это, конечно, не один красный банк, который даже учетки уволившихся сотрудников-подрядчиков не банит даже спустя месяц =)

Незаконно не иметь VPN. Алгоритмы шифрования там самые лучшие, лучше чем в ssh и https TLS 1.3.

Центральный филиал подключается к допофисам через VPN. Виртуальную частную сеть.

Интересно там есть требование подписывать эти письма ЭЦП банка? Их кто-нибудь проверят? А то вдруг можно свои ВПНы под шумок в белый списочек пропихнуть.

Банки правы. Передача информации о сетевой инфраструктуре третьим лицам по незащищенным каналам - это прямое нарушение требований пункта "1.4.5 The disclosure of internal IP addresses and routing information is limited to only authorized parties" PCI DSS v4.0.

В эту игру можно играть вдвоём -- кто сказал, что IPшники VPN серверов должны быть внутренними? Тут ровно наоборот, нужны внешние IP, чтобы их включить в белый список.

В данном случае нарушением является передача информации не об IP-адресах, а о маршрутизации.

ну от PCI DSS любой версии российским банкам уже год как ни холодно, ни жарко

Вот это напрягает:

Минцифры и РКН ежеквартально запрашивает от ряда госкомпаний, госкорпораций и крупных банков отчёт об использовании VPN-сервисов. Это необходимо для того, чтобы в случае текущего процесса блокировки гражданских VPN-сервисов случайно не заблокировать банковские системы связи.

Иначе говоря выпиливание гражданских VPN поставлено на поток.

видимо, готовится запрет вообще vpn, и не хотят взять и обрушить этим бизнес, где vpn таки нужен и не для доступа к запрещенному

Согласен. Скоро нормальный интернет будем "слушать" как Голос Америки в советское время.

Иначе говоря выпиливание гражданских VPN поставлено на поток.

Наши люди VPN`ами не пользуются в булочную на такси не ездят!/s

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Другие новости

Истории