«Коммерсант пишет, что уход с российского рынка ведущих компаний по IT — и информбезопасности заставил кредитные организации искать новые источники поставок оборудования и ПО. Участники рынка вынуждены приобретать оборудование обанкроченных банков, в том числе на «Авито», а часть ПО доделывать самостоятельно либо скачивать с торрентов.
«Нельзя сказать, что это экстраординарные меры, как нельзя отрицать и все риски, которые на себя берет организация-покупатель. Да, приобретение оборудования на вторичном рынке — это всегда риск, но в текущих условиях, он может оказаться меньшим злом. Перепродажа оборудования с помощью неформальных связей с коллегами в других банках вполне возможно решит срочные задачи.», — считает руководитель направления Консалтинг в области импортозамещения FBK CyberSecurity, Игорь Собецкий, — «Однако, приобретение специализированного оборудования на площадках типа «Авито, ориентированных на физических лиц — критично для организации с точки зрения ее стратегических задач в области ИБ. Невозможно предугадать, какой путь прошло приобретаемое оборудование и какие изменения внесены в его конструкцию. Его закупка в конечном итоге может оказаться более дорогой для организации из-за необходимости проведения специализированной проверки, а возможно и повторной сертификации на отсутствие недекларированных возможностей.
Использование пиратских версий банковских программных продуктов также грозит серьезными угрозами безопасности. В оригинале все такие продукты защищаются лицензионными номерами и токенами, в худшем случае — привязкой к внешним авторизационным серверам. Такой условно чистый продукт банковские специалисты вполне могут скопировать у коллег по неформальным каналам. На пиратских же сайтах выкладываются уже «обработанные» программы — с отключённой защитой и отвязанные от серверов. Это требует и временных и финансовых затрат. Поэтому высок риск, что за бесплатной моделью распространения скрыт механизм возврата пиратских инвестиций. Проверка такого ПО на безопасность кода просто необходима. Полагаю, что регулятор при проверках финансовых организаций станет в обязательном порядке выяснять источники приобретения программного обеспечения и оборудования»