On-line конференции

В кризисный период, естественно, активизируются преступные элементы, их ряды пополняются из числа наших сограждан, не имеющих желания/возможностей противостоять жизненным трудностям и зарабатывать средства к существованию честным трудом. Испокон веков так: «Кому - война, а кому – мать родна». Также, к сожалению, правоохранительная система не только не всегда поспевает за криминалом, но иногда и сама его порождает. Однако, я пока не встречал достоверной статистики по количеству преступлений в отраслевом разрезе, чтобы можно было делать вывод о пике преступлений именно против финансовых организаций.

Рост преступлений в банковской сфере наблюдался во всем мире задолго до кризиса. Одна из причин этого - глобализация. Развитие дистанционного банковского обслуживания с применением современных информационных технологий одновременно дает банкам новые инструменты для завоевания новых рынков и порождает новые угрозы.

Нет, кризис пройдет, а проблема останется.

Не совсем. Кризис сыграл свою роль, однако с учетом роста роли информационных технологий, интернета в банковской сфере, растет и соответствующая криминальная инфраструктура. Злоумышленники успешно находят новые способы проникновения к счетам клиентов банков, а банки в свою очередь не сразу могут найти эффективные способы противодействия.

Это скорее не «пик» а локальная возвышенность, ведь с увеличением уровня автоматизации и т.п. в банках и расширением списка автоматизированных сервисов естественно растет и количество преступлений. И, по моему глубокому убеждению, кризис не является каким-либо существенным фактором роста преступлений именно против банков - хотя в кризисные времена конечно уровень преступности в целом немного поднимается.

Мошенничества в банковской сфере были и до кризиса, но внимание на них обратили только тогда, когда понадобилось оправдать масштабные денежные вливания в банковскую сферу.

Это происходит потому, что риски появляются раньше того, как будут созданы и протестированы системы защиты от рисков. В ИТ сфере процесс создания и тестирования систем требует достаточно больших и дорогостоящих материально-технических ресурсов и кадров. Кроме того, сам по себе процесс создания и тестирования систем несет в себе риск нарушения непрерывности деятельности организации. Хороший пример тому – внедрение новой ИТ системы несколько месяцев назад Сбербанком в Москве, когда работа с вкладчиками была прервана на несколько часов.

Пока не возьмусь оценить математически разрыв между уровнем IT безопасности и уровнем угроз. Спасибо за идею. Возможно, такой показатель был бы полезен.

Развитие и внедрение новых систем безопасности отстает от возникновения новых угроз. Вынужден с Вами здесь согласиться. Но это общая тенденция. Опасность сначала надо осознать, затем измерить численно (лучше в деньгах), а затем инвестировать средства в системы противодействия.

Что же касается рисков при внедрении новых информационных технологий в банковской сфере, стоит сказать, что каждый риск сочетает в себе как угрозы, так и возможности. Пока банки приобретают больше возможностей, технологии будут достаточно быстро развиваться и внедряться. А угрозе потерь от внедрения новых технологий противостоит угроза потери конкурентного рыночного преимущества при отказе от внедрения новых технологий.

Банки достаточно скурпулезно относятся к информационной безопасности, поскольку дорожат своей деловой репутацией. Однако, как я заметил в ответе на предыдущий вопрос, криминальная инфраструктура в цифровой среде представляет собой очень серьезную силу, на которую зачастую трудятся профессионалы высокого класса. Банки не всегда могут оперативно найти способы противодействия новым методам, которые злоумышленники применяют при проникновении к банковским базам данных.

В основной своей массе это связано с тем что стратегия обеспечения ИТ безопасности, в отличие от ИТ стратегии, далеко не во всех банках привязана к бизнес стратегии. Это означает что проблемы безопасности решаются по мере их появления, а учитывая тот факт что решения их иногда требует существенного времени и затрат, возникает тот самый разрыв. И чем дальше , тем в таких условиях он будет больше, так как сложность и количество автоматизированных систем в банках постоянно растет, а риски, возникающие и/или увеличивающиеся на «стыке» этих систем далеко не сразу проявляются, и реагирование на них обычно требует существенно больших затрат чем если бы вопросы IT-безопасности учитывались с самого начала.

Как и в любом преступлении, IT-мошенники идут впереди менеджеров системы безопасности банков. Как только размер ущерба  вырастает до неприемлемого уровня, банковская безопасность получает финансирование и догоняет «уходящий поезд». К сожалению, не всегда это удается сделать.

Приведенной информации недостаточно для принятия решения. Слишком много нюансов. Если клиент в примере 1 или 2 своевременно заметит незаконное снятие/перечисление средств со своих счетов, подаст соответствующую жалобу в банк и правоохранительные органы, есть шанс на нахождение мошенников и взыскание средств с них. Знаю случай, аналогичный примеру 1, когда средства были сняты с карточных счетов в одном банке, через банкоматы другого банка. Прямые финансовые расходы понес банк, в котором хранились счета, но правоохранительным органам в поиске мошенников помогали оба банка плюс организация – собственник программного обеспечения и оператор системы. Мошенников удалось найти, похищенные средства большей частью были найдены, а дело было доведено до суда.

В России клиенты банков, действующих на территории Российской Федерации, защищены достаточно хорошо. На страже интересов граждан-клиентов банков УК РФ (гл, 21, гл.22, гл. 28), ГК РФ (гл.45), КОАП РФ (гл.13), Федеральный закон о банках и банковской деятельности №175-ФЗ от 27.10.2008 (гл. 3, гл. 6), Федеральный закон о персональных данных №152-ФЗ от 26июля 2006 года, Закон о защите прав потребителей (ст.7.) и ряд других законов и распоряжений Банка России.

Большое спасибо за приведенные примеры, моделирующие различные ситуации. Хотелось бы поподробнее на них ответить. Во-первых, во всех известных мне случаях, когда злоумышленниками предпринимались попытки снять деньги с карточного счета клиентов, кроме физической кражи карт, банки либо предотвратили подобные попытки, либо возместили клиентам убытки. В случае кражи кредитных карт клиенты сумели получить страховки, покрывшие большую часть ущерба. Но это только известные мне случаи. Возможно, вы сталкивались с другими ситуациями и иным поведением банков.

Я уверен в том, что ответственность за преступления должны нести преступники. А вот за принятие мер, снижающих вероятность подобных преступлений, несомненно, отвечают банки.

В соответствии с Законом о правах потребителей любой клиент имеет право на получение услуги безопасной для его жизни, здоровья и имущества. В соответствии с другими перечисленными законами банки обязаны обеспечивать банковскую тайну, сохранность персональных данных (данные кредитной карты являются персональными данными) и сохранность вкладов клиентов. Кроме того, вклады физических лиц обязаны быть застрахованы.

Соответственно, безопасность банкоматов и мест их установки относится к прямой обязанности банков, их устанавливающих.

Приведенный в примере 1 вариант заражения банкомата «трояном», скорее всего, может быть связан с нарушением банком стандарта информационной безопасности, введенного распоряжением Р-27 ЦБ РФ от 26 января 2006 года. Неоднократное же нарушение распоряжений Банка России может привести коммерческий банк к отзыву лицензии.

Вариант установки скиммингового оборудования может говорить о недостаточных мерах по защите персональных данных и недостаточном уровне безопасности предоставляемой услуги. Ответственность за обеспечение должных мер безопасности несет владелец банкомата.

В случае сомнений в отношении операций, осуществляемых с карточным счетом, владельцу счета следует, прежде всего, обратиться в банк, выпустивший карту. То есть, в тот банк, с которым у него есть договорные отношения. Так как все операции по электронным картам осуществляются на основании межбанковских соглашений, банк-эмитент легко сможет выяснить всю историю транзакций с картой.

В примере № 2 говорится о «фишинге». В случае заражения компьютера клиента, очевидно, ответственность за потерю данных несет клиент. В случае заражения банковского компьютера - банк. Однако, современные системы защиты информации серьезно снижают вероятность подобных случаев.

По примеру 1:

Если злоумышленники не получили доступ к ПИН коду, то у клиента еще остается шанс оспорить мошеннические транзакции (если у него включено СМС оповещение) оперативно уведомив выпустивший карту банк и заблокировав карту при первой же попытки мошенников снять с нее деньги. В случае если же ПИН код тоже стал доступен злоумышленникам – то шансов у клиента практически нет - в подавляющем большинстве договоров на обслуживание пластиковых карт явно написано что если транзакция совершена с подтверждением ПИН кода – то финансовую ответственность за нее несет клиент.

По примеру 2:

Обычно если в банк приходит платежное поручение подписанное валидной ЭЦП клиента, то данная транзакция считается легитимной и это прописывается в договоре. И при этом не важно – сам клиент ее произвел или это был мошенник. Задача обеспечения безопасности клиентской части системы ДБО всецело является задачей клиента и обычно в договорах это явно указывается. Если же была взломана серверная часть на стороне банка, в этом случае за утекшие средства клиентов несет ответственность сам банк, более того, клиент обычно об этих проблемах не узнает, ведь всегда можно рассказать про технический сбой, который временно привел к видимости уменьшения остатка на счете клиента.

Вариант ответа 1) - проблемы вообще не вижу, если речь не идет об очевидно рабских условиях труда и прочих нарушениях Трудового и Уголовного кодексов. Но некоторые недобросовестные работники банка могут именно этими соображениями объяснять свои неблаговидные поступки. Но объяснение – это не причина действий, а скорее психологический прием для самоуспокоения совести.

Вариант 2). Совершенно согласен. Вывод для работодателей: не создавайте искушений для своих работников, заранее беспокойтесь о защите своих активов и моральном климате в компании.

Вариант 3). Совершенно согласен. Многим не хватает. Первооснова любой системы внутреннего контроля – Tone On the Top - моральный климат, корпоративный дух, который задается с самого верха компании, личным примером руководства компании.

К сожалению, многие современные компании уделяют вопросам кадровой безопасности недостаточно внимания. В банках с кадрами ситуация чуть лучше, чем в других отраслях. Но указанная проблема в банках тоже стоит достаточно остро. Внимание к нуждам сотрудников и достойная зарплата являются одними из элементов кадровой безопасности.

С компьютеризацией банковских процессов многие специалисты по безопасности стали отождествлять информационную и компьютерную безопасность. Это - огромная ошибка! Основным элементом системы информационной безопасности являются люди. Об этом нельзя забывать.

Да, в пп. 1 и 2 вы отметили существующее состояние дел.

Проблема инсайдеров является актуальной не только в банковской сфере. Причем, кризис, сыграл здесь особую роль, поскольку в условиях массовых сокращений персонала, в ожидании возможного увольнения сотрудники готовы передать конкурентам конфиденциальную информацию компании, в которой они работают. Существуют результаты опросов, проведенных, правда, зарубежными исследователями, согласно которым, от 50% до 70% опрошенных уже скопировали или готовы поделиться корпоративной информацией с потенциальным работодателем в случае увольнения.

Человеческий фактор в целом и угроза инсайдеров в частности - это проблема не только банковской, но и любой другой отрасли. Про банки, возможно, говорят чаще, потому что там просто денег больше. В большинстве компаний руководство платит своим работникам столько, сколько минимально достаточно, чтобы они выполняли свои обязанности и это совершенно объяснимо с точки зрения бизнеса. И это в целом не является причиной противоправных действий «обиженных» работников. И, к сожалению, esprit de corps не сильно у нас приживается в связи с особенностями русского менталитета.

Не совсем согласен. Погоня за прибылью, сама по себе,  – не причина проколов. Проблема в том, что некоторыми инвесторами прибыль рассматривается только в краткосрочном периоде, без взгляда в перспективу, когда могут появиться дополнительные расходы, напрочь съедающие всю ранее полученную прибыль. Причина – однобокое развитие бизнеса, не достаточное внимание вопросам управления рисками, созданию необходимых резервов мощности / безопасности. Эти резервы, как ни странно, не всегда выражаются в крупных расходах.

На мой взгляд, пластиковая карта является удобным платежным средством. Есть клиентский спрос на этот вид банковских услуг, соответственно, есть и предложение. Возможно, некоторые банки не слишком хорошо контролируют эмиссию «пластиковых денег». Например, рассылка пластиковых карт по почте признана очень рискованным способом их распространения.

Гораздо опаснее погони за сверхприбылями, на мой взгляд, погоня за «сверхэкономией», в том числе, на безопасности. И здесь я с Вами полностью согласен.

Нет, проблемы безопасности не связаны с количеством клиентов (или карточек) линейной зависимостью.

Ну я бы не стал так категорично утверждать. Очевидно что при увеличении эмиссии карт увеличивается риск и потери от мошенничества, но зависимость явно нелинейная – нельзя сказать что при увеличении эмиссии карт в 5 раз риск вырастет тоже в 5 раз и затраты на его уменьшение тоже должны вырасти в 5 раз.

Количество инцидентов на самом деле увеличивается при увеличении клиентской базы, степени автоматизации, количества продуктов в банке - но при этом клиенты получают новые удобные сервисы, получают новые возможности – плата за которые несколько возросшие риски ИБ, с которыми надо, несомненно, работать – что и делают банки. Кроме того считать бизнес с пластиковыми картами сверхприбыльным наверное тоже не очень правильно – комиссии там довольно небольшие а количество транзакций и реально активных карт на тысячу человек у нас относительно мало по сравнению с западными странами.

Быстро и прямо сейчас можно почесать у себя за ухом. Законы быстро не меняются. Склонность к риску – свойство далеко не только русского человека. Да и законодательство у нас не самое плохое, которое можно было бы себе представить после всего лишь 20 лет самостоятельного развития страны в условиях рыночной экономики. Просто вспомните, когда и почему появились законы о системе страхования вкладов в США, сколько десятилетий до этого существовала там банковская система и еще до этого – в Европе. Отвечая на подобные вопросы, я часто напоминаю коллегам о тех исторических случаях, которые описаны в художественной литературе и многих кинофильмах. Российских героев в этих произведениях – совсем немного, как правило, американские, французские, итальянские. Наша задача – проще, нужно учиться не на своих ошибках, а на чужих. Менять мировоззрение не нужно.

Уважаемый, Сергей, я не вполне с Вами согласен. Во-первых, российские банки уделяют внимание информационной безопасности. Даже приняты отраслевые стандарты по банковской информационной безопасности. При этом, возможно, некоторые банки понимают информационную безопасность несколько однобоко, и забывают о комплексном подходе.

Во-вторых, лично у меня сложилось обратное мнение по поводу рисков. Российские банки не любят и боятся рисковать. Возможно, это связано с устаревшим подходом к управлению рисками.

В-третьих, российское банковское законодательство не настолько плохо. На мой взгляд, оно лучше, чем во многих других странах. Возможно, присутствует несколько избыточный контроль со стороны Центробанка, что лишает многие банки инициативы и стремления к риску. И самой главной угрозой банки считают возможный отзыв лицензии, зачастую не обращая должного внимания на прочие опасности. Но это мое личное мнение.

Не совсем так. Банки дорожат своей репутацией и уделяют информационной безопасности серьезное внимание. Более того, многие крупные российские банки работают на зарубежных рынках или их ценные бумаги торгуются на зарубежных биржах. А в этих случаях зарубежные регуляторы серьезно следят за соответствием инфраструктуры банка, в том числе информационной, международным стандартам безопасности. Также многие отечественные банки стараются следовать стандартам и предписаниям Центрального банка России, хотя данные стандарты пока не являются обязательными к исполнению.

Не могу согласится с вами, по сравнению с другими отраслями ИТ безопасности в банках уделяют намного больше времени и затрат, чем, например, в компаниях ТЭК, страховых компаниях или медицинских учреждениях. Конечно есть проблемы и с законодательной базой и с местами «совковым» менталитетом, но именно для банковской отрасли еще в 2006 году разработан стандарт по обеспечению ИБ в отличие от всех других отраслей – это показывает важность данной тематики как для регуляторов так и для всего сообщества.

Доступность и постоянное развитие современных технологий – разумеется, основная причина. Простой взлом или кража самого банкомата – не только в кризис возможны, к сожалению.

Да, Роман, очень точно подмечено. Следствием кризиса стал некоторый всплеск «устаревших»  и менее технологичных видов преступлений в ряде регионов. Например, случаи взломов банкоматов и провоцирования застреваний пластиковых карт (с последующей их кражей) участились на Украине и в ряде других стран Восточной Европы.

Полностью с вами согласен. Это неизбежное следствие прогресса, постоянная борьба между защитой и нападением. И дело тут на самом деле не в кризисе , а скорее в менталитете – с 2006 года введен в действие стандарт безопасности для карточных систем - PCI DSS. Банки об этом знали но особо ничего не делали пока не начались проблемы или не платежные системы не пригрозили штрафами.

Считаю, что пока российские кредитные организации не ощутили в полной мере вероятность и возможные каналы потерь, и пока случаи скиминга носят единичный характер по-сравнению с кражами денег из банкоматов. Однако в уже ближайшем будущем потери от мошенничеств с пластиком перекроют последние в разы.

Осуществляя платежи с помощью электронных карт, следует соблюдать ряд мер предосторожности. Что касается платежей через Интернет, то при отсутствии надежного защищенного соединения и проверенного поставщика услуг, отказ от использования от кредитной карты в качестве средства оплаты будет разумным. Если все же Вы хотите пользоваться платежами через Интернет, заведите отдельную карту с ограниченным количеством денежных средств на ней, с ограничением по сумме операций и ограничением «овердрафта». Закажите подтверждение транзакции через мобильный телефон. Меняйте эту карту не реже 1 раза в год.

Комментарий: Конечно 100% безопасности будет только в этом случае. Но тогда зачем вообще иметь пластиковую карту? Для большинства держателей карт следование простым правилам безопасности при оплате (эти привила дают обычно в банке при заключении договора) позволит получить все преимущества использования пластиковой карты при минимальном риске.

Многовековой банковский опыт показывает, что наибольший урон банку могут нанести т.н. «инсайдеры». Если следствие подтвердило, что хищения совершили сотрудники банка, у меня возникает закономерный вопрос: кто отвечал за прием этих сотрудников на работу? Почему не собрали о них достаточную информацию? С другой стороны, человек - не иголка в стоге сена. При желании можно найти. Вопрос в том, как избежать повторения подобных ошибок в будущем?

Похоже, в последнее время произошла девальвация понятий честность и порядочность. И по этим критериям больше не подбирают сотрудников.

Вопрос неизбежности наказания лежит в области эффективной работы государственной правоохранительной системы, ведь не секрет, что при планировании преступления остановить злоумышленника может только неотвратимость наказания.

Это вопрос - прежде всего организационный: в банке должны существовать полноценные, не зависимые от бизнес-подразделений функции управления рисками, включающие вопросы защиты активов, людей, информации. А функции (подразделения и их руководители) уже, в свою очередь, получают необходимые кадровые и технические ресурсы. Сами по себе кадры и/или технические средства делу не помогут.

Это, прежде всего, вопрос комплексного подхода к безопасности и управлению рисками.

Также следует заметить, что современная проблема банковской безопасности вышла за пределы каждого отдельного банка и даже за пределы отдельных стран. Решать ее надо совместными усилиями банкиров и специалистов по безопасности на международном уровне. Отмалчиваясь и «пряча голову в песок» проблему не решить.

Думаю, что кадровый.

Оба аспекта играют одинаково важную роль, как мне кажется. У банка может быть самая надежная защита информационных систем, обеспечивающая 100% защиту внешнего периметра, однако проблемы внутренние, проблемы с кадрами могут привести к росту количества инсайдеров и свести эффективность общей защиты к нулю. Также и наоборот, надежные кадры при неэффективной защите от внешних угроз поставят репутацию и бизнес банка под угрозу.

Думаю нельзя однозначно сказать что важнее кадровая или техническая составляющая этого вопроса. Безопасность банка – комплексная задача, которую невозможно решить только кадровыми или техническими методами. Точно также как нельзя сказать что важнее в службе такси – техническое состояние автомобиля или состояние здоровья водителя – для того чтобы доехать до пункта назначения одинаково важно и то и другое.

Если отвечать  предельно точно – безопасность кредитной организации есть комплексное явление, состоящее из множества элементов - технической, кадровой, экономической составляющей и многих других. Как в любой системе, эти элементы взаимодействуют друг с другом и обеспечивают нужный уровень защиты. Ослабление или отсутствие  одного элемента, как и в человеческом организме, может привести к непоправимым последствиям для “здоровья”.

Ситуация - не простая, и еще более осложняющая в связи с вступлением в силу с 1 января 2010 г. некоторых законоположений о защите персональных данных.

В денежном выражении убытки от хищения личной информации во всем мире в этом году достигнут 8,5 миллиардов долларов США (по оценкам американских спецслужб). По мере развития систем электронных систем идентификации проблема будет становиться серьезнее. Кража «личности» из фантастики станет реальностью. Впрочем, получение кредитов по чужим или поддельным паспортам (на реальные имена) процветает уже много лет.

Благодаря активности наших законодателей эта проблема превратилась в задачу для банков, решение которой им необходимо найти в ближайшее время. Я имею в виду ФЗ 152 «О защите персональных данных». Некоторые банки уже видят финишную черту, т.е. уже понимаю что им конкретно надо сделать во всех своих информационных системах для того чтобы решить исходную проблему, некоторые находятся еще в самом начале пути.

Такой короткий, но общий вопрос, что трудно ответить коротко и определенно. Пока что банковская система выполняет свои основные расчетные функции, в общем, исправно. Так что, по направлениям информационной безопасности – системы адекватны. Как будет в дальнейшем – зависит от нас, у меня нет данных о проведении объективных исследований и статистике в этой области. Возможно, в ГУБЗИ ЦБРФ подобные данные и прогнозы имеются.

По другим направлениям – не такая радужная картинка. Иначе бы не пришлось Госдуме вносить изменения в закон о страховании вкладов, позволяющий банкам, имеющим плохие показатели доходности, сохранять гарантии государства. А также не пришлось бы за счет федерального бюджета компенсировать катастрофический недостаток капитала в банковской системе в целом и по некоторым крупным банкам, в частности.

Экономическая безопасность таких банков находится под угрозой «атак» со стороны плохих заемщиков, непредсказуемых вкладчиков и жадных работников. 

В настоящее время мы можем предложить организационно-технические решения, которые решат большинство проблем банков в области безопасности.

С другой стороны, многие банки пока не готовы их приобретать. И основные причины: консерватизм, ложная экономия, закрытость банков в обмене информацией.

Существующие разработки систем безопасности достаточно адекватны текущим угрозам. Но вот их применение в банках может местами отставать – как только банк сталкивается с новой угрозой и начинает терять деньги или репутацию – обычно он сразу заказывает себе современную систему защиты от нее. Примером может служить защита от DDOS атак – далеко не в каждом крупном, не говоря уж о мелких, банке она стоит. Но в банках подвергшихся такого рода атакам она есть практически всегда.

Скажу без излишней скромности, российские негосударственные структуры безопасности предлагают высококачественные услуги на уровне мировых стандартов, с использованием накопленного зарубежного опыта. Отставания не будет. Этому способствует много факторов - высокий уровень подготовки IT-специалистов, развитость института частной охраны и частных детективов. Даже данная on-line конференция свидетельствует, что  «палец лежит на спусковом крючке».

На мой личный взгляд, банки озабочены не очень серьезно. Стандарт, предложенный ЦБ РФ, принят для исполнения немногими банками, мало в каких банках имеются подразделения для аудита информационной безопасности. Если вопрос о безопасности трактовать в расширительном плане – не только как информационную, но и вообще безопасности деятельности, то картина еще грустнее. Показательна ситуация с авральной разработкой весной-летом 2009 г. планов по обеспечению непрерывности деятельности (Планов ОНИВД) по указанию ЦБ РФ № 2194-у (введено приложение 5 к Положению № 242-п).  Возможно, я не знаю каких-то важных фактов, и буду рад ошибиться, но у меня сложилось впечатление, что комплексный и весьма практический подход к обеспечению безопасности, содержащийся в упомянутом указании ЦБ РФ, заставил подразделения рисков во многих банках задуматься о смысле своего существования. Хотелось бы также, чтобы руководство банков начало воспринимать вопросы физической и информационной безопасности не только как элемент взаимоотношений с правоохранительными органами, а как составную часть комплексной системы управления рисками, защищающей бизнес в целом.

Безусловно, в таком ПО могут быть “закладки”, которые могут использоваться для совершения компьютерных преступлений. Не вижу смысла в создании альтернативного отечественного ПО, так как проще использовать зарубежное.

Смотря, о каком ПО идет речь. Если речь идет о ПО информационной безопасности, то на нашем рынке обширно присутствуют такие отечественные поставщики, как «Лаборатория Касперского», «Доктор Веб», «Информзащита». На рынке бизнес приложений успешно работает «1С». Если речь идет об операционных системах и офисных приложениях, то здесь, если говорить о проприетарных программах, альтернативы зарубежным поставщикам пока нет. Конечно, данное ПО не всегда несовершенно  с точки зрения безопасности и уязвимостей, тем не менее поставщики серьезно относятся к этим проблемам и стараются оперативно их решать, поставляя необходимые патчи путем обновления систем.

«Бомбой замедленного действия» это не окажется. Проблема эта известна уже более 30 лет и там где на самом деле это важно – например, для криптографического ПО, там применяются системы сертификации на наличие недекларированных возможностей что практически исключает данную угрозу. По статистике «сюрпризов» в ПО с закрытым кодом не больше чем в ПО с открытым исходным кодом – поскольку обычно в последнем случае кто угодно может по сути туда что-то добавить и никто не проверяет весь код в целом на наличие «сюрпризов». А по поводу собственных «умельцев» - они есть, но создать аналогичное ПО они не могут. Тут уместна аналогия с автомобильной промышленностью – у нас есть гениальные инженеры, но нет хороших легковых автомобилей собственной разработки. Слишком это сложная задача для «умельца».