La RBI chiede alle banche di disattivare Windows XP sugli sportelli automatici

La RBI ordina a tutte le banche di aggiornare gli sportelli automatici che funzionano ancora con Windows XP entro giugno 2019

La Reserve Bank of India (RBI) ha emesso un avviso alle banche nazionali per disinstallare il sistema operativo Microsoft XP da tutti gli sportelli automatici e aggiornarli entro giugno 2019.

Per chi non lo sapesse, nell’aprile 2014, Microsoft aveva annunciato che stava interrompendo le versioni della build di Windows XP. Da allora, l’azienda non ha rilasciato alcuna patch di sicurezza né ha annunciato nuove funzionalità per Windows XP.

Nell’aprile 2017, la RBI, attraverso una “circular riservata” alle banche, aveva sottolineato le preoccupazioni riguardo agli sportelli automatici che funzionano con Windows XP e altri sistemi operativi vulnerabili.

“Si invita anche a fare riferimento alla nostra Advisory riservata n. 3/2017 del 6 marzo 2017 e n. 13/2017 del 1 novembre 2017 in cui si consigliava alle banche di mettere in atto, con effetto immediato, controlli adeguati elencati nell’elenco esemplificativo dei controlli,” ha affermato la RBI in una circular riservata alle banche riguardo agli sportelli automatici che funzionano con Windows XP e altri sistemi operativi non supportati.

Nonostante siano stati inviati avvisi alle banche in passato per istruirle a mettere in atto piani di migrazione, le cose non si sono mosse abbastanza velocemente per la RBI.

“Il lento progresso da parte delle banche nell’affrontare queste problematiche è stato visto seriamente dalla RBI,” si legge nell’avviso.

La circular emessa dalla banca centrale evidenzia anche che “la vulnerabilità derivante dagli sportelli automatici delle banche che operano su versioni non supportate del sistema operativo e la non attuazione di altre misure di sicurezza, potrebbero potenzialmente influenzare negativamente gli interessi dei clienti delle banche, oltre a tali eventi, se presenti, che incidono sull’immagine della banca.”

La banca centrale ha avvertito che adotterà misure regolatorie contro le banche che non si conformano all’ordine.

“Si fa presente che qualsiasi carenza nella conformità tempestiva ed efficace con le istruzioni contenute in questa Circular potrebbe comportare un’adeguata azione di enforcement da parte della supervisione ai sensi delle disposizioni applicabili del Banking Regulation Act, 1949 e/o del Payment and Settlement Systems Act, 2007,” ha affermato la RBI.

La RBI ha dato alle banche e agli “operatori di sportelli automatici a marchio bianco” una scadenza per affrontare tutte le problematiche e effettuare gli aggiornamenti in modo graduale. Vuole che almeno il 25% degli sportelli automatici sia aggiornato entro settembre 2018, mentre il 50% dei sistemi deve essere aggiornato entro dicembre 2018. Tutti gli sportelli automatici con versioni supportate del sistema operativo devono essere aggiornati all’ultima versione entro giugno 2019.

Oltre a ordinare alle banche di aggiornare i loro sportelli automatici, la RBI ha anche chiesto loro di implementare altre misure di sicurezza come la password del BIOS, la disabilitazione delle porte USB, la disabilitazione della funzione di auto-esecuzione, l’applicazione delle ultime patch del sistema operativo e di altri software, soluzioni di sicurezza per terminali, accesso amministrativo basato sul tempo, ecc. entro agosto.

Inoltre, la RBI ha ordinato alle banche di implementare soluzioni anti-skimming e di whitelisting sugli sportelli automatici in modo che solo il software approvato possa funzionare su di essi. La scadenza per implementare queste soluzioni è marzo 2019.

La RBI ha istruito le banche a presentare i loro piani di conformità entro la fine di luglio 2018. “I progressi realizzati nell’attuazione di queste misure devono essere monitorati da vicino per garantire il rispetto delle scadenze prescritte,” ha aggiunto la circular.