Безналичные платежи ничем не защищены? Переходим на кэш?
На прошлой неделе были опубликованы интереснейшие материалы исследования, на тему возможных рисков и проблем, связанных с возможным уходом из России иностранных производителей HSM-модулей (аппаратных решений для криптографии, и обеспечения безопасных операций между банком и клиентами). Исследование, якобы проводилось по заказу одного из крупнейших российских банков. Сам банк категорически отрицает свою причастность к данному опусу. И возможно зря. Ничего криминального в таком исследовании нет. Уважающие себя профессионалы в банковской сфере просто обязаны оценивать все риски, которые могут прямо или косвенно повлиять на финансовую безопасность их клиентов.
Мы попросили смоделировать такую ситуацию и ответить на несколько вопросов Дмитрия Гусева, заместителя генерального директора компании «ИнфоТеКС»:
В случае ухода из России компании Thales и прекращения техподдержки их HSM-модулей, найдутся ли у вас решения способные заменить их?
Если отвечать коротко — да, найдутся. Но есть ряд важных нюансов, которые следует иметь в виду. Несмотря на наличие «международных» рекомендаций PCI SSC, которые некоторые не очень корректно называют «стандартами», каждая платежная система имеет свои особенности, поддержку которых должны обеспечивать HSM.
Более того, каждый крупный банк — участник той или иной платежной системы — адаптирует некоторые элементы программного обеспечения, реализующего операции с платежными картами, под себя. И опять же — HSM’ы должны эти особенности также поддерживать. Получается, что создать универсальный HSM, опираясь только на рекомендации PCI SSC, нельзя. Также нельзя создать платежный HSM, опираясь только на требования ФСБ России к СКЗИ (средство криптографической защиты информации), так как такой HSM должен иметь еще множество прикладных функций, специфичных именно для платежных систем. Поэтому необходимо провести серьезную работу по обеспечению его совместимости с процессинговыми системами банков и платежных систем перед установкой в эти системы.
Благодаря инициативе Центрального Банка России соответствующие работы по тестированию совместимости отечественных платежных HSM с процессинговыми системами банков уже начались. Со стороны ГК «ИнфоТеКС» в этих работах принимает участие компания «Системы практической безопасности» со своим СПБ HSM PS.
Какое количество HSM-модулей российского производства потребуется в такой ситуации одномоментно?
Этот вопрос лучше адресовать представителям банковской сферы. По нашим оценкам речь может идти о 100 и более изделиях.
Сколько времени займет их производство и замена?
В современных условиях сложно прогнозировать точные сроки производства аппаратных платформ для HSM. Также пока не ясно, сколько времени уйдет на тестирование совместимости существующих отечественных HSM с платежными системами, организованные ЦБ, их доработку, а также последующую сертификацию по требованиям ФСБ России к СКЗИ. По самым оптимистичным оценкам — не менее 6 мес.
А полный переход на отечественные HSM для банков с поддержкой российской криптографии может занять несколько лет, так как необходимо не только произвести необходимое количество HSM, но и поддержать российскую криптографию на конечном оборудовании: терминалах оплаты, банкоматах; произвести необходимый объем самих банковских карт, также поддерживающих российскую криптографию.
Хотим еще раз уточнить: ситуация с уходом зарубежных поставщиков HSM-модулей лишь предполагаемая. На сегодняшний день никаких заявлений о прекращении сотрудничества не публиковалось.