Безналичные платежи ничем не защищены? Переходим на кэш?

Логотип компании
Какие проблемы для российских банков повлечет за собой уход Thales?

На прошлой неделе были опубликованы интереснейшие материалы исследования, на тему возможных рисков и проблем, связанных с возможным уходом из России иностранных производителей HSM-модулей (аппаратных решений для криптографии, и обеспечения безопасных операций между банком и клиентами).

Исследование, якобы проводилось по заказу одного из крупнейших российских банков. Сам банк категорически отрицает свою причастность к данному опусу. И возможно зря. Ничего криминального в таком исследовании нет. Уважающие себя профессионалы в банковской сфере просто обязаны оценивать все риски, которые могут прямо или косвенно повлиять на финансовую безопасность их клиентов.

Мы попросили смоделировать такую ситуацию и ответить на несколько вопросов Дмитрия Гусева, заместителя генерального директора компании «ИнфоТеКС»:

В случае ухода из России компании Thales и прекращения техподдержки их HSM-модулей, найдутся ли у вас решения способные заменить их? 

Если отвечать коротко — да, найдутся. Но есть ряд важных нюансов, которые следует иметь в виду. Несмотря на наличие «международных» рекомендаций PCI SSC, которые некоторые не очень корректно называют «стандартами», каждая платежная система имеет свои особенности, поддержку которых должны обеспечивать HSM.

Более того, каждый крупный банк — участник той или иной платежной системы — адаптирует некоторые элементы программного обеспечения, реализующего операции с платежными картами, под себя. И опять же — HSM’ы должны эти особенности также поддерживать. Получается, что создать универсальный HSM, опираясь только на рекомендации PCI SSC, нельзя. Также нельзя создать платежный HSM, опираясь только на требования ФСБ России к СКЗИ (средство криптографической защиты информации), так как такой HSM должен иметь еще множество прикладных функций, специфичных именно для платежных систем. Поэтому необходимо провести серьезную работу по обеспечению его совместимости с процессинговыми системами банков и платежных систем перед установкой в эти системы.

Благодаря инициативе Центрального Банка России соответствующие работы по тестированию совместимости отечественных платежных HSM с процессинговыми системами банков уже начались. Со стороны ГК «ИнфоТеКС» в этих работах принимает участие компания «Системы практической безопасности» со своим СПБ HSM PS.

Какое количество HSM-модулей российского производства потребуется в такой ситуации одномоментно?

Этот вопрос лучше адресовать представителям банковской сферы. По нашим оценкам речь может идти о 100 и более изделиях.

Сколько времени займет их производство и замена?

В современных условиях сложно прогнозировать точные сроки производства аппаратных платформ для HSM. Также пока не ясно, сколько времени уйдет на тестирование совместимости существующих отечественных HSM с платежными системами, организованные ЦБ, их доработку, а также последующую сертификацию по требованиям ФСБ России к СКЗИ. По самым оптимистичным оценкам — не менее 6 мес.

А полный переход на отечественные HSM для банков с поддержкой российской криптографии может занять несколько лет, так как необходимо не только произвести необходимое количество HSM, но и поддержать российскую криптографию на конечном оборудовании: терминалах оплаты, банкоматах; произвести необходимый объем самих банковских карт, также поддерживающих российскую криптографию.

Хотим еще раз уточнить: ситуация с уходом зарубежных поставщиков HSM-модулей лишь предполагаемая. На сегодняшний день никаких заявлений о прекращении сотрудничества не публиковалось.

Читайте также
Вызовы в процессе цифровизации логистики, роботизация и массовое внедрение ИИ, пути монетизации больших данных и грядущие изменения в сегменте с переходом к нацпроекту «Экономика данных» — все эти вопросы поднимались участниками круглого стола «Логистика 4.0: будущее, управляемое данными», организованного и проведенного порталом IT-World.

Опубликовано 27.06.2022

Похожие статьи