Банки возьмут под отечественную криптозащиту: Переход на российские системы ожидается небыстрым и дорогим
Российским банкам придется ускоренно переходить на отечественные HSM-модули, которые обеспечивают защиту трансакций и данных клиентов. По словам экспертов, отсутствие обновлений от иностранных поставщиков может привести в том числе к остановке работы карт. Участники рынка отмечают, что для небольших банков замена может оказаться серьезной финансовой нагрузкой, а полный переход на отечественные системы может занять не менее девяти месяцев.
Как рассказали участники финансового рынка, на состоявшемся 15 апреля совещании ЦБ с банками и отечественными производителями было принято решение о необходимости оперативной замены иностранных HSM-модулей отечественными. Эту информацию подтвердил советник CriptoProf Владимир Простов. В ЦБ отметили, что "вопрос создания отечественных стандартов изучается с заинтересованными участниками".
Аппаратный модуль безопасности (HSM) защищает информационные системы, применяющие криптографию, от раскрытия данных. Они защищены от несанкционированного доступа, физического вскрытия, съема информации техническими средствами. Модули выпускаются в разных вариациях, от простой карты расширения до отдельных устройств, которые имеют антивандальную защиту. Российские банки, как правило, используют модули Thales. Также их выпускают российские CriptoPro и Infotecs.
Гендиректор "Киберполигона" Лука Сафонов поясняет, что без обновлений есть риск некорректной работы HSM-модулей. В частности, это может привести к тому, что карты пользователей перестанут работать, добавляет эксперт.
Однако переход на отечественные HSM-модули будет дорогим и небыстрым.
При этом, по словам участников рынка, Сбербанк и ВТБ будут менять модули самостоятельно, остальные банки - через вендоров. Собеседник "Ъ" на банковском рынке оценивает, что всего по России необходимо заменить несколько тысяч модулей, причем крупным банкам придется заместить десятки модулей, тогда как небольшим банкам - единицы. Стоимость HSM-модулей, по словам источника "Ъ", начинается от 3 млн руб. за штуку для неплатежных модулей, тогда как платежные могут стоить в разы дороже. По словам заместителя гендиректора Infotecs Дмитрия Гусева, цена на такие решения может начинаться с десятков тысяч долларов. В ВТБ и Сбербанке не ответили на запросы "Ъ".
Вместе с тем, пояснил независимый эксперт Артем Сычев, отечественные HSM-модули обычно собираются из импортных комплектующих. "Сейчас преимущественно китайских, при этом сейчас поставки из Китая ограничены логистическими проблемами, в том числе на фоне карантина",- уточнил управляющий RTM Group Евгений Царев. Господин Сычев отмечает, что банкам необходимо взять на тестирование отечественные HSM-модули, чтобы донести до разработчиков, что необходимо доработать, а затем необходимо разработать план перехода на эти решения. При этом, по словам эксперта, необходимо, чтобы софт соответствовал всем стандартам, его поддерживали все платежные системы и он мог работать при высоких нагрузках.
По оценке собеседника "Ъ" из отечественных поставщиков, для того чтобы оснастить банки отечественными HSM-модулями, потребуется около девяти месяцев, так как производительность компаний составляет десятки модулей в месяц.
Вместе с тем, по словам Дмитрия Гусева, полный переход на отечественные HSM-модули для банков может затянуться на несколько лет, так как необходимо не только произвести оборудование, но и адаптировать его. Впрочем, ряд банков уже используют отечественные HSM-модули. Так, в Абсолют-банке отметили, что как платежные, так и неплатежные модули в банке от отечественных поставщиков.
Участники рынка считают, что ЦБ необходимо разработать отечественный аналог международному стандарту PCI DSS (комплексный стандарт безопасности платежных систем), так как получить сертификат отечественным вендорам в силу геополитических ограничений невозможно, даже при соответствии требованиям, при этом банки без такого сертификата обычно не хотят использовать оборудование от отечественных вендоров.
Источник: Коммерсант https://www.kommersant.ru/doc/5317050
20.04.2022
