Банки не оценили российскую безопасность
Предложенные ЦБ для тестирования отечественные аппаратные модули безопасности вызвали вопросы у банкиров. По их мнению, регулятор предложил "несовместимые с основными бизнес-процессами кредитных организаций" и дорогостоящие решения, что рискует замедлить процесс импортозамещения.
ЦБ рекомендовал банкам провести тестирование отечественных HSM-модулей, следует из письма регулятора от 7 августа, разосланного по банкам (есть в распоряжении "Ъ"). Сегодня установленным НСПК требованиям к HSM-модулям из российских производителей соответствуют решения "Крипто-Про" и "Системы практической безопасности", поэтому тестировать в качестве замены иностранным необходимо именно их, говорится в документе. В ЦБ не ответили на запрос "Ъ".
Аппаратный модуль безопасности (HSM) защищает информационные системы, применяющие криптографию, от раскрытия данных от несанкционированного доступа, физического вскрытия, съема информации. Модули выпускаются в разных вариациях, от простой карты расширения до отдельных устройств, которые имеют антивандальную защиту.
Банкиры опасаются, что тесты помешают эффективному импортозамещению. Банк переводит денежные средства через платежную систему ЦБ - это ключевой бизнес-процесс, и он есть в любом банке, поясняет собеседник "Ъ" из числа банкиров. При этом все взаимодействие платежного сегмента ЦБ идет через средство криптографической защиты информации (СКЗИ) "Сигнатура", которое решение "Крипто-Про" не поддерживает, поясняет он. Раньше выбор в этом направлении был свободным, но теперь ЦБ регуляторно настаивает на использовании российских HSM-модулей конкретных компаний, отмечает он.
Кроме того, HSM-модули - достаточно дорогой продукт, подчеркивают банкиры.
Кредитной организации нужно как минимум два HSM-модуля - основной и резервный, при этом, например, один модуль "Крипто-Про" может обойтись примерно в 3 млн руб., рассказывают собеседники "Ъ".
Внедрение модуля для тестирования подразумевает цепочку внутренних процедур по миграции, встраиванию и апробированию решения, а сам модуль представляет из себя технически сложный комплекс, для тестирования всех необходимых функций которого может потребоваться использование большого числа человеческих ресурсов и времени, добавляет руководитель направления кибербезопасности RTM Group Артем Бруданин.
Заместитель гендиректора "КриптоПро" Станислав Смышляев пояснил, что взаимодействие с HSM в платежном сегменте в банках реализуется либо с помощью программного обеспечения (ПО) собственной разработки, либо посредством модулей одного из нескольких разработчиков процессинговых решений.
Все такие реализации создавались, дорабатывались, тестировались и применялись ранее с HSM зарубежных производителей, говорит он.
После получения сертификата ФСБ на HSM разработки "КриптоПро", добавляет топ-менеджер, банки и разработчики ПО для процессинга активно начали тестировать его в части совместимости с существующим ПО. Для "широкого множества систем", по его словам, совместимость уже подтверждена, рядом банков, в частности, из топ-10, уже проводятся закупочные процедуры с целью применения HSM "КриптоПро" в платежном сегменте.
Эксперты по информбезопасности уточняют, что применение HSM в платежном сегменте с "Сигнатурой" не связано. ""Сигнатура" - система криптографической аутентификации документов, по сути, средство электронной подписи и верификации. HSM - программно-аппаратный модуль, обеспечивающий защиту криптографических ключей,- это решение для защиты данных клиентов и трансакций при их передаче и хранении в случае взлома",- подчеркивает господин Бруданин. С технической точки зрения, утверждает он, "это совсем разные продукты".
Источник: Коммерсант https://www.kommersant.ru/doc/6174146
24.08.2023
