ЦБ разработал план тестирования отечественных HSM-модулей, необходимых для безопасного проведения платежей. Ими придется заменить импортные. В тесте будут участвовать сам регулятор, крупные банки, НСПК и разработчики оборудования. Но, по мнению участников рынка, этого недостаточно для получения релевантных результатов. Также эксперты обращают внимание на отсутствие среди проверяющих независимых процессинговых центров.
Фото: Анатолий Жданов, Коммерсантъ
Фото: Анатолий Жданов, Коммерсантъ
ЦБ утвердил «дорожную карту» проведения тестирования отечественных HSM-модулей (есть в распоряжении “Ъ”). Речь идет об аппаратных модулях безопасности, которые защищают информационные системы, применяющие криптографию, от несанкционированного доступа, физического вскрытия, съема информации техсредствами. Модули выпускаются в разных вариантах, от простой карты расширения до отдельных устройств, которые имеют антивандальную защиту. Российские банки, как правило, используют импортные модули Thales. Также их выпускают российские CryptoPro и Infotecs.
Согласно «дорожной карте», к концу мая отечественные разработчики предоставят «техническую документацию» банкам, которые проверят ограничения применения HSM-модулей.
К этому сроку также необходимо согласовать с ФСБ техническое задание для проведения тестирования. До середины августа, по плану регулятора, HSM-модули должны быть доставлены в банки и НСПК, чтобы началось практическое тестирование. К середине октября после выявления разногласий по применению HSM-модулей, после доработки начнется повторный тест. Завершить тестирование ЦБ планирует к концу декабря.
В ЦБ уточнили, что «обсуждение "дорожной карты" по вопросу тестирования российских HSM-модулей продолжается». На другие вопросы там отвечать отказались.
Согласно документу, помимо НСПК к тестированию регулятор привлек разработчиков CryptoPro и СПБ («дочка» компании Infotecs), а также несколько банков: Сбербанк, ВТБ, «Открытие», Промсвязьбанк, МКБ и «Тинькофф». Небольшие банки и кредитные организации с иностранным капиталом, даже из числа крупнейших карточных игроков, например Райффайзенбанк и Росбанк, не приглашены.
Эксперты считают, что выборка участников тестирования ЦБ недостаточна для получения релевантных результатов.
Так, независимый эксперт Артем Сычев (ранее куратор ФинЦЕРТ в ЦБ) отмечает, что для тестирования необходимо как минимум десять банков, именно процессингов (совокупность операций, которые производятся при проведении платежей или зачислении денежных средств), иначе «не удастся набрать нужный опыт». К тому же, по мнению господина Сычева, к вопросу тестирования должны быть привлечены все платежные системы, так как им необходимо в своих правилах и технических стандартах отразить использование отечественных HSM-модулей. Эксперты сходятся во мнении, что в тестировании должны участвовать процессинговые компании, которые специализируются на проведение платежей, чтобы HSM-модули работали корректно.
Артем Сычев, первый заместитель директора департамента информационной безопасности ЦБ, 31 августа 2018 года:
«Санкции США в отношении поставок в РФ продукции двойного назначения могут затронуть криптографические модули российских платежных систем».
Независимый эксперт по кибербезопасности Алексей Лукацкий считает, что к тестированию стоит привлечь не только крупные банки, но и небольшие кредитные организации. «Если кредитные организации уровня Сбербанка способны выделить целое отделение под обслуживание процессинга, то в небольших банках задачи по обеспечению безопасности в целом выполняет обычно один человек,— объясняет он.— И чтобы не оказалось, что регламенты по использованию HSM-модулей может выполнять только определенный круг участников рынка, к тестированию стоит привлекать банки разного уровня».
Технический директор «Синклит» Лука Сафонов поясняет, что небольшое количество участников и, как следствие, недостаточная проработка сценариев использования HSM-модулей создаст «больше возможностей для их взлома или отказа в работе». В результате, поясняет эксперт, могут возникнуть перебои с отправкой платежей, и вместо нескольких секунд они «будут проводиться часами или в целом перестанут проходить».