В России появился первый HSM-модуль на замену продукции ушедшей из страны Thales, которая сегодня обеспечивает шифрование карточных платежей. Банки должны перейти на отечественные модули с 1 января 2024 года. Как отмечают эксперты, для этого придется перестраивать интерфейс, да и замена самих модулей может обернуться многомиллионными расходами.
Фото: Ирина Бужор, Коммерсантъ
Фото: Ирина Бужор, Коммерсантъ
На прошлой неделе первый производитель платежных HSM-модулей «КриптоПро» получил все необходимые сертификаты. Теперь оборудование могут использовать банки и процессинговые компании для защиты карточных платежей.
Как говорится в сообщении компании, она «впервые в стране разработала и сертифицировала платежный HSM, который может быть полноценной заменой продуктов Thales — ушедшего из России крупнейшего производителя платежных HSM, с помощью которых в настоящее время обеспечивается безопасность подавляющей части трансакций по платежным картам в РФ и в мире».
Как уточнил “Ъ” представитель «КриптоПро» Владимир Простов, «количество модулей, которые готова выпускать компания ежемесячно, будет зависеть от числа заказов».
Аппаратный модуль безопасности Hardware Security Module (HSM) защищает информационные системы, применяющие криптографию, от раскрытия данных при несанкционированном доступе. Модули выпускаются в разных вариациях, от простой карты расширения до отдельных устройств, которые имеют антивандальную защиту. Для защиты информации о платежах по картам российские банки, как правило, используют модули Thales.
Решение о необходимости оперативной замены иностранных HSM-модулей отечественными было принято на совещании ЦБ с банками и отечественными производителями еще прошлой весной (см. “Ъ” от 20 апреля 2022 года). С тех пор российские компании, производящие HSM-модули, занимались разработкой его платежного варианта, который банки и процессинговые компании могли бы использовать для шифрования операций по картам.
Однако не все дошли до финишной прямой. Например, «ИнфоТеКС», готовившаяся выпустить на рынок ViPNet HSM PS, от этих планов отказалась. По словам заместителя гендиректора компании Дмитрия Гусева, она не планирует сертифицировать платежный модуль. «HSM-модуль — это сложное техническое устройство, его необходимо изготовить и испытать на совместимость с информационными системами конкретных банков, поэтому, естественно, на это требуется время»,— пояснил он долгие сроки любого проекта в этой области. Компания «Системы практической безопасности», все еще планирующая вывести на рынок SPB HSM PS, ожидает получения сертификатов во втором квартале.
Впрочем, и «КриптоПро» HSM 2.0 R3, получивший необходимые сертификаты, по словам участников рынка, пока не в полной мере готов заменить продукцию Thales. Как рассказал источник “Ъ” среди заказчиков, у модуля «проблемы в работе с онлайн-трансакциями, которые необходимо устранить до конца года». Кроме того, по его словам, в самом модуле «есть компоненты из недружественных стран, что означает наличие риска, связанного с их поставками». В то же время собеседник “Ъ” уточнил, что «уже есть запас модулей в наличии и ряд участников платежного рынка приступили к их тестированию».
Согласно положениям Банка России, операторы значимых платежных систем, среди которых ВТБ, Газпромбанк, Россельхозбанк и Сбербанк, с 1 января 2024 года обязаны обеспечить использование отечественных аппаратных модулей безопасности, прошедших проверку соответствия требованиям ФСБ России.
Более того, пояснили “Ъ” в ЦБ, банки, не выступающие операторами значимых платежных систем, могут являться участниками ПС «Мир», поэтому также должны соответствовать требованиям.
По словам источников “Ъ”, крупным банкам с собственным процессингом придется заменить десятки модулей, цена каждого из которых «измеряется миллионами рублей». В ВТБ сообщили “Ъ”, что «проводят тестирование нескольких решений, рекомендованных НСПК к внедрению, для дальнейшего перехода на отечественный продукт». В Газпромбанке, Россельхозбанке и Сбербанке на запросы “Ъ” не ответили.
«На этом примере мы можем видеть, насколько оторвано законодательство от реального рынка — требование по замене вышло раньше, чем появилось само оборудование»,— подчеркивает директор технического департамента RTM Group Федор Музалевский. При этом весь банковский процессинговый софт разрабатывался именно под Thales HSM, добавляет директор департамента проектирования компании «Информзащита» Анатолий Ромашев, и «переписать его — небыстрая задача».