Предложенные ЦБ для тестирования отечественные аппаратные модули безопасности вызвали вопросы у банкиров. По их мнению, регулятор предложил «несовместимые с основными бизнес-процессами кредитных организаций» и дорогостоящие решения, что рискует замедлить процесс импортозамещения.
Фото: Юрий Мартьянов, Коммерсантъ
Фото: Юрий Мартьянов, Коммерсантъ
ЦБ рекомендовал банкам провести тестирование отечественных HSM-модулей, следует из письма регулятора от 7 августа, разосланного по банкам (есть в распоряжении “Ъ”). Сегодня установленным НСПК требованиям к HSM-модулям из российских производителей соответствуют решения «Крипто-Про» и «Системы практической безопасности», поэтому тестировать в качестве замены иностранным необходимо именно их, говорится в документе. В ЦБ не ответили на запрос “Ъ”.
Аппаратный модуль безопасности (HSM) защищает информационные системы, применяющие криптографию, от раскрытия данных от несанкционированного доступа, физического вскрытия, съема информации. Модули выпускаются в разных вариациях, от простой карты расширения до отдельных устройств, которые имеют антивандальную защиту.
Банкиры опасаются, что тесты помешают эффективному импортозамещению. Банк переводит денежные средства через платежную систему ЦБ — это ключевой бизнес-процесс, и он есть в любом банке, поясняет собеседник “Ъ” из числа банкиров. При этом все взаимодействие платежного сегмента ЦБ идет через средство криптографической защиты информации (СКЗИ) «Сигнатура», которое решение «Крипто-Про» не поддерживает, поясняет он. Раньше выбор в этом направлении был свободным, но теперь ЦБ регуляторно настаивает на использовании российских HSM-модулей конкретных компаний, отмечает он.
Кроме того, HSM-модули — достаточно дорогой продукт, подчеркивают банкиры.
Кредитной организации нужно как минимум два HSM-модуля — основной и резервный, при этом, например, один модуль «Крипто-Про» может обойтись примерно в 3 млн руб., рассказывают собеседники “Ъ”.
Внедрение модуля для тестирования подразумевает цепочку внутренних процедур по миграции, встраиванию и апробированию решения, а сам модуль представляет из себя технически сложный комплекс, для тестирования всех необходимых функций которого может потребоваться использование большого числа человеческих ресурсов и времени, добавляет руководитель направления кибербезопасности RTM Group Артем Бруданин.
Заместитель гендиректора «КриптоПро» Станислав Смышляев пояснил, что взаимодействие с HSM в платежном сегменте в банках реализуется либо с помощью программного обеспечения (ПО) собственной разработки, либо посредством модулей одного из нескольких разработчиков процессинговых решений.
Все такие реализации создавались, дорабатывались, тестировались и применялись ранее с HSM зарубежных производителей, говорит он.
После получения сертификата ФСБ на HSM разработки «КриптоПро», добавляет топ-менеджер, банки и разработчики ПО для процессинга активно начали тестировать его в части совместимости с существующим ПО. Для «широкого множества систем», по его словам, совместимость уже подтверждена, рядом банков, в частности, из топ-10, уже проводятся закупочные процедуры с целью применения HSM «КриптоПро» в платежном сегменте.
Эксперты по информбезопасности уточняют, что применение HSM в платежном сегменте с «Сигнатурой» не связано. «"Сигнатура" — система криптографической аутентификации документов, по сути, средство электронной подписи и верификации. HSM — программно-аппаратный модуль, обеспечивающий защиту криптографических ключей,— это решение для защиты данных клиентов и трансакций при их передаче и хранении в случае взлома»,— подчеркивает господин Бруданин. С технической точки зрения, утверждает он, «это совсем разные продукты».