Безопасность в узком кругу

Введите запрос для поиска

Скрыть поиск

Безопасность в узком кругу

ЦБ разработал план тестирования отечественных HSM-модулей, необходимых для безопасного проведения платежей. Ими придется заменить импортные. В тесте будут участвовать сам регулятор, крупные банки, НСПК и разработчики оборудования. Но, по мнению участников рынка, этого недостаточно для получения релевантных результатов. Также эксперты обращают внимание на отсутствие среди проверяющих независимых процессинговых центров.

ЦБ утвердил «дорожную карту» проведения тестирования отечественных HSM-модулей (есть в распоряжении “Ъ”). Речь идет об аппаратных модулях безопасности, которые защищают информационные системы, применяющие криптографию, от несанкционированного доступа, физического вскрытия, съема информации техсредствами. Модули выпускаются в разных вариантах, от простой карты расширения до отдельных устройств, которые имеют антивандальную защиту. Российские банки, как правило, используют импортные модули Thales. Также их выпускают российские CryptoPro и Infotecs.

Согласно «дорожной карте», к концу мая отечественные разработчики предоставят «техническую документацию» банкам, которые проверят ограничения применения HSM-модулей.

К этому сроку также необходимо согласовать с ФСБ техническое задание для проведения тестирования. До середины августа, по плану регулятора, HSM-модули должны быть доставлены в банки и НСПК, чтобы началось практическое тестирование. К середине октября после выявления разногласий по применению HSM-модулей, после доработки начнется повторный тест. Завершить тестирование ЦБ планирует к концу декабря.

В ЦБ уточнили, что «обсуждение "дорожной карты" по вопросу тестирования российских HSM-модулей продолжается». На другие вопросы там отвечать отказались.

Согласно документу, помимо НСПК к тестированию регулятор привлек разработчиков CryptoPro и СПБ («дочка» компании Infotecs), а также несколько банков: Сбербанк, ВТБ, «Открытие», Промсвязьбанк, МКБ и «Тинькофф». Небольшие банки и кредитные организации с иностранным капиталом, даже из числа крупнейших карточных игроков, например Райффайзенбанк и Росбанк, не приглашены.

Эксперты считают, что выборка участников тестирования ЦБ недостаточна для получения релевантных результатов.

Так, независимый эксперт Артем Сычев (ранее куратор ФинЦЕРТ в ЦБ) отмечает, что для тестирования необходимо как минимум десять банков, именно процессингов (совокупность операций, которые производятся при проведении платежей или зачислении денежных средств), иначе «не удастся набрать нужный опыт». К тому же, по мнению господина Сычева, к вопросу тестирования должны быть привлечены все платежные системы, так как им необходимо в своих правилах и технических стандартах отразить использование отечественных HSM-модулей. Эксперты сходятся во мнении, что в тестировании должны участвовать процессинговые компании, которые специализируются на проведение платежей, чтобы HSM-модули работали корректно.

Артем Сычев, первый заместитель директора департамента информационной безопасности ЦБ, 31 августа 2018 года: «Санкции США в отношении поставок в РФ продукции двойного назначения могут затронуть криптографические модули российских платежных систем».

Независимый эксперт по кибербезопасности Алексей Лукацкий считает, что к тестированию стоит привлечь не только крупные банки, но и небольшие кредитные организации. «Если кредитные организации уровня Сбербанка способны выделить целое отделение под обслуживание процессинга, то в небольших банках задачи по обеспечению безопасности в целом выполняет обычно один человек,— объясняет он.— И чтобы не оказалось, что регламенты по использованию HSM-модулей может выполнять только определенный круг участников рынка, к тестированию стоит привлекать банки разного уровня».

Технический директор «Синклит» Лука Сафонов поясняет, что небольшое количество участников и, как следствие, недостаточная проработка сценариев использования HSM-модулей создаст «больше возможностей для их взлома или отказа в работе». В результате, поясняет эксперт, могут возникнуть перебои с отправкой платежей, и вместо нескольких секунд они «будут проводиться часами или в целом перестанут проходить».

Ксения Дементьева, Юлия Пославская

Источник: Газета «Коммерсантъ» №84 от 17.05.2022
Тэги:

Читайте также

Банк «Открытие»: большинство сибиряков - за продление государственных программ льготной ипотеки в 2023 году
27% сибиряков готовы воспользоваться государственными программами льготной ипотеки, если их продлят после 2022 года
ВТБ: в ноябре рынок автокредитов в России вырос на 8%
По оценке ВТБ, в ноябре выдачи автокредитов на российском рынке составили 64 млрд рублей
Новые владельцы дебетовых СберКарт получат 15% бонусов от СберСпасибо за покупки
Сбер запускает новогоднюю акцию по дебетовым СберКартам
Дальневосточный банк запустил акцию «Время чудес»
Возможность стать Дедом Морозом для себя и своих близких и исполнить самые заветные желания дарит Дальневосточный банк
ВТБ первым запускает Mir Pass для доступа в бизнес-залы аэропортов и ж/д вокзалов
С 5 декабря ВТБ первым из банков запускает для клиентов Private Banking и «Привилегия» новый сервис Mir Pass
Платежный сервис Gazprom Pay стал победителем бизнес-премии «Финансовый Олимп»
Платежный сервис Gazprom Pay Газпромбанка стал победителем Национальной бизнес-премии «Финансовый Олимп» в номинации Банковские цифровые сервисы
С Кредитной СберКарты можно погашать кредитки других банков
1 декабря у Сбера появилась возможность удобно рефинансировать кредитные карты других банков с Кредитной СберКарты
Россельхозбанк сообщает о восьмикратной переподписке на выпуск «зеленых» облигаций Росатома объемом 9 миллиардов рублей
Состоялся сбор заявок на выпуск «зеленых» облигаций ГК «Росатом» (эмитент - АО «Атомэнергопром») серии 001P-02
ВТБ запустил сервис оплаты для бизнеса на базе технологии SoftPOS
ВТБ запустил сервис на базе технологии SoftPOS для клиентов среднего и малого бизнеса
«Универсальная карта» АТБ в лидерах рейтинга лучших кредитных карт России в декабре 2022 года
Аналитический портал «Бробанк.ру» определил на основе комплексной оценки лучшие кредитные карты для оформления в декабре 2022 года