Введите запрос для поиска

Скрыть поиск

Безопасность в узком кругу

ЦБ разработал план тестирования отечественных HSM-модулей, необходимых для безопасного проведения платежей. Ими придется заменить импортные. В тесте будут участвовать сам регулятор, крупные банки, НСПК и разработчики оборудования. Но, по мнению участников рынка, этого недостаточно для получения релевантных результатов. Также эксперты обращают внимание на отсутствие среди проверяющих независимых процессинговых центров.

ЦБ утвердил «дорожную карту» проведения тестирования отечественных HSM-модулей (есть в распоряжении “Ъ”). Речь идет об аппаратных модулях безопасности, которые защищают информационные системы, применяющие криптографию, от несанкционированного доступа, физического вскрытия, съема информации техсредствами. Модули выпускаются в разных вариантах, от простой карты расширения до отдельных устройств, которые имеют антивандальную защиту. Российские банки, как правило, используют импортные модули Thales. Также их выпускают российские CryptoPro и Infotecs.

Согласно «дорожной карте», к концу мая отечественные разработчики предоставят «техническую документацию» банкам, которые проверят ограничения применения HSM-модулей.

К этому сроку также необходимо согласовать с ФСБ техническое задание для проведения тестирования. До середины августа, по плану регулятора, HSM-модули должны быть доставлены в банки и НСПК, чтобы началось практическое тестирование. К середине октября после выявления разногласий по применению HSM-модулей, после доработки начнется повторный тест. Завершить тестирование ЦБ планирует к концу декабря.

В ЦБ уточнили, что «обсуждение "дорожной карты" по вопросу тестирования российских HSM-модулей продолжается». На другие вопросы там отвечать отказались.

Согласно документу, помимо НСПК к тестированию регулятор привлек разработчиков CryptoPro и СПБ («дочка» компании Infotecs), а также несколько банков: Сбербанк, ВТБ, «Открытие», Промсвязьбанк, МКБ и «Тинькофф». Небольшие банки и кредитные организации с иностранным капиталом, даже из числа крупнейших карточных игроков, например Райффайзенбанк и Росбанк, не приглашены.

Эксперты считают, что выборка участников тестирования ЦБ недостаточна для получения релевантных результатов.

Так, независимый эксперт Артем Сычев (ранее куратор ФинЦЕРТ в ЦБ) отмечает, что для тестирования необходимо как минимум десять банков, именно процессингов (совокупность операций, которые производятся при проведении платежей или зачислении денежных средств), иначе «не удастся набрать нужный опыт». К тому же, по мнению господина Сычева, к вопросу тестирования должны быть привлечены все платежные системы, так как им необходимо в своих правилах и технических стандартах отразить использование отечественных HSM-модулей. Эксперты сходятся во мнении, что в тестировании должны участвовать процессинговые компании, которые специализируются на проведение платежей, чтобы HSM-модули работали корректно.

Артем Сычев, первый заместитель директора департамента информационной безопасности ЦБ, 31 августа 2018 года: «Санкции США в отношении поставок в РФ продукции двойного назначения могут затронуть криптографические модули российских платежных систем».

Независимый эксперт по кибербезопасности Алексей Лукацкий считает, что к тестированию стоит привлечь не только крупные банки, но и небольшие кредитные организации. «Если кредитные организации уровня Сбербанка способны выделить целое отделение под обслуживание процессинга, то в небольших банках задачи по обеспечению безопасности в целом выполняет обычно один человек,— объясняет он.— И чтобы не оказалось, что регламенты по использованию HSM-модулей может выполнять только определенный круг участников рынка, к тестированию стоит привлекать банки разного уровня».

Технический директор «Синклит» Лука Сафонов поясняет, что небольшое количество участников и, как следствие, недостаточная проработка сценариев использования HSM-модулей создаст «больше возможностей для их взлома или отказа в работе». В результате, поясняет эксперт, могут возникнуть перебои с отправкой платежей, и вместо нескольких секунд они «будут проводиться часами или в целом перестанут проходить».

Ксения Дементьева, Юлия Пославская

Источник: Газета «Коммерсантъ» №84 от 17.05.2022
Тэги:

Читайте также

Меры поддержки могут улучшить ожидания по металлургам
Утренний обзор на 16.08.2022 от банка Открытие
Дальневосточный банк предлагает получать кешбэк при бронировании отеля
Дальневосточный банк предлагает в августе получить 10% кешбэк на карту МИР при оплате проживания в отеле на сайте mirhotels.onetwotrip.com.
Банк «Открытие»: большинство сибиряков не испытывают сложностей из-за ограничений при оплате игр онлайн
24% жителей Сибири тратили деньги на игры в мобильных телефонах или ТВ-приставках до появления ограничений
Сбер поможет родителям подготовиться к школе с учётом пожеланий детей
К 1 сентября Сбер запустил специальный проект, который поможет родителям подготовиться к новому учебному году выгодно и лучше понять предпочтения своих детей
АТБ представляет вклад с новым сроком с повышенными ставками
С 15 августа Азиатско-Тихоокеанский банк повысил ставки и ввёл новый срок по вкладам «АТБ. Вклад» и «АТБ. Вклад Онлайн»
Сбер и ДОМ.РФ разместили 7-й выпуск ипотечных облигаций
Сбер и ДОМ.РФ успешно завершили размещение 7-го выпуска облигаций с ипотечным покрытием и поручительством ДОМ.РФ
Красноярский союз риелторов приглашает в школу ипотечного консультанта
С 6 сентября 2022 года стартует школа ипотечного консультанта, организованная Красноярским союзом риелторов
Спрос на карты банков СНГ резко вырос после ухода Visa и Mastercard
В апреле—июне 2022 года в соседних с Россией странах число карт в обращении выросло сильнее, чем годом ранее
Финразведка призвала ограничить системы перевода денег без открытия счета
Системы денежных переводов без открытия счета не должны проводить операции, сумма средств в которых превышает 60 тыс. руб., предложили в Росфинмониторинге
Еврокомиссия назвала условие для разморозки инвестиций россиян
В ЕС назвали условия, при которых европейские депозитарии смогут рассчитаться с НРД с целью выплат российским инвесторам