Безопасность в узком кругу

Введите запрос для поиска

Скрыть поиск

Безопасность в узком кругу

ЦБ разработал план тестирования отечественных HSM-модулей, необходимых для безопасного проведения платежей. Ими придется заменить импортные. В тесте будут участвовать сам регулятор, крупные банки, НСПК и разработчики оборудования. Но, по мнению участников рынка, этого недостаточно для получения релевантных результатов. Также эксперты обращают внимание на отсутствие среди проверяющих независимых процессинговых центров.

ЦБ утвердил «дорожную карту» проведения тестирования отечественных HSM-модулей (есть в распоряжении “Ъ”). Речь идет об аппаратных модулях безопасности, которые защищают информационные системы, применяющие криптографию, от несанкционированного доступа, физического вскрытия, съема информации техсредствами. Модули выпускаются в разных вариантах, от простой карты расширения до отдельных устройств, которые имеют антивандальную защиту. Российские банки, как правило, используют импортные модули Thales. Также их выпускают российские CryptoPro и Infotecs.

Согласно «дорожной карте», к концу мая отечественные разработчики предоставят «техническую документацию» банкам, которые проверят ограничения применения HSM-модулей.

К этому сроку также необходимо согласовать с ФСБ техническое задание для проведения тестирования. До середины августа, по плану регулятора, HSM-модули должны быть доставлены в банки и НСПК, чтобы началось практическое тестирование. К середине октября после выявления разногласий по применению HSM-модулей, после доработки начнется повторный тест. Завершить тестирование ЦБ планирует к концу декабря.

В ЦБ уточнили, что «обсуждение "дорожной карты" по вопросу тестирования российских HSM-модулей продолжается». На другие вопросы там отвечать отказались.

Согласно документу, помимо НСПК к тестированию регулятор привлек разработчиков CryptoPro и СПБ («дочка» компании Infotecs), а также несколько банков: Сбербанк, ВТБ, «Открытие», Промсвязьбанк, МКБ и «Тинькофф». Небольшие банки и кредитные организации с иностранным капиталом, даже из числа крупнейших карточных игроков, например Райффайзенбанк и Росбанк, не приглашены.

Эксперты считают, что выборка участников тестирования ЦБ недостаточна для получения релевантных результатов.

Так, независимый эксперт Артем Сычев (ранее куратор ФинЦЕРТ в ЦБ) отмечает, что для тестирования необходимо как минимум десять банков, именно процессингов (совокупность операций, которые производятся при проведении платежей или зачислении денежных средств), иначе «не удастся набрать нужный опыт». К тому же, по мнению господина Сычева, к вопросу тестирования должны быть привлечены все платежные системы, так как им необходимо в своих правилах и технических стандартах отразить использование отечественных HSM-модулей. Эксперты сходятся во мнении, что в тестировании должны участвовать процессинговые компании, которые специализируются на проведение платежей, чтобы HSM-модули работали корректно.

Артем Сычев, первый заместитель директора департамента информационной безопасности ЦБ, 31 августа 2018 года: «Санкции США в отношении поставок в РФ продукции двойного назначения могут затронуть криптографические модули российских платежных систем».

Независимый эксперт по кибербезопасности Алексей Лукацкий считает, что к тестированию стоит привлечь не только крупные банки, но и небольшие кредитные организации. «Если кредитные организации уровня Сбербанка способны выделить целое отделение под обслуживание процессинга, то в небольших банках задачи по обеспечению безопасности в целом выполняет обычно один человек,— объясняет он.— И чтобы не оказалось, что регламенты по использованию HSM-модулей может выполнять только определенный круг участников рынка, к тестированию стоит привлекать банки разного уровня».

Технический директор «Синклит» Лука Сафонов поясняет, что небольшое количество участников и, как следствие, недостаточная проработка сценариев использования HSM-модулей создаст «больше возможностей для их взлома или отказа в работе». В результате, поясняет эксперт, могут возникнуть перебои с отправкой платежей, и вместо нескольких секунд они «будут проводиться часами или в целом перестанут проходить».

Ксения Дементьева, Юлия Пославская

Источник: Газета «Коммерсантъ» №84 от 17.05.2022
Тэги:

Читайте также

ВТБ: число мошеннических атак в прошлом году выросло почти в 4 раза
По оценке ВТБ, в прошлом году мошенники совершили рекордные 7,8 млн финансовых атак на клиентов банка
Группа ВТБ: россияне в январе сократили потребительскую активность
По оценкам Первого ОФД (входит в группу ВТБ), в январе россияне снизили свои траты на продукты и услуги на 12%
Как выманивают данные о картах: киберэксперт перечислил схемы мошенников
Мошенники могут использовать различные способы, чтобы получить данные о банковских картах своих жертв
ЦБ высказался о перетоке валютных вкладов россиян в иностранные банки
Банк России подтвердил, что вклады российских граждан в иностранных банках выросли почти в 2,5 раза
Не дойти до критических точек. Что угрожает российской экономике и как реагирует ЦБ
Мер, которые принимает Банк России, на сегодняшний день хватает, чтобы не допустить критической ситуации
Минфин: в 2022 году россияне купили в 10 раз больше золота, чем в 2021 году
За 2022 год физические лица приобрели золота в объёме в 50 тонн
Риск «пузыря». В ЦБ предупредили о возможных последствиях льготной ипотеки
Льготная ипотека с господдержкой способствует накоплению долговой нагрузки на россиян и образованию «пузыря» на рынке недвижимости
Ведущие аналитики ухудшили прогноз по ключевой ставке Банка России на 2023 год
Ведущие аналитики ухудшили ожидания по ключевой ставке Банка России на 2023 год
Кабмин поддержал концепцию проекта об уголовном наказании за утечку персональных данных
Правительство РФ поддержало концепцию законопроекта о введении уголовной ответственности за незаконные сбор, хранение и передачу персональных данных
ЦБ назвал максимальную ставку топ-10 банков по вкладам в конце января
Средняя максимальная ставка топ-10 российских банков по депозитам физических лиц в рублях по итогам третьей декады января 2023 года осталась на уровне второй декады