Безопасность в узком кругу

Введите запрос для поиска

Скрыть поиск

Безопасность в узком кругу

ЦБ разработал план тестирования отечественных HSM-модулей, необходимых для безопасного проведения платежей. Ими придется заменить импортные. В тесте будут участвовать сам регулятор, крупные банки, НСПК и разработчики оборудования. Но, по мнению участников рынка, этого недостаточно для получения релевантных результатов. Также эксперты обращают внимание на отсутствие среди проверяющих независимых процессинговых центров.

ЦБ утвердил «дорожную карту» проведения тестирования отечественных HSM-модулей (есть в распоряжении “Ъ”). Речь идет об аппаратных модулях безопасности, которые защищают информационные системы, применяющие криптографию, от несанкционированного доступа, физического вскрытия, съема информации техсредствами. Модули выпускаются в разных вариантах, от простой карты расширения до отдельных устройств, которые имеют антивандальную защиту. Российские банки, как правило, используют импортные модули Thales. Также их выпускают российские CryptoPro и Infotecs.

Согласно «дорожной карте», к концу мая отечественные разработчики предоставят «техническую документацию» банкам, которые проверят ограничения применения HSM-модулей.

К этому сроку также необходимо согласовать с ФСБ техническое задание для проведения тестирования. До середины августа, по плану регулятора, HSM-модули должны быть доставлены в банки и НСПК, чтобы началось практическое тестирование. К середине октября после выявления разногласий по применению HSM-модулей, после доработки начнется повторный тест. Завершить тестирование ЦБ планирует к концу декабря.

В ЦБ уточнили, что «обсуждение "дорожной карты" по вопросу тестирования российских HSM-модулей продолжается». На другие вопросы там отвечать отказались.

Согласно документу, помимо НСПК к тестированию регулятор привлек разработчиков CryptoPro и СПБ («дочка» компании Infotecs), а также несколько банков: Сбербанк, ВТБ, «Открытие», Промсвязьбанк, МКБ и «Тинькофф». Небольшие банки и кредитные организации с иностранным капиталом, даже из числа крупнейших карточных игроков, например Райффайзенбанк и Росбанк, не приглашены.

Эксперты считают, что выборка участников тестирования ЦБ недостаточна для получения релевантных результатов.

Так, независимый эксперт Артем Сычев (ранее куратор ФинЦЕРТ в ЦБ) отмечает, что для тестирования необходимо как минимум десять банков, именно процессингов (совокупность операций, которые производятся при проведении платежей или зачислении денежных средств), иначе «не удастся набрать нужный опыт». К тому же, по мнению господина Сычева, к вопросу тестирования должны быть привлечены все платежные системы, так как им необходимо в своих правилах и технических стандартах отразить использование отечественных HSM-модулей. Эксперты сходятся во мнении, что в тестировании должны участвовать процессинговые компании, которые специализируются на проведение платежей, чтобы HSM-модули работали корректно.

Артем Сычев, первый заместитель директора департамента информационной безопасности ЦБ, 31 августа 2018 года: «Санкции США в отношении поставок в РФ продукции двойного назначения могут затронуть криптографические модули российских платежных систем».

Независимый эксперт по кибербезопасности Алексей Лукацкий считает, что к тестированию стоит привлечь не только крупные банки, но и небольшие кредитные организации. «Если кредитные организации уровня Сбербанка способны выделить целое отделение под обслуживание процессинга, то в небольших банках задачи по обеспечению безопасности в целом выполняет обычно один человек,— объясняет он.— И чтобы не оказалось, что регламенты по использованию HSM-модулей может выполнять только определенный круг участников рынка, к тестированию стоит привлекать банки разного уровня».

Технический директор «Синклит» Лука Сафонов поясняет, что небольшое количество участников и, как следствие, недостаточная проработка сценариев использования HSM-модулей создаст «больше возможностей для их взлома или отказа в работе». В результате, поясняет эксперт, могут возникнуть перебои с отправкой платежей, и вместо нескольких секунд они «будут проводиться часами или в целом перестанут проходить».

Ксения Дементьева, Юлия Пославская

Источник: Газета «Коммерсантъ» №84 от 17.05.2022
Тэги:

Читайте также

Группа ВТБ: 38% россиян считают, что их персональные данные должны быть защищены всеми доступными способами
Более трети россиян считают, что организации должны применять все основные меры по защите пользовательских персональных данных
Влияют ли сервисы оплаты частями на кредитную историю?
Влияют ли сервисы оплаты частями на кредитную историю?
Сервисы оплаты покупок частями набирают все большую популярность
Банк Уралсиб рассказал о том, как клиенты тратят деньги с карт
Уралсиб проанализировал, на что тратят деньги со своих карт различные категории клиентов
МФО в первом квартале выставили на продажу рекордный объем просрочки
Они пытались продать долги на 31,2 млрд рублей, но реализовал лишь чуть больше половины этого объема
Будет только хуже. Россияне ждут дальнейшего роста инфляции
Инфляционные ожидания населения в мае усилились
Минфин согласился не повышать НДС в рамках грядущих налоговых изменений
При этом министерство предлагает «разумную прогрессию» по НДФЛ
В Думу внесут законопроект о выплате женщинам за рождение детей до 25 лет
Предполагается, что единовременное пособие составит 200 тыс. рублей
Россия будет изымать имущество США для компенсации ущерба — указ президента
Россия будет через суд изымать имущество США и американских граждан для компенсации нанесенного ими ущерба
ЦБ может смягчить ДКП при снижении темпов роста кредитования
Директор департамента финансовой стабильности Банка России Елизавета Данилова заявила, что также могут снизиться процентные ставки
НСПК могут привлечь к антиотмывочной системе из-за нераскрытия информации
Инициатива связана с неполным раскрытием информации НСПК