Спецпроекты

Безопасность Пользователю Стратегия безопасности Цифровизация ИТ в банках Техника Импортонезависимость

Из России бежал гарант безопасности платежей, с чьим уходом связывали «банковский апокалипсис»

Разработчик аппаратных модулей защиты банковских транзакций Thales ушел из России. Это крупнейший поставщик таких устройств в мире. Банки срочно ищут замену, в том числе и среди российских разработок, но импортозамещение может затянуться по целому ряду причин. Одни банки уверены, что уход Thales может спровоцировать массовые проблемы с безопасностью платежей, другие уверены, что катастрофических последствий не будет.

Thales сбежала из России

Французская компания Thales решила покинуть российский рынок, сообщил Forbes со ссылкой на ее представителей. В числе направлений ее работы в России была защита клиентов отечественных банков.

В частности, именно Thales реализовала в России системы защиты транзакций и проверку PIN-кодов банковских карт в 20 российских банках. Построены они были на специальном оборудовании – аппаратных модулях безопасности (hardware security module, HSM), которые сама же Thales и выпускает.

Уход Thales обернулся сворачиванием всей ее деятельности во всех российских банках, с которыми она сотрудничала. В частности, она поставляла отечественным финорганизациям устройства под названием payShield 9000. Это аппаратный компонент, предназначенный для банкоматов и занимающийся шифрованием пользовательских данных.

Не исключено, что единственным безопасным методом использования карт станет снятие с них наличных в банкомате

Свои payShield 9000 компания Thales поставляла не только в Россию – эти устройства, по данным самой Thales, обрабатывают свыше 80% всех транзакций по пластиковым картам в мире.

Кто пострадает

К моменту выхода материала не было достоверно известно, какие именно российские банки сотрудничали с Thales. Но редакция CNews выяснила, что это как минимум «Альфа-банк», ВТБ, Россельхозбанк и Сбербанк.

О сотрудничестве с «Альфа-банком» компания Thales «проговорилась» сама – информация об этом есть на ее официальном сайте. Подробности о работе французского вендора с другими перечисленными банками, а также с Всероссийским банком развития регионов и Западносибирским коммерческим банком обнаружились на федеральном портале госзакупок.

Редакция CNews обратилась Сбербанк с вопросами, как уход Thales повлияет на работу банков и безопасность их клиентов, и ожидает ответа.

В конце июня 2022 г. в интернете получил распространение документ под названием «Информация о принимаемых рисках, процедурах их оценки, управления рисками касательно ухода компании Thales e-Security с рынка Российской Федерации». Его авторство приписывают сотрудникам «Альфа-банка». В этом документе сказано, что уход Thales из России вызовет остановку и едва ли не апокалипсис в сегменте платежных транзакций.

Согласно доступной в Сети информации, данный документ был подготовлен для внутреннего распространения среди сотрудников «Альфа-банка». Представители банка, однако же, отрицают любую связь с ним. «Мы категорически опровергаем подлинность этого документа, это неумелая подделка, – заявили они. – Карты работают и будут работать как обычно».

Выход есть

К 1 июля 2022 г. не было доподлинно известно, как сильно повлияет уход Thales из России на клиентов российских банков. Между тем, существует факт, что модули, подобные payShield 9000 и способные выполнять его функции, есть и у других компаний.

Например, схожие устройства есть в ассортименте компании Entrust из США. По данным Forbes, до 24 февраля 2022 г. она присматривалась к российскому рынку и собиралась в ближайшем будущем начать отгрузку своих модулей клиентам из России.

Модули защиты банковских транзакций создаются и в России. Так, в этом направлении работают компании CryptoPro, а также «Инфотекс».

Существует очень большая вероятность того, что в эпоху антироссийских санкций и стремительно набирающего обороты импортозамещения российские банки в итоге отдадут предпочтение именно отечественным заменителям продукции Thales. Как минимум один банк из топ-10 уже движется в этом направлении.

В банке ВТБ сообщили CNews, что отказываются от иностранных решений в пользу отечественных. «Мы успешно заменяем иностранные решения по криптошифрованию в рамках общебанковской программы по импортозамещению», – заявили представители банка.

В «Альфа-банке» тоже не отрицают возможный скорый переход на отечественные решения, но в то же время смотрят и в сторону зарубежных разработок. «Уход с российского рынка Thales не скажется на доступности и безопасности платежей, – сообщили CNews представители «Альфа-банка». – Все работает как обычно. Оборудование Thales не является уникальным как в России, так и за рубежом. Его возможно будет заменить на аналогичное по характеристикам и свойствам от российских и иностранных поставщиков».

Более того, «Альфа-банк» уже приступил к отказу от продукции Thales. «Уже идет тестирование и внедрение альтернативных решений. По каждому процессу переход индивидуален – от двух недель до нескольких месяцев. Мы подготовились заблаговременно, и на работе банка это никак не отразится», – сообщили CNews в банке.

Все может пойти не по плану

Уход Thales может повлечь за собой массу не вполне очевидных проблем, связанных с поддержкой устройств и даже с их работоспособностью. Мнения о том, что Thales может преподнести немало сюрпризов своим российским клиентам, придерживается заместитель генерального директора компании «Инфотекс» Дмитрий Гусев.

«К сожалению, мы заранее не знаем, как поведет себя тот или иной зарубежный вендор и какие механизмы ограничения работоспособности заложены в продукты этого вендора», – сказал он Forbes. По его прогнозам, в самом лучшем случае оборудование Thales просто отработает без сбоев до конца техподдержки и гарантийного срока, и безопасность транзакций останется на прежнем уровне. Но Дмитрий Гусев не исключает и той вероятности, что Thales может удаленно заблокировать все работающие в России модули в очередном обновлении программного обеспечения

«Насколько нам известно, банки предпринимают усилия по недопущению второй ситуации, – сказал Дмитрий Гусев. – Но если это все-таки произойдет, то существуют риски остановки работы всей процессинговой системы банка, так как HSM участвует во всех операциях с банковскими картами, от привязки карты к конкретному физлицу до верификации всех операций со счетом банковской карты: пополнения, снятия и т. д.»,

Независимый эксперт в сфере информационной безопасности Алексей Лукацкий обратил внимание, что импортозамещение не сможет помочь банкам оперативно заменить все иностранные HSM-модули. Он заявил изданию, что невозможно быстро выпустить необходимое количество таких устройств, чтобы хватило всем банкам.

Дмитрий Гусев разделяет эту точку зрения. С его слов, на полный переход банков на российские HSM-модули с поддержкой российской криптографии может потребоваться несколько лет. Об объяснил это тем, что нужно выпустить нужное количество самих модулей, а также банковских карт, поддерживающих отечественные алгоритмы криптографии.

Короткая ссылка