Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
Компетентные органы, наконец, сказали свое веское слово и потребовали перевести функционирование НСПК на отечественную криптографию. Причем сделали это в достаточно однозначной и категоричной форме. Но такой переход сместит на отдаленную перспективу все сроки развития платежной системы с картой «Мир», для которой использование национальных стандартов изначально не планировалось
Нельзя сказать, что ранее подобных заявлений не поступало. Очевидцы свидетельствуют — они были, эти заявления. Но были они, скажем так, не настойчивые. Это и позволило создателям проекта НСПК призывы не услышать, а всю идеологию проекта построить на базе западной криптографии.
Напомним, что западная криптография предполагает использование в платежах алгоритмов DES или TRIPLE DES для шифрования данных и RSA для подписи. Российская криптография использует ГОСТ 28147 для шифрования данных и ГОСТы Р 34.10 и Р 34.11 для подписи. Далее: сокращенно «российские стандарты» или ГОСТ, а также «западные стандарты».
Отметим, что должную защиту от злоумышленников обеспечивают как западная, так и российская криптографии: преступникам практически все равно, что взламывать. Однако, важнейшим остается вопрос, связанный с импортозамещением и противодействием санкциям: используя ГОСТ, противодействовать и замещать надежнее и проще. Кроме того, отечественные производители криптосредств и регуляторы от введения ГОСТ выигрывают.
Использование российских криптосредств в НСПК нигде изначально не запланировано: ни в архитектуре карты «Мир», ни в работе терминального оборудования платежной системы, ни в программных средствах процессинга. Заменить средства шифрования теперь и дорого, и долго. Дело в том, что эффективность работы элементов системы платежей, их параметры зависят от того, какая именно технология и алгоритмы используется, как базовые.
Например, переход на ГОСТ может повысить уровень требований к выбору чипа карты, и уже выбранный чип придется менять. Неясно, как будут взаимодействовать с новой криптографией другие элементы инфраструктуры платежной системы, для выяснения этого нужны тесты.
А это ставит под сомнение сроки намеченной массовой эмиссии карт. Неясно также, как карты «МИР», содержащие криптосредства, реализованные на базе ГОСТ, будут нашими гражданами вывозиться за рубеж и там использоваться. Как быть с разрешением на это компетентных органов?
Точно предсказать развитие ситуации невозможно, но ясно одно — неизбежны и другие проблемы, связанные с информационной безопасностью. Это, к примеру, вопросы, касающиеся функционирования единого комплекса программно-аппаратных средств НСПК, не имеющего сертификата на отсутствие недекларированных возможностей (НДВ). Насколько велик риск получения внешней команды на отключение НСПК целиком или на блокирование регулярной отправки в материнскую компанию сведений о нагрузках и иных характеристиках коммутационного оборудования?
Версия эта из разряда конспирологических, однако, напомню совсем недавнюю историю с оборудованием известной западной компании, которое наши китайские коллеги срочно решили сменить только потому, что оно, как оказалось, имело бэкдор. Хотя никто не может опровергнуть того, что «китайские коллеги», в свою очередь, также не заложили в свои коммутаторы (на которых базируется НСПК) аналогичные возможности.
Конечно, будут раздаваться голоса в пользу того, чтобы оставить все, как есть — дескать, полностью сделать систему отечественной невозможно. Кроме того, карту «МИР», какой бы она не получилась в финале, сертифицировать придется в международных инстанциях, и к российским стандартам там отнесутся не столь благосклонно, как к западным.
Возможен, конечно, путь частичного использования западных продуктов, которым идут в НСПК. К примеру, ею куплены лицензии на использование языка программирования Java (принадлежит американской корпорации Oracle) и технологии 3-D Secure (принадлежитVisa). 3-D Secure, напомним, является технологией, которая используется в целях повышения безопасности карточных транзакций в Интернете. Технология разработана для платежной системы Visa в рамках услуги Verified by Visa(VbV). Аналогичная технология также принята на вооружение MasterCard под названием MasterCard SecureCode(MCC) и JCB International, как J/Secure, а также в AmEx, как SafeKey
Международное сотрудничество дело важное, утверждают оппоненты. Но вы, ребята, как, в известном анекдоте про представителя одной национальности в общественной бане: "вы либо одно наденьте, либо другое снимите".
Если поставлена задача, сделать подлинно российскую национальную карту, то базироваться она должна на российских стандартах и на российских же технологиях. Тогда, действительно, получится российский продукт, а не слабая копия Visa и MasterCard.
Если это все будет сделано не России, то где же еще? Тем более, при должных усилиях, всегда можно найти компромиссы, даже в таком деликатном деле, как использование криптографии в платежных системах, и тому имеются примеры. Например, договорились же выпускать карту «Мир» в кобейджинговом варианте «Мир-Maestro», при котором в России карта будет работать, как «Мир», а за рубежом, как MasterCard Maestro.
В этом ключе надо думать и в отношении стандартов, и в отношении каждой новой лицензии. Ведь любая лицензия — это палка о двух концах, привносящая риски того, что собственник лицензии или разорится, или передумает. Или просто изменит качество продукта.
Комментарии от НСПК, по всем затронутым темам, запаздывают, и эксперты гадают, какой станет карта окончательно. Ясным на сегодня остается только одно: Илья Муромец, если уж слез с печи, обратно на печь не полезет, не сделав дело. Вся наша отечественная история убедительно это показала.
Банки смогли преодолеть пик кризиса 2022 года весьма достойно, без существенных вливаний в банковскую отрасль для докапитализации. Участники рынка не раз отмечали, что меры ЦБ были своевременными и точными, но время их действия подошло к концу. На какие меры поддержки может рассчитывать финансовая отрасль в 2024 году?