Вход Регистрация
Подписка

НСПК: ГИС или ГЗС?

18.10.2016

В сентябрьском номере журнал «Банковское обозрение» выступил с инициативой провести опрос экспертов о состоянии дел в НСПК. Информации об одном из важнейших национальных проектов поступает не всегда много, в основном она касается количественных планов внедрения карт, поэтому, собрав мнения экспертов, можно воссоздать общую картину

Вопросы экспертам, построенные по типу угадайки — «да-нет», затрагивают как основные результаты проекта, так и нерешенные проб­лемы. Картина получается объемная. Другое дело, что поступившие односложные ответы экспертов в анкете могут быть не всегда понятны читателю и требуют пояснений. Возьму на себя труд пояснить результаты анкетирования (разумеется, только в отношении своих ответов)

Государственно значимые системы на подходе

Вопрос «Б.О»: «Подпадает ли НСПК под определение государственной информационной системы (ГИС)?» Ответ: «Нет». НСПК сегодня — это совсем не ГИС. Ведь ГИС — не обязательно проект, имеющий атрибуты масштабности, особой важности для страны, проект, получающий вливания из бюджета, и прочее.

ГИС — это прежде всего информационная система (ИС), внесенная в соответствующий реестр ГИС, не более того. НСПК в этот реестр не внесена, стало быть, и не является таковой. Отмечу, что в этот реестр разработчиками включены самые разные ИС, многие из которых менее значимы для страны, чем НСПК. Так, наряду с хорошо известными банкирам ГИС ГМП и ГИС ЖКХ в реестре упомянут сайт Ростуризма. Нахождение в данном реестре радикально меняет судьбу любого проекта — согласно поручению президента РФ ГИС должны использовать отечественную криптографию, а это уже принципиально важно для НСПК.

Вопрос «Б.О»: «Требуется ли отдельное поручение президента о включении НСПК в государственный реестр ГИС?» Ответ: «Да». Поручение требуется, чтобы навсегда прекратить споры о том, что важнее — вопросы национальной безопасности или проблемы совместимости с существующими международными платежными системами (МПС).

Одновременно в ожидаемом поручении можно упомянуть и иные важные ИС. К их числу отнесем системы бронирования и резервирования авиабилетов. Что касается НСПК, то она, видимо, должна приобрести особый статус: не должна быть чисто государственной, но и не должна позиционироваться как коммерческая системно значимая система (как сегодня).

Возможное название нового класса систем — государствен­но значимые системы (ГЗС). НСПК, система резервирования авиабилетов и система управления ТЭК страны являют собой примеры ГЗС. Такие системы в значительной мере определяют национальную безопасность государства, поэтому необходимо дать четкий перечень тех характеристик, которыми ГЗС должны обладать.

Ориентир на отечественного производителя

Вопрос «Б.О»: «Согласуется ли эволюция развития НСПК со стратегий ее развития, утвержденной официально?» Ответ: «Нет». Принципы независимости от западных вендоров, от влияния МПС, приоритет российских технологий — все это подразумевает стратегия, но эти важные вопросы, увы, находятся сегодня на втором плане.

В НСПК решается более простая задача — быстро создать что-то работающее, максимально близкое по идеологии к МПС, поэтому и особого вклада отечественных разработчиков мы не видим. Более того, нам нечего предъявить банковским клиентам из арсенала того, что выгодно выделило бы карту «Мир» на фоне существующих западных аналогов. Я имею в виду степень защищенности карты от действий злоумышленников, широту эквайринговой сети и т.д.

У этой карты вообще нет ничего яркого, заметного, нет и особой «фишки». Да и для самих банков — эмитентов карты — условия пока малопривлекательны. Нет никаких льгот в отношении тарифов, лицензий и всего того, что выгодно выделяло бы «Мир» среди карт МПС. Все примерно то же, что и в МПС.

Так, вступление в национальную платежную систему «Мир» стоит около 1 млн руб­лей, ежемесячные выплаты за участие в ней или минимальные комиссии составляют 200–300 тыс. рублей — это еще 3 млн рублей в год. Стоимость карточной операции сопоставима с ее стоимостью в MasterCard/Visa и составляет по 0,1–0,2% суммы операции — как с банка-эмитента, так и с банка-эквайера. Но самые серьезные затраты банка приходятся на вендоров, то есть на поставщиков ПО для процессинговых центров, банкоматов, POS- терминалов, а также на проведение инсталляций и сертификаций.

Фактически, все банки теперь должны поддерживать работу не с двумя системами, а с тремя. По сложности и функциональности все три системы примерно одинаковы, поэтому внедрение и поддержка карты «Мир» стоит столько же, сколько внедрение и поддержка MasterCard/Visa. Оценить затраты на вендоров для обеспечения деятельности по эквайрингу карт «Мир» можно в 100–200 тыс. евро единовременно, а техподдержка добавляет ежегодно 10–20%. Деятельность по эмиссии карт «Мир» обойдется банку в 200–400 тыс. евро, и, опять-таки, техподдержка ежегодно составит 10–20% этой суммы. Появление карты «Мир» — это сущий клондайк для вендоров.

Любой российский банк, взявшийся эмитировать карту «Мир», никаких выгод не получает. Кнутом банкам погрозили, а пряника не дали. Карта «Мир» с ее административно-командными методами продвижения неконкурентоспособна по отношению к продуктам МПС. Так уже считают некоторые банкиры, и в реальных условиях рынка карта не выживет. Добавлю, что маркетинг и PR карты — это также ахиллесова пята проекта. Тем не менее выражу свою личную уверенность в том, что российская карта может и должна превосходить действующие аналоги западных систем, и пути для этого есть.

Чем может быть уникальна карта «Мир»?

Что выгодно выделило бы нашу карту? Например, ее повышенный уровень безо­пасности. Как это реализовать? Ответ на поверхности — надо отказаться от устаревших технологий, например от полного повторения архитектуры безопасности МПС, реализованной на DES (алгоритм для симметричного шифрования). Она создавалась для карт с магнитной полосой, в которых не предполагалась защита транзакций средствами самой карты.

Раз так — убираем полосу с карты и оставляем на ней только чип. Мера разумная — в России практически во всех ТСП терминалы давно чиповые. Отказ от полосы резко повышает защищенность карты, поскольку полностью исключается угроза скимминга — карту можно безопасно использовать в любых банкоматах и терминалах во всей эквайринговой сети банков, принимающих карту «Мир».

Отсутствие полосы также быстро и дешево позволит ввести шифрование по отечественным стандартам ГОСТ — поскольку без полосы будет достаточно защиты транзакции самим процессором чипа. При этом существующий тракт прохождения информационного сигнала модернизировать и переводить на отечественную криптографию не придется — передаваемый сигнал будет криптографически защищен чипом вплоть до самого эмитента. Отечественные HSM-модули для эмиссии таких карт и проверки подлинности совершаемых транзакций на стороне эмитента успешно разработаны отечественной промышленностью.

Прекратятся и дискуссии о невозможности применения ГОСТ: в НСПК карта «Мир» будет использовать ГОСТ, а карты МПС — как и раньше, будут работать на западной криптографии. Инфраструктуру приема карты «Мир», включая терминальное оборудование, менять не придется, изменения ограничатся лишь настройками, а это неизмеримо дешевле и вполне нам по силам.

Идея полного отказа от полосы при совершении транзакций в национальных платежных системах не нова и обсуждалась еще в рамках проекта УЭК. Сейчас обсуждение вышло на второй круг, а ситуацию осложняет изменившаяся международная обстановка.

Поэтому безопасность — она и именно она — должна стать ключевым качеством карты «Мир». Безопасность для страны, для ее граждан. Вместо таких понятных и очевидных шагов в НСПК говорят о мелочах, «забывая» упомянуть о главном: до сих пор чип карты работает под управлением западной ОС, использует западные криптосредства.

Созданное отечественное приложение написано «под них», и риски отключений извне так и не сняты. Разумнее двигать проект вперед в строгом соответствии с официальной стратегией его развития. Что касается магнитной полосы, то ее можно оставить на карте для поддержки выполнения вспомогательных функций. Например, для обеспечения входа в помещения с установленными банкоматами или штатной работой их кардридеров. Важно, чтобы по полосе нельзя было проводить платежи.

Сколько должно быть конкурентов у «Мир»

Вопрос «Б.О»: «Нужна ли конкуренция карты “Мир” с другими отечественными системами»? Ответ: «Конечно, да». Конкуренция всегда важна. Иметь на рынке монополиста — это плохо. Конкуренция нужна и самим создателям карты, и нам, гражданам — в противном случае выбирать нам будет не из чего. Несколько национальных карт надежнее диверсифицируют риски при внезапном отключении НСПК или, скажем, при введении дополнительных санкций.

С другой стороны, конкуренция систем всегда приводит к снижению тарифов и заставляет совершенствовать продукты — им приходится бороться за клиента. Любые мелкие детали в обслуживании карт, лучшая функциональность — все это мгновенно обусловливает переток клиентов из одной системы в другую. Несколько конкурентов — это и мощный антикоррупционный фактор. Фактически у карты «Мир» есть конкуренты в лице МПС, набирают обороты в России JCB и UnionPay. Тем не менее имеющиеся национальные карты без поддержки вряд ли составят конкуренцию карте «Мир», хотя могут сосуществовать с ней и найти себе подходящую нишу.

 

НСПК В ВОПРОСАХ И ОТВЕТАХ

Накануне массового запуска карт «Мир» и на фоне активности в банковской сфере по вопросам информационной безопасности «Б.О» решил собрать мнения специалистов в рассматриваемой области и обобщить их в виде небольшого социологического экспертного опроса. В опросе приняли участие 15 экспертов из банков и платежных сервисов.

 

ДА   НЕТ   НЕ ЗНАЮ

 

Подпадает ли НСПК и вся ее инфраструктура под определение государственной информационной системы (ГИС)? (Напомним, для ГИС становится обязательным использование отечественных алгоритмов шифрования, о которых говорится в Поручении Путина.)

 

 

Требуется ли отдельное поручение — уже об использовании ГОСТ именно в отношении систем обработки информации НСПК (чтобы предотвратить возможные дискуссии, активизировать работу и, возможно, построить соответствующую нормативную базу для НСПК и других подобных систем)?

 

 

Согласуется ли эволюция НПСК с общей Стратегией развития национальной системы платежных карт? (Напомним, Стратегия утверждена Решением наблюдательного совета АО «НСПК» от 6 февраля 2015 года (протокол № 7 от 9 февраля 2015 года). В частности, в п. 8 в нем говорится о том, что создание НСПК будет осуществляться при соблюдении следующих принципов: а) построения IT-платформы НСПК, обеспечивающей независимость оператора НСПК от международных платежных систем и поставщиков IT-решений при ее создании и дальнейшем развитии и эксплуатации; б) приоритетного применения конкурентоспособных российских технологий, обеспечивающих развитие национальных платежных инструментов, в том числе в области защиты информации.)

 

 

Нужна ли рынку конкуренция НСПК с другими платежными системами отечественного происхождения?

 

 

Имеет ли смысл некоторое критическое ПО, используемое в НСПК, в частности криптографию, заменить отечественным на базе ГОСТ?

 

 

Имеет ли смысл 3D Secure от Visa заменить другой западной разработкой, в том числе opensource?

 

 

Оправдана ли разработка нового собственного языка программирования взамен Java для использования в критически важных элементах ГИС? (Как показывает многолетний спор между Oracle (владельцем Java) и Google (использующим Java в платформе Android), однажды в подобные тяжбы могут быть втянуты и структуры, использующие Java.)



18.10.2016
Эта статья была разослана 1442 on-line подписчикам bosfera.ru
Материалы альянса финансовых медиа:
Разговоры финансистов

Вверх