Нельзя сказать, что ранее подобных заявлений не поступало. Очевидцы свидетельствуют — они были, эти заявления. Но были они, скажем так, не настойчивые. Это и позволило создателям проекта НСПК призывы не услышать, а всю идеологию проекта построить на базе западной криптографии.

Напомним, что западная криптография предполагает использование в платежах алгоритмов DES или TRIPLE DES для шифрования данных и RSA для подписи. Российская криптография использует ГОСТ 28147 для шифрования данных и ГОСТы Р 34.10 и Р 34.11 для подписи. Далее: сокращенно «российские стандарты» или ГОСТ, а также «западные стандарты».

Отметим, что должную защиту от злоумышленников обеспечивают как западная, так и российская криптографии: преступникам практически все равно, что взламывать. Однако, важнейшим остается вопрос, связанный с импортозамещением и противодействием санкциям: используя ГОСТ, противодействовать и замещать надежнее и проще. Кроме того, отечественные производители криптосредств и регуляторы от введения ГОСТ выигрывают.

И что сегодня в НСПК?

Использование российских криптосредств в НСПК нигде изначально не запланировано: ни в архитектуре карты «Мир», ни в работе терминального оборудования платежной системы, ни в программных средствах процессинга. Заменить средства шифрования теперь и дорого, и долго. Дело в том, что эффективность работы элементов системы платежей, их параметры зависят от того, какая именно технология и алгоритмы используется, как базовые.

Например, переход на ГОСТ может повысить уровень требований к выбору чипа карты, и уже выбранный чип придется менять. Неясно, как будут взаимодействовать с новой криптографией другие элементы инфраструктуры платежной системы, для выяснения этого нужны тесты.

А это ставит под сомнение сроки намеченной массовой эмиссии карт. Неясно также, как карты «МИР», содержащие криптосредства, реализованные на базе ГОСТ, будут нашими гражданами вывозиться за рубеж и там использоваться. Как быть с разрешением на это компетентных органов?

Что следует ожидать в развитие ситуации?

Точно предсказать развитие ситуации невозможно, но ясно одно — неизбежны и другие проблемы, связанные с информационной безопасностью. Это, к примеру, вопросы, касающиеся функционирования единого комплекса программно-аппаратных средств НСПК, не имеющего сертификата на отсутствие недекларированных возможностей (НДВ). Насколько велик риск получения внешней команды на отключение НСПК целиком или на блокирование регулярной отправки в материнскую компанию сведений о нагрузках и иных характеристиках коммутационного оборудования?

Версия эта из разряда конспирологических, однако, напомню совсем недавнюю историю с оборудованием известной западной компании, которое наши китайские коллеги срочно решили сменить только потому, что оно, как оказалось, имело бэкдор. Хотя никто не может опровергнуть того, что «китайские коллеги», в свою очередь, также не заложили в свои коммутаторы (на которых базируется НСПК) аналогичные возможности.

Конечно, будут раздаваться голоса в пользу того, чтобы оставить все, как есть — дескать, полностью сделать систему отечественной невозможно. Кроме того, карту «МИР», какой бы она не получилась в финале, сертифицировать придется в международных инстанциях, и к российским стандартам там отнесутся не столь благосклонно, как к западным.

Возможен, конечно, путь частичного использования западных продуктов, которым идут в НСПК. К примеру, ею куплены лицензии на использование языка программирования Java (принадлежит американской корпорации Oracle) и технологии 3-D Secure (принадлежитVisa). 3-D Secure, напомним, является технологией, которая используется в целях повышения безопасности карточных транзакций в Интернете. Технология разработана для платежной системы Visa в рамках услуги Verified by Visa(VbV). Аналогичная технология также принята на вооружение MasterCard под названием MasterCard SecureCode(MCC) и JCB International, как J/Secure, а также в AmEx, как SafeKey

Международное сотрудничество дело важное, утверждают оппоненты. Но вы, ребята, как, в известном анекдоте про представителя одной национальности в общественной бане: "вы либо одно наденьте, либо другое снимите".

Если поставлена задача, сделать подлинно российскую национальную карту, то базироваться она должна на российских стандартах и на российских же технологиях. Тогда, действительно, получится российский продукт, а не слабая копия Visa и MasterCard.

Если это все будет сделано не России, то где же еще? Тем более, при должных усилиях, всегда можно найти компромиссы, даже в таком деликатном деле, как использование криптографии в платежных системах, и тому имеются примеры. Например, договорились же выпускать карту «Мир» в кобейджинговом варианте «Мир-Maestro», при котором в России карта будет работать, как «Мир», а за рубежом, как MasterCard Maestro.

В этом ключе надо думать и в отношении стандартов, и в отношении каждой новой лицензии. Ведь любая лицензия — это палка о двух концах, привносящая риски того, что собственник лицензии или разорится, или передумает. Или просто изменит качество продукта.

Комментарии от НСПК, по всем затронутым темам, запаздывают, и эксперты гадают, какой станет карта окончательно. Ясным на сегодня остается только одно: Илья Муромец, если уж слез с печи, обратно на печь не полезет, не сделав дело. Вся наша отечественная история убедительно это показала.