Банковское обозрение

Финансовая сфера

18.10.2016 Аналитика
НСПК: ГИС или ГЗС?

В сентябрьском номере журнал «Банковское обозрение» выступил с инициативой провести опрос экспертов о состоянии дел в НСПК. Информации об одном из важнейших национальных проектов поступает не всегда много, в основном она касается количественных планов внедрения карт, поэтому, собрав мнения экспертов, можно воссоздать общую картину


Тимур Аитов
Заместитель генерального директора группы компаний «Программный Продукт», директор по международному развитию Ассоциации «Финансовые инновации», заместитель председателя Комиссии по цифровым финансовым технологиям Совета ТПП РФ по финансово-промышленной и

Вопросы экспертам, построенные по типу угадайки — «да-нет», затрагивают как основные результаты проекта, так и нерешенные проб­лемы. Картина получается объемная. Другое дело, что поступившие односложные ответы экспертов в анкете могут быть не всегда понятны читателю и требуют пояснений. Возьму на себя труд пояснить результаты анкетирования (разумеется, только в отношении своих ответов)

Государственно значимые системы на подходе

Вопрос «Б.О»: «Подпадает ли НСПК под определение государственной информационной системы (ГИС)?» Ответ: «Нет». НСПК сегодня — это совсем не ГИС. Ведь ГИС — не обязательно проект, имеющий атрибуты масштабности, особой важности для страны, проект, получающий вливания из бюджета, и прочее.

ГИС — это прежде всего информационная система (ИС), внесенная в соответствующий реестр ГИС, не более того. НСПК в этот реестр не внесена, стало быть, и не является таковой. Отмечу, что в этот реестр разработчиками включены самые разные ИС, многие из которых менее значимы для страны, чем НСПК. Так, наряду с хорошо известными банкирам ГИС ГМП и ГИС ЖКХ в реестре упомянут сайт Ростуризма. Нахождение в данном реестре радикально меняет судьбу любого проекта — согласно поручению президента РФ ГИС должны использовать отечественную криптографию, а это уже принципиально важно для НСПК.

Вопрос «Б.О»: «Требуется ли отдельное поручение президента о включении НСПК в государственный реестр ГИС?» Ответ: «Да». Поручение требуется, чтобы навсегда прекратить споры о том, что важнее — вопросы национальной безопасности или проблемы совместимости с существующими международными платежными системами (МПС).

Одновременно в ожидаемом поручении можно упомянуть и иные важные ИС. К их числу отнесем системы бронирования и резервирования авиабилетов. Что касается НСПК, то она, видимо, должна приобрести особый статус: не должна быть чисто государственной, но и не должна позиционироваться как коммерческая системно значимая система (как сегодня).

Возможное название нового класса систем — государствен­но значимые системы (ГЗС). НСПК, система резервирования авиабилетов и система управления ТЭК страны являют собой примеры ГЗС. Такие системы в значительной мере определяют национальную безопасность государства, поэтому необходимо дать четкий перечень тех характеристик, которыми ГЗС должны обладать.

Ориентир на отечественного производителя

Вопрос «Б.О»: «Согласуется ли эволюция развития НСПК со стратегий ее развития, утвержденной официально?» Ответ: «Нет». Принципы независимости от западных вендоров, от влияния МПС, приоритет российских технологий — все это подразумевает стратегия, но эти важные вопросы, увы, находятся сегодня на втором плане.

В НСПК решается более простая задача — быстро создать что-то работающее, максимально близкое по идеологии к МПС, поэтому и особого вклада отечественных разработчиков мы не видим. Более того, нам нечего предъявить банковским клиентам из арсенала того, что выгодно выделило бы карту «Мир» на фоне существующих западных аналогов. Я имею в виду степень защищенности карты от действий злоумышленников, широту эквайринговой сети и т.д.

У этой карты вообще нет ничего яркого, заметного, нет и особой «фишки». Да и для самих банков — эмитентов карты — условия пока малопривлекательны. Нет никаких льгот в отношении тарифов, лицензий и всего того, что выгодно выделяло бы «Мир» среди карт МПС. Все примерно то же, что и в МПС.

Так, вступление в национальную платежную систему «Мир» стоит около 1 млн руб­лей, ежемесячные выплаты за участие в ней или минимальные комиссии составляют 200–300 тыс. рублей — это еще 3 млн рублей в год. Стоимость карточной операции сопоставима с ее стоимостью в MasterCard/Visa и составляет по 0,1–0,2% суммы операции — как с банка-эмитента, так и с банка-эквайера. Но самые серьезные затраты банка приходятся на вендоров, то есть на поставщиков ПО для процессинговых центров, банкоматов, POS- терминалов, а также на проведение инсталляций и сертификаций.

Фактически, все банки теперь должны поддерживать работу не с двумя системами, а с тремя. По сложности и функциональности все три системы примерно одинаковы, поэтому внедрение и поддержка карты «Мир» стоит столько же, сколько внедрение и поддержка MasterCard/Visa. Оценить затраты на вендоров для обеспечения деятельности по эквайрингу карт «Мир» можно в 100–200 тыс. евро единовременно, а техподдержка добавляет ежегодно 10–20%. Деятельность по эмиссии карт «Мир» обойдется банку в 200–400 тыс. евро, и, опять-таки, техподдержка ежегодно составит 10–20% этой суммы. Появление карты «Мир» — это сущий клондайк для вендоров.

Любой российский банк, взявшийся эмитировать карту «Мир», никаких выгод не получает. Кнутом банкам погрозили, а пряника не дали. Карта «Мир» с ее административно-командными методами продвижения неконкурентоспособна по отношению к продуктам МПС. Так уже считают некоторые банкиры, и в реальных условиях рынка карта не выживет. Добавлю, что маркетинг и PR карты — это также ахиллесова пята проекта. Тем не менее выражу свою личную уверенность в том, что российская карта может и должна превосходить действующие аналоги западных систем, и пути для этого есть.

Чем может быть уникальна карта «Мир»?

Что выгодно выделило бы нашу карту? Например, ее повышенный уровень безо­пасности. Как это реализовать? Ответ на поверхности — надо отказаться от устаревших технологий, например от полного повторения архитектуры безопасности МПС, реализованной на DES (алгоритм для симметричного шифрования). Она создавалась для карт с магнитной полосой, в которых не предполагалась защита транзакций средствами самой карты.

Раз так — убираем полосу с карты и оставляем на ней только чип. Мера разумная — в России практически во всех ТСП терминалы давно чиповые. Отказ от полосы резко повышает защищенность карты, поскольку полностью исключается угроза скимминга — карту можно безопасно использовать в любых банкоматах и терминалах во всей эквайринговой сети банков, принимающих карту «Мир».

Отсутствие полосы также быстро и дешево позволит ввести шифрование по отечественным стандартам ГОСТ — поскольку без полосы будет достаточно защиты транзакции самим процессором чипа. При этом существующий тракт прохождения информационного сигнала модернизировать и переводить на отечественную криптографию не придется — передаваемый сигнал будет криптографически защищен чипом вплоть до самого эмитента. Отечественные HSM-модули для эмиссии таких карт и проверки подлинности совершаемых транзакций на стороне эмитента успешно разработаны отечественной промышленностью.

Прекратятся и дискуссии о невозможности применения ГОСТ: в НСПК карта «Мир» будет использовать ГОСТ, а карты МПС — как и раньше, будут работать на западной криптографии. Инфраструктуру приема карты «Мир», включая терминальное оборудование, менять не придется, изменения ограничатся лишь настройками, а это неизмеримо дешевле и вполне нам по силам.

Идея полного отказа от полосы при совершении транзакций в национальных платежных системах не нова и обсуждалась еще в рамках проекта УЭК. Сейчас обсуждение вышло на второй круг, а ситуацию осложняет изменившаяся международная обстановка.

Поэтому безопасность — она и именно она — должна стать ключевым качеством карты «Мир». Безопасность для страны, для ее граждан. Вместо таких понятных и очевидных шагов в НСПК говорят о мелочах, «забывая» упомянуть о главном: до сих пор чип карты работает под управлением западной ОС, использует западные криптосредства.

Созданное отечественное приложение написано «под них», и риски отключений извне так и не сняты. Разумнее двигать проект вперед в строгом соответствии с официальной стратегией его развития. Что касается магнитной полосы, то ее можно оставить на карте для поддержки выполнения вспомогательных функций. Например, для обеспечения входа в помещения с установленными банкоматами или штатной работой их кардридеров. Важно, чтобы по полосе нельзя было проводить платежи.

Сколько должно быть конкурентов у «Мир»

Вопрос «Б.О»: «Нужна ли конкуренция карты “Мир” с другими отечественными системами»? Ответ: «Конечно, да». Конкуренция всегда важна. Иметь на рынке монополиста — это плохо. Конкуренция нужна и самим создателям карты, и нам, гражданам — в противном случае выбирать нам будет не из чего. Несколько национальных карт надежнее диверсифицируют риски при внезапном отключении НСПК или, скажем, при введении дополнительных санкций.

С другой стороны, конкуренция систем всегда приводит к снижению тарифов и заставляет совершенствовать продукты — им приходится бороться за клиента. Любые мелкие детали в обслуживании карт, лучшая функциональность — все это мгновенно обусловливает переток клиентов из одной системы в другую. Несколько конкурентов — это и мощный антикоррупционный фактор. Фактически у карты «Мир» есть конкуренты в лице МПС, набирают обороты в России JCB и UnionPay. Тем не менее имеющиеся национальные карты без поддержки вряд ли составят конкуренцию карте «Мир», хотя могут сосуществовать с ней и найти себе подходящую нишу.

 

НСПК В ВОПРОСАХ И ОТВЕТАХ

Накануне массового запуска карт «Мир» и на фоне активности в банковской сфере по вопросам информационной безопасности «Б.О» решил собрать мнения специалистов в рассматриваемой области и обобщить их в виде небольшого социологического экспертного опроса. В опросе приняли участие 15 экспертов из банков и платежных сервисов.

 

ДА   НЕТ   НЕ ЗНАЮ

 

Подпадает ли НСПК и вся ее инфраструктура под определение государственной информационной системы (ГИС)? (Напомним, для ГИС становится обязательным использование отечественных алгоритмов шифрования, о которых говорится в Поручении Путина.)

 

 

Требуется ли отдельное поручение — уже об использовании ГОСТ именно в отношении систем обработки информации НСПК (чтобы предотвратить возможные дискуссии, активизировать работу и, возможно, построить соответствующую нормативную базу для НСПК и других подобных систем)?

 

 

Согласуется ли эволюция НПСК с общей Стратегией развития национальной системы платежных карт? (Напомним, Стратегия утверждена Решением наблюдательного совета АО «НСПК» от 6 февраля 2015 года (протокол № 7 от 9 февраля 2015 года). В частности, в п. 8 в нем говорится о том, что создание НСПК будет осуществляться при соблюдении следующих принципов: а) построения IT-платформы НСПК, обеспечивающей независимость оператора НСПК от международных платежных систем и поставщиков IT-решений при ее создании и дальнейшем развитии и эксплуатации; б) приоритетного применения конкурентоспособных российских технологий, обеспечивающих развитие национальных платежных инструментов, в том числе в области защиты информации.)

 

 

Нужна ли рынку конкуренция НСПК с другими платежными системами отечественного происхождения?

 

 

Имеет ли смысл некоторое критическое ПО, используемое в НСПК, в частности криптографию, заменить отечественным на базе ГОСТ?

 

 

Имеет ли смысл 3D Secure от Visa заменить другой западной разработкой, в том числе opensource?

 

 

Оправдана ли разработка нового собственного языка программирования взамен Java для использования в критически важных элементах ГИС? (Как показывает многолетний спор между Oracle (владельцем Java) и Google (использующим Java в платформе Android), однажды в подобные тяжбы могут быть втянуты и структуры, использующие Java.)




Присоединяйся к нам в телеграмм