Разделы

Безопасность Стратегия безопасности Пользователю Цифровизация ИТ в банках Импортонезависимость Техника

Из России бежал гарант безопасности платежей, с чьим уходом связывали «банковский апокалипсис»

Разработчик аппаратных модулей защиты банковских транзакций Thales ушел из России. Это крупнейший поставщик таких устройств в мире. Банки срочно ищут замену, в том числе и среди российских разработок, но импортозамещение может затянуться по целому ряду причин. Одни банки уверены, что уход Thales может спровоцировать массовые проблемы с безопасностью платежей, другие уверены, что катастрофических последствий не будет.

Thales сбежала из России

Французская компания Thales решила покинуть российский рынок, сообщил Forbes со ссылкой на ее представителей. В числе направлений ее работы в России была защита клиентов отечественных банков.

В частности, именно Thales реализовала в России системы защиты транзакций и проверку PIN-кодов банковских карт в 20 российских банках. Построены они были на специальном оборудовании – аппаратных модулях безопасности (hardware security module, HSM), которые сама же Thales и выпускает.

Уход Thales обернулся сворачиванием всей ее деятельности во всех российских банках, с которыми она сотрудничала. В частности, она поставляла отечественным финорганизациям устройства под названием payShield 9000. Это аппаратный компонент, предназначенный для банкоматов и занимающийся шифрованием пользовательских данных.

Не исключено, что единственным безопасным методом использования карт станет снятие с них наличных в банкомате

Свои payShield 9000 компания Thales поставляла не только в Россию – эти устройства, по данным самой Thales, обрабатывают свыше 80% всех транзакций по пластиковым картам в мире.

Кто пострадает

К моменту выхода материала не было достоверно известно, какие именно российские банки сотрудничали с Thales. Но редакция CNews выяснила, что это как минимум «Альфа-банк», ВТБ, Россельхозбанк и Сбербанк.

О сотрудничестве с «Альфа-банком» компания Thales «проговорилась» сама – информация об этом есть на ее официальном сайте. Подробности о работе французского вендора с другими перечисленными банками, а также с Всероссийским банком развития регионов и Западносибирским коммерческим банком обнаружились на федеральном портале госзакупок.

Редакция CNews обратилась Сбербанк с вопросами, как уход Thales повлияет на работу банков и безопасность их клиентов, и ожидает ответа.

В конце июня 2022 г. в интернете получил распространение документ под названием «Информация о принимаемых рисках, процедурах их оценки, управления рисками касательно ухода компании Thales e-Security с рынка Российской Федерации». Его авторство приписывают сотрудникам «Альфа-банка». В этом документе сказано, что уход Thales из России вызовет остановку и едва ли не апокалипсис в сегменте платежных транзакций.

Согласно доступной в Сети информации, данный документ был подготовлен для внутреннего распространения среди сотрудников «Альфа-банка». Представители банка, однако же, отрицают любую связь с ним. «Мы категорически опровергаем подлинность этого документа, это неумелая подделка, – заявили они. – Карты работают и будут работать как обычно».

Выход есть

К 1 июля 2022 г. не было доподлинно известно, как сильно повлияет уход Thales из России на клиентов российских банков. Между тем, существует факт, что модули, подобные payShield 9000 и способные выполнять его функции, есть и у других компаний.

Например, схожие устройства есть в ассортименте компании Entrust из США. По данным Forbes, до 24 февраля 2022 г. она присматривалась к российскому рынку и собиралась в ближайшем будущем начать отгрузку своих модулей клиентам из России.

Модули защиты банковских транзакций создаются и в России. Так, в этом направлении работают компании CryptoPro, а также «Инфотекс».

10 простых шагов: Как выйти на новые внешние рынки с помощью платформы «Мой экспорт»
Бизнес

Существует очень большая вероятность того, что в эпоху антироссийских санкций и стремительно набирающего обороты импортозамещения российские банки в итоге отдадут предпочтение именно отечественным заменителям продукции Thales. Как минимум один банк из топ-10 уже движется в этом направлении.

В банке ВТБ сообщили CNews, что отказываются от иностранных решений в пользу отечественных. «Мы успешно заменяем иностранные решения по криптошифрованию в рамках общебанковской программы по импортозамещению», – заявили представители банка.

В «Альфа-банке» тоже не отрицают возможный скорый переход на отечественные решения, но в то же время смотрят и в сторону зарубежных разработок. «Уход с российского рынка Thales не скажется на доступности и безопасности платежей, – сообщили CNews представители «Альфа-банка». – Все работает как обычно. Оборудование Thales не является уникальным как в России, так и за рубежом. Его возможно будет заменить на аналогичное по характеристикам и свойствам от российских и иностранных поставщиков».

Более того, «Альфа-банк» уже приступил к отказу от продукции Thales. «Уже идет тестирование и внедрение альтернативных решений. По каждому процессу переход индивидуален – от двух недель до нескольких месяцев. Мы подготовились заблаговременно, и на работе банка это никак не отразится», – сообщили CNews в банке.

Все может пойти не по плану

Уход Thales может повлечь за собой массу не вполне очевидных проблем, связанных с поддержкой устройств и даже с их работоспособностью. Мнения о том, что Thales может преподнести немало сюрпризов своим российским клиентам, придерживается заместитель генерального директора компании «Инфотекс» Дмитрий Гусев.

Черные лебеди в ИБ: как поймать и к чему готовиться?
Защита данных

«К сожалению, мы заранее не знаем, как поведет себя тот или иной зарубежный вендор и какие механизмы ограничения работоспособности заложены в продукты этого вендора», – сказал он Forbes. По его прогнозам, в самом лучшем случае оборудование Thales просто отработает без сбоев до конца техподдержки и гарантийного срока, и безопасность транзакций останется на прежнем уровне. Но Дмитрий Гусев не исключает и той вероятности, что Thales может удаленно заблокировать все работающие в России модули в очередном обновлении программного обеспечения

«Насколько нам известно, банки предпринимают усилия по недопущению второй ситуации, – сказал Дмитрий Гусев. – Но если это все-таки произойдет, то существуют риски остановки работы всей процессинговой системы банка, так как HSM участвует во всех операциях с банковскими картами, от привязки карты к конкретному физлицу до верификации всех операций со счетом банковской карты: пополнения, снятия и т. д.»,

Независимый эксперт в сфере информационной безопасности Алексей Лукацкий обратил внимание, что импортозамещение не сможет помочь банкам оперативно заменить все иностранные HSM-модули. Он заявил изданию, что невозможно быстро выпустить необходимое количество таких устройств, чтобы хватило всем банкам.

Дмитрий Гусев разделяет эту точку зрения. С его слов, на полный переход банков на российские HSM-модули с поддержкой российской криптографии может потребоваться несколько лет. Об объяснил это тем, что нужно выпустить нужное количество самих модулей, а также банковских карт, поддерживающих отечественные алгоритмы криптографии.

Эльяс Касми