Создан первый российский аппаратный модуль для безопасных платежей на замену европейским аналогам
«Криптопро» получила все необходимые разрешительные документы для распространения аппаратных модулей безопасности собственной разработки. Эти устройства работают в банках и обеспечивают защиту транзакций от хакеров. Они создавались на замену модулей французской Thales – крупнейшего вендора таких устройств, ушедшего из России в 2022 г. Новинка «Криптопро» – первый модуль, у которого есть все необходимые сертификаты. Он уже тестируется в банках, но назвать его на 100% отечественным нельзя – в нем немало иностранных компонентов.
Новый шаг к импортонезависимости
В России появился первый отечественный аппаратный модуль кибербезопасности (Hardware Security Module, HSM), позиционируемый в качестве продукции французской компании Thales. Ее продукция – это HSM для защиты банковских транзакций от перехвата, а сама компания является крупнейшим поставщиком таких устройств во всем мире.
Как сообщал CNews, Thales оказалась одной из первых компаний, решивших поддержать антироссийские санкции. Она сбежала из России еще в середине лета 2022 г., что могло спровоцировать массовые проблемы с безопасностью платежей россиян. Банки срочно начали искать замену среди российских продуктов, но звучало предположение, что поиски могут затянуться.
Так и вышло – первый отечественный HSM-модуль на замену продукции Thales появился лишь спустя год. Как пишет «Коммерсант», он называется HSM 2.0 R3 и на нем стоит логотип российской компании «Криптопро». Разработчики получили все необходимые разрешительные сертификаты для своего нового устройства во второй половине июня 2023 г.
«Криптопро» – это крупный отечественный производитель HSM-модулей. Сами HSM почти всегда выполняются в виде платы расширения для сервера, башенного или стоечного, но иногда это бывают и отдельностоящие устройства с развитой защитой от вандалов. Предназначений у таких приборов несколько, но наиболее часто они которые применяются для создания защищенной среды для криптографической обработки данных владельцев банковских карт, Также они используются с целью управления криптографическими ключами и их защиты от хакеров.
Впереди России всей
Представители «Криптопро» подчеркивают, что их новое творение действительно не имеет аналогов в России. По их словам, компания «впервые в стране разработала и сертифицировала платежный HSM, который может быть полноценной заменой продуктов Thales, с помощью которых в настоящее время обеспечивается безопасность подавляющей части трансакций по платежным картам в России и в мире».
«Криптопро» готова начать выпуск новых модулей. Как сообщил изданию ее представитель Владимир Простов, у объемов производства нет верхнего предела. По его словам, компания будет собирать столько заменителей продукции Thales, сколько потребуется клиентам. «Количество модулей, которые готова выпускать компания ежемесячно, будет зависеть от числа заказов», – добавил он.
Кто сошел с дистанции
По информации издания, избавить Россию и российские финансовые организации от зависимости от европейских криптомодулей планировала не только «Криптопро». В этом же направлении работало еще несколько отечественных ИБ- и ИТ-компаний, среди которых – «ИнфоТеКС».
«ИнфоТеКС» работала над собственным аппаратным криптомодулем HSM PS, который намеревалась интегрировать в свою продуктовую линейку ViPNet. Но в итоге разработчик принял решение отказаться от этих планов и не сертифицировать устройство, сообщил изданию замгендиректора ViPNet Дмитрий Гусев. «HSM-модуль — это сложное техническое устройство, его необходимо изготовить и испытать на совместимость с информационными системами конкретных банков, поэтому, естественно, на это требуется время», – отметил он.
Также в России есть компании, которые все еще трудятся над своим HSM-модулем, но по той или иной причине не смогли прийти к финишу первыми. Среди них – компания «Системы практической безопасности», которая, как пишет «Коммерсант», планирует получить все необходимые сертификаты до конца II квартала 2023 г. Он завершится 30 июня, менее чем через неделю.
ИТ-отрасль в больших сомнениях
Потенциальные и фактические заказчики HSM 2.0 R3 пока не готовы со 100-процентной уверенностью заявить, что новое творение компании «Криптопро» способно полностью заменить проверенную годами продукцию Thales. По словам одного из заказчиков, в модуле обнаружились «проблемы в работе с онлайн-трансакциями, которые необходимо устранить до конца года». Он также сообщил изданию, что далеко не вся электроника модуля произведена в России – с его слов, в HSM 2.0 R3 «есть компоненты из недружественных стран, что означает наличие риска, связанного с их поставками».
Тем не менее, к моменту выхода материала в России было накоплено неустановленное количество экземпляров HSM 2.0 R3. По словам собеседника издания, в стране «уже есть запас модулей в наличии, и ряд участников платежного рынка приступили к их тестированию».
Все упирается в деньги
У финансовой сферы нет иного выхода, кроме как приобщиться к тестированию новинки «Криптопро» за временным неимением в стране его аналогов. Согласно распоряжению Центробанка, все крупные операторы платежных систем обязаны перейти на отечественные HSM-модули с 1 января 2024 г. Притом у этих модулей обязан быть сертификат о прохождении проверки на соответствие требованиям Федеральной службы безопасности России (ФСБ).
К крупным операторам платежных систем относятся Сбербанк, ВТБ, Газпромбанк и Россельхозбанк. Что важно, это требование является обязательным и для других банков, если те являются участниками платежной системы «Мир». Для всех новое требование Центробанка может обернуться крупными расходами, утверждают собеседники издания. С их слов, банкам потребуется заменить десятки иностранных модулей стоимостью в «миллионы рублей» каждый.
«На этом примере мы можем видеть, насколько оторвано законодательство от реального рынка – требование по замене вышло раньше, чем появилось само оборудование», – сообщил «Коммерсанту» директор технического департамента RTM Group Федор Музалевский. А по словам директора департамента проектирования компании «Информзащита» Анатолия Ромашева, используемый в банках процессинговый софт создавался именно под HSM компании Thales. «Переписать его — небыстрая задача», – заявил он изданию.