ФСБ хочет перевести НСПК и банки на российскую криптографию
Без этого невозможно добиться полной безопасности расчетов; банкиры с этим не согласны и подсчитывают убыткиФСБ планирует перевести Национальную систему платежных карт (НСПК) и банки на российскую криптографию, иначе невозможно добиться полной безопасности расчетов. Об этом на VIII Уральском форуме по информационной безопасности рассказал представитель службы Владимир Простов.
Сейчас банки в своих процессингах, банкоматах и терминалах используют западную криптографию, а карты всех международных систем работают по общему стандарту (EMV), которому соответствует и российская карта «Мир». Это обеспечивает ее совместимость с уже существующими банкоматами и POS-терминалами.
По словам Простова, уже существует план-график внедрения российской криптографии, включая банковские процессинги, платежные карты, банкоматы, платежные терминалы. Этот план-график согласован с Восьмым центром ФСБ и руководством ЦБ, указывает Простов.
Планируется, что банки должны будут поставить в своих процессингах криптографические модули российского производства, продолжает Простов. «В истории уже есть примеры сертификации российских криптографических модулей, например в 2003 г. у Сбербанка», – приводит пример Простов. В ЦБ сейчас направлены проекты технических заданий от российских производителей – это, например, «Инфотекс», добавляет он. Представители этой компании, присутствующие на форуме, отказались от комментариев.
Накажет за легкомыслие
ЦБ рассматривает возможность применять меры воздействия к банкам за низкий уровень информационной безопасности, так как это влияет на их устойчивость, сообщил Сычев. Подробностей (будут ли это штрафы или требования по капиталу) он не раскрыл, отметив, что до 15 марта меры будут представлены председателю ЦБ.
Получается, что придется ставить несколько криптографических модулей, рассуждает сотрудник департамента безопасности крупного банка: один – для российской платежной системы, второй – для международных, поскольку те не работают на российской криптографии. Теоретически, указывает он, можно ставить один модуль, но тогда нужно, чтобы он был сертифицирован не только ФСБ, но и международными платежными системами, а добиться этого будет сложно.
Сотрудник одного из вендоров указывает, что для работы на российской криптографии не обязательно встраивать аппаратный модуль, это можно было бы решить на уровне программного обеспечения. Он добавляет, что в России сейчас некому производить эти модули, а если их все же придется менять, то это будут неоправданные расходы для банков (цена одного модуля для банковского процессинга начинается от $15 000, и в каждом надо поставить как минимум три таких).
Помимо процессингов «мы выходим с предложением о внедрении российских криптографических модулей в банкоматы и платежные терминалы», рассказывает Простов. Правда, он признал дефицит разработчиков модулей для банкоматов и платежных терминалов.
Обоснования того, что российская криптография надежнее, сейчас нет, говорит сотрудник департамента безопасности одного из банков.
План по внедрению российской криптографии действительно у нас есть, подтверждает замначальника главного управления безопасности и защиты информации ЦБ Артем Сычев. Это не будет дорого для банков, считает он, поскольку они будут менять свое оборудование не сразу, а по мере выхода его из строя. Он оценивает сроки внедрения в 5–7 лет. По словам Сычева, сначала российские криптографические модули будут установлены в банковские процессинги. Кроме того, их будет необходимо установить на банкоматы и POS-терминалы – это вопрос решенный, заключил он.
Банкиры предложения силовиков предпочитают не обсуждать. «Детали пока до банковского сообщества никто не доводил», – объясняет топ-менеджер одного из госбанков.
Представители НСПК и Сбербанка комментариев не предоставили. Банк будет действовать в соответствии с требованиями регулятора, указали в пресс-службе «ВТБ 24».