Волна импортозамещения может затронуть банки
Чиновники обсуждают, не обязать ли их использовать российское шифрование в интернет-банкингеИспользование отечественных средств для шифрования «ответственных транзакций» – один из вопросов, который обсуждает подгруппа «Интернет + суверенитет» при рабочей группе по применению интернета в российской экономике, созданной при администрации президента. Об этом сообщил представитель одного из членов этой подгруппы – основателя InfoWatch Натальи Касперской. Банки и некоторые госорганизации используют криптографические средства с американскими сертификатами, но они могут быть отозваны в любой момент, добавляет он. Руководитель подгруппы «Интернет + суверенитет» Илья Массух подтвердил «Ведомостям», что тема перехода банков на отечественные продукты криптозащиты обсуждается. В первую очередь, по его словам, речь идет об интернет-банкинге, кроме того, перейти на отечественное шифрование стоило бы порталам госуслуг и госзакупок. Массух не исключает появления законопроекта, который обяжет их использовать отечественные средства шифрования. На пользователях это сказаться не должно, подчеркивает он.
Не предвидит проблем с переводом интернет-банкинга на отечественное шифрование и начальник отдела департамента защиты информации Газпромбанка Николай Пятиизбянцев: это займет какое-то время, но российские банки уже используют отечественные средства шифрования для части транзакций, и довольно успешно.
Кто инициатор этой идеи, Массух не уточнил. Но ее поддерживает ФСБ (она сертифицирует испытательные лаборатории, которые лицензируют средства криптографии в России), знает человек, близкий к подгруппе.
Госструктуры уже сейчас обязаны использовать криптографию, сертифицированную в России, говорит эксперт по безопасности Cisco Systems Алексей Лукацкий. А вот банки преимущественно пользуются зарубежной криптографией, поскольку работают с западными платежными системами. Переход на российскую криптографию введет их в дополнительные траты, предупреждает Лукацкий.
Сейчас банковские платежные приложения часто используют системы шифрования, встроенные в мобильные устройства, говорит он; если понадобится шифровать трафик российскими средствами, банкам придется встраивать их в сами приложения.
Затраты на покупку отечественных средств криптографии не так велики – суммарно это миллионы долларов, оценивает Илья Сачков, гендиректор компании Group-IB (расследует киберпреступления). Но переход на отечественную криптографию он считает бессмысленным. С точки зрения безопасности пользователя не важно, какая криптография используется – отечественная или зарубежная: нет ни одного преступления, которое совершалось бы путем расшифровки трафика. Преступники взламывают системы интернет-банкинга, используя фишинг, кардинг и вирусы, которые притворяются пользователями и действуют от их имени; от них криптография не защитит, объясняет Сачков.
Российским производителям средств шифрования по силам обеспечить потребности банков, уверен гендиректор компании «Код безопасности» Андрей Голов. Процесс перевода банков на российские средства шифрования сопряжен с некоторыми организационными трудностями, но они вполне преодолимы – в частности, нужно, чтобы на компьютере каждого пользователя стояло ПО, реализующее российские алгоритмы шифрования.
Сбербанк использует в системах интернет-банкинга стандартные механизмы защиты, говорит его представитель, это не создает для клиентов лишних сложностей и не вводит их в дополнительные расходы, все необходимое для защиты транзакций содержится в стандартных браузерах и операционных системах. Переход на отечественные средства шифрования не может не сказаться на клиентах, предупреждает представитель Сбербанка: каждому из них потребуется или перейти на какой-либо бесплатный отечественный браузер, поддерживающий эти средства (например, «Яндекс.Браузер»), или приобрести и установить специальный продукт (вроде «КриптоПРО CSP», стоимость которого в рознице – 2000–3000 руб.).
Со сложностями столкнется и сам Сбербанк, не сомневается собеседник «Ведомостей»: в ряде интернет-систем для работы со средствами шифрования используются импортные аппаратные средства, в которых отсутствует поддержка российских криптоалгоритмов, и российской альтернативы им пока нет.
Запрос в ФСБ остался без ответа.