Банки закупили более сотни модулей криптозащиты платежей

Российские банки постепенно переходят на отечественные аппаратные модули безопасности, так называемые платежные HSM-модули, которые необходимы для защиты транзакций от перехвата злоумышленниками. На рынке два игрока, которые могут поставлять эту продукцию, – «Системы практической безопасности» и «Криптопро». У первого банки пока заказали 100 аппаратов, рассказал его представитель. В «Криптопро» конкретное значение называть не стали, уточнив, что пока «заказов не так много». По оценке ЦБ, для соответствия требованиям безопасности банкам требуется установить 1200 российских модулей. Французская Thales – крупнейший поставщик модулей в мире – ушла из России в 2022 г.

По указу президента все субъекты критической информационной инфраструктуры, к которым относятся и банки, обязаны перейти на отечественные средства защиты информации до 1 января 2025 г. Но одно из положений ЦБ обязывает всех операторов значимых платежных систем (а это в том числе Сбербанк, ВТБ, Газпромбанк) уже с 1 января 2024 г. обеспечить использование отечественных аппаратных модулей, которые соответствуют требованиям защиты ФСБ. Представитель ЦБ уточнил, что это распространяется на все российские банки, так как они являются участниками платежной системы «Мир». Переход на отечественные модули происходит в соответствии с дорожными картами, согласованными с Банком России, заверил его представитель.

«Банк России смотрит на эту ситуацию в первую очередь с точки зрения операционной надежности, т. е. никто не собирается стрелять себе в ногу и говорить, что надо выбросить сейчас все устройства и срочно бежать закупать», – говорил советник заместителя председателя ЦБ Дмитрий Корякин, выступая на уральском форуме по кибербезопасности 16 февраля.

Банки не спешат

Сейчас у «Систем практической безопасности» запущено в производство порядка 100 модулей, но на них уже есть заявки, сказала заместитель генерального директора по научно-технологическому развитию компании Елена Мареева во время выступления на уральском форуме. По ее словам, при наличии спроса они могут выпустить 800 устройств к концу года.

У «Криптопро» банки пока приобрели не так много HSM-модулей, рассказал «Ведомостям» заместитель генерального директора компании Станислав Смышляев, не уточнив их количество. Среди заказчиков «Криптопро» есть как крупные кредитные организации, так и средние, отметил он. Сейчас на финальной стадии или уже завершили тестирование продукта 26 банков и еще 19 либо на стадии начала, либо в активном процессе. При этом все крупные игроки уже прошли тестирование и имеют сертификаты совместимости модулей от «Криптопро» и своих систем, добавил Смышляев.

Но производители пока не понимают, сколько устройств необходимо рынку. «Уважаемые господа банкиры, заказывающие оборудование, где ваши заявки? Давайте! <...> Я думаю, все-таки разумнее, если мы будем знать, сколько вам надо и чего», – призвала банки на форуме по кибербезопасности Мареева. Если организации нужно 1–2 модуля, то произвести их несложно, но если необходимо 300 или 500 модулей, то надо заранее планировать производство, пояснила она.

Склад «Криптопро» заполнен комплектующими, говорил на форуме Смышляев. То есть если банку нужно несколько единиц HSM, то необходимо 3–4 недели на поставку, пояснял он. Но если речь про 500–600 единиц, то срок заметно растягивается и надо обсуждать план поставки, отмечал Смышляев.

«Криптопро» и «Системы практической безопасности» получили сертификаты ФСБ на производство HSM-модулей в 2023 г. Оба продукта находятся в реестре российского софта Минцифры в части ПО. В реестре есть еще две компании, «Остакард» и «Инфотекс», но они занимаются в первую очередь разработкой ПО для работы таких модулей.

В Промсвязьбанке к 2025 г. планируют полностью завершить переход на отечественные HSM-модули, говорит его представитель: количества аппаратов достаточно для обеспечения безопасности и непрерывности операций клиентов. Банк «Зенит» уже начал переходить на отечественные HSM-модули, которые закупил в 2023 г., отметил его представитель. «Абсолют банк» пока прорабатывает вопрос перехода и оценивает опыт коллег, чтобы учесть определенные нюансы в своих процессах, сказал директор департамента кибербезопасности Руслан Ложкин. Кредитной организации требуется небольшое количество модулей, но точные сроки пока не установлены, добавил он.

Очередь на поставку

В прошлом году банкиры отмечали, что у отечественных аналогов Thales были проблемы в работе с онлайн-транзакциями, а также они состояли из компонентов из недружественных стран, писал «Коммерсантъ». Сейчас многие спорные моменты, которые возникали на стыке требований банков и ФСБ, были решены, заверил Смышляев. Пожелания банков в плане удобства использования также учтены, добавил он. Как правило, банки закупают для теста по 4–5 модулей, ставят их параллельно с зарубежными и смотрят, как все работает, пояснил Смышляев. Для этого в банковском ПО есть возможность перенаправить трафик на новые устройства при выходе из строя Thales, добавила Мареева.

Все еще остались трудности с так называемой обвязкой модулей, так как HSM должен исправно работать с конкретным сервисом, например обслуживанием банковских карт, интернет-эквайрингом и т. д., говорит Ложкин. Поэтому требуется время на интеграцию с соответствующими типами сервисов: ПО процессинга, ПО банкомата и проч., поясняет он. Также есть особенность российских требований к HSM-модулям, продолжает Ложкин. Для Thales был нужен определенный стандарт индустрии платежных карт, и то не для всех, а для транзакций определенного уровня, поясняет он. Но требования ФСБ к российским HSM и их уровню защиты намного жестче.

Есть и другая загвоздка – HSM-модуль не массовый товар, говорит Ложкин: он делается штучно под конкретного заказчика. Сейчас очередь на поставку аппаратов занимает от 6 до 8 месяцев, отмечает он.

Компании могут продавать HSM-модули до 1 января 2025 г. по указу президента, но затем HSM-модули должны быть включены в реестр Минцифры, потому что финансовые организации относятся к объектам критической информационной инфраструктуры, говорит патентный поверенный РФ Борис Герасин. Если информации об устройствах нет в реестре промышленной продукции Минпромторга РФ, то это может накладывать ограничения при поставке данных модулей в виде программно-аппаратных комплексов, сказал руководитель Центра противодействия киберугрозам Innostage CyberART Максим Акимов. Внесение продукции в реестр Минпромторга является подтверждением локализации происхождения товаров на территории России, что дает производителям право участвовать в закупках и тендерах, добавляет Герасин.