Thales бросает российские банки на произвол судьбы

Компания, которая обеспечивала защиту платежных трансакций и проверку ПИН-кодов на картах крупнейших российских банков, свернула свою работу. 

Банки уже меняют зарубежное оборудование на отечественное, однако это может занять длительное время
Французская компания Thales, которая выпускает аппаратные модули безопасности (hardware security module, HSM) платежных систем, объявила о прекращении работы на российском рынке. Об этом Forbes рассказал представитель компании. По ее словам, компания свернула все операции по обеспечению цифровой безопасности в российском банковском секторе: раньше группа обслуживала 20 российских банков. 

Thales Group — международная компания, которая создает высокотехнологичные продукты и услуги на нескольких направлениях: цифровой идентификации и безопасности, военной, аэрокосмической и транспортной промышленностях. В Россию Thales поставляла модули payShield 9000 — устройства, предназначенные для банкоматов, которые защищают и шифруют данные пользователей, рассказал Forbes сотрудник компании-дистрибьютора Thales. Этот модуль обеспечивает защиту таких операций, как проверка ПИН-кодов, платежные трансакции, выпуск платежных карт, а также управление ключами шифрования, указано на сайте официального дистрибьютора Thales DNA Distribution. Дистрибьютор также указывает, что payShield 9000 — самый популярный в мире модуль защиты платежных систем, с его помощью осуществляется более 80% от мирового объема трансакций по платежным картам.

Решения компании Thales — это международный стандарт криптографической защиты информации банковских карт, который при использовании карты проверяет ПИН-код, CVV-код и другие данные, объясняет Forbes гендиректор компании «Код Безопасности» Андрей Голов. Так, с помощью этого решения на международном уровне карты американских банков-эмитентов принимаются и в других странах, приводит пример собеседник. 

Названия банков, которые работали с Thales, представитель компании раскрывать отказался. Однако, согласно данным на сайте госзакупок, с 2014 по 2021 год конкурсы на поставку и лицензию модулей и ПО Thales объявляли Сбербанк, ВТБ, Россельхозбанк, Всероссийский банк развития регионов (ВБРР) и Западно-Сибирский коммерческий банк. Сама Thales также сообщала на своем сайте о сотрудничестве с Альфа-банком. 

Представитель Thales подчеркнул, что компания — не единственная, кто занимался обеспечением безопасности в российском банковском секторе. Аналогичный модуль есть у американской компании Entrust, которая в прошлом году купила французскую Antelop Solutions и хотела начать поставлять свою продукцию в Россию до «спецоперации»*, отметил собеседник в компании-дистрибьюторе Thales.

Аналогичные решения разрабатывали и российские компании — «Инфотекс» и CryptoPro, рассказал независимый эксперт в сфере информационной безопасности Алексей Лукацкий. По мнению эксперта, критической проблемы в уходе Thales из России нет, поскольку за то время, пока уже проданные решения еще будут работать, банки успеют перейти на российские аналоги. При оперативном переходе это может занять около полугода, считает он.

По данным «Коммерсанта», в середине апреля на совещании ЦБ с банками и российскими производителями HSM-модулей было принято решение об оперативной замене иностраннного оборудования на российское. Кроме того, в 2018 году вступил в силу закон о безопасности критической информационной инфраструктуры (КИИ), согласно которому банки, операторы связи, ТЭК, госорганы и транспортные компании должны перейти на российское программное обеспечение и оборудование. Изначально банки должны были перейти на отечественное «железо» в 2022 году, однако затем Минцифры предложило отсрочить переход до 2025 года. Согласно мартовскому указу президента, с 2022 года года субъектам КИИ нельзя будет закупать зарубежное ПО, в том числе в составе программно-аппаратных комплексов, а с 2025-го — использовать его. 

Заместитель генерального директора компании «Инфотекс» Дмитрий Гусев настроен не так позитивно, как Лукацкий. «К сожалению, мы заранее не знаем, как поведет себя тот или иной зарубежный вендор и какие механизмы ограничения работоспособности заложены в продукты этого вендора», — говорит Гусев. Он предполагает, что в лучшем случае продукты Thales будут работать в полном объеме до конца гарантийного и срока технической поддержки и не снижать уровня безопасности конечных систем, а в худшем — есть вероятность прекращения работоспособности HSM-модулей при очередном обновлении ПО. 

«Насколько нам известно, банки предпринимают усилия по недопущению второй ситуации. Но если это все-таки произойдет, то существуют риски остановки работы всей процессинговой системы банка, так как HSM участвует во всех операциях с банковскими картами, от привязки карты к конкретному физлицу до верификации всех операций со счетом банковской карты: пополнения, снятия и т. д.», — заключает Гусев. Представитель ВТБ сообщил Forbes, что замена иностранных решений по криптошифрованию проходит в банке успешно в рамках общебанковской программы по импортозамещению. Представитель Альфа-банка заверил, что уход Thales с российского рынка не скажется на доступности и безопасности платежей. «Все работает как обычно. Оборудование Thales не является уникальным как в России, так и за рубежом. Его возможно будет заменить на аналогичное по характеристикам и свойствам от российских и иностранных поставщиков. Уже идет тестирование и внедрение альтернативных решений», — сообщил представитель банка. По его словам, по каждому процессу переход индивидуален — от двух недель до нескольких месяцев. Сбербанк, Россельхозбанк и ВБРР не ответили на запросы Forbes.

Гусев также отмечает, что, несмотря на рекомендации от Совета по стандартам безопасности индустрии платежных карт (PCI SSC), каждый крупный банк адаптирует элементы ПО под себя, поэтому невозможно создать универсальный модуль криптозащиты. 

Еще одна из проблем при импортозамещении — это невозможность оперативно произвести такое количество модулей, чтобы покрыть нужды всех банков, указывает Лукацкий. Кроме того, до сих пор неизвестно, будут ли отечественные решения работать с такой нагрузкой, с которой справлялась Thales, добавляет он. Гусев рассказывает, что необходимые для проверки работы модулей тестирования уже начались. Со стороны ГК «Инфотекс» в этих работах принимает участие компания «Системы практической безопасности» со своим СПБ HSM PS. Forbes направил запрос в CryptoPro.

По прогнозу Гусева, полный переход на отечественные модули для банков с поддержкой российской криптографии может занять несколько лет, так как необходимо не только произвести необходимое количество модулей, но и поддержать российскую криптографию на терминалах оплаты и банкоматах и произвести необходимый объем самих банковских карт, также поддерживающих российскую криптографию.