Центробанк 7 мая утвердил, а Минюст 22 июня зарегистрировал Указание №4793-У. Оно вносит целый ряд изменений в положение ЦБ №382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», где сформулированы требования по обеспечению защиты национальной платежной инфраструктуры. В новой версии постановления можно отметить два важных изменения: программное и аппаратное.
Программные требования вполне понятны, и их вступление в силу запланировано на 1 января 2020 г. Основными требованиями являются сертификация используемого ПО по требованиям ФСТЭК на анализ уязвимостей и отсутствие НДВ по ОУД 4. Обязательным требованием становятся ежегодные тестирование на проникновения и анализ на уязвимости, которые должны проводить компании, имеющие лицензии на предоставление услуг технической защиты конфиденциальной информации.
Кроме того, операторам платежной системы необходимо обеспечить разделение процесса подготовки платежа и информирования пользователя о проведенном платеже – собственно, это требование есть в других банковских и платежных стандартах. Из различных стандартов заимствованы и другие элементы лучших практик безопасности: обязательная аутентификация пользователя и устройства, проверка правильности реквизитов, возможность ограничений на сумму перевода, географическое расположение, время и другие характеристики платежа, которые позволят системам антифрода заблокировать подозрительные платежи или хотя бы запросить у пользователя дополнительное подтверждение по независимому каналу. Фактически, это планомерное усиление мер безопасности в рамках лучших международных практик и по классическим методикам, т. е. эти требования направлены на повышение минимального уровня безопасности платежей в российской платежной системе.
Аппаратные требования сформулированы в единственном пункте Указания за номером 1.9, и они очень интересны. Одна часть требований вступает в силу в январе 2024 г., другая − в 2031 г. (казалось бы, при чем тут выборы Президента РФ?). Требования, отложенные на 2024 г., касаются использования иностранных алгоритмов шифрования в аппаратных модулях платежных терминалов и банкоматов, а также устройств хранения ключей шифрования HSM (Hardware Security Module). Такие модули и устройства должны иметь «подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности». ФОИВ, отвечающий за безопасность, − это ФСБ, который и должен установить требования для использования в платежных системах иностранных алгоритмов шифрования. Как пояснил Дмитрий Смирнов, генеральный директор ООО «Системы практической безопасности», речь идет о серии стандартов, разработанных недавно в ТК-26 «Росстандарта». Эти документы определяют, как нужно корректно встраивать иностранные алгоритмы для использования их в устройствах на территории России. Подтверждение корректности встраивания должны будут получить все производители указанных выше устройств до 2024 г.
В то же время абзацы, отнесенные к реализации до 2031 г., требуют применения в платежных системах уже и российских алгоритмов шифрования. Дело в том, что даже единственная российская платежная система «Мир» использует иностранные алгоритмы шифрования. По своей сути это клон системы MasterCard, скопированы абсолютно все технологические элементы. «Мир» настолько аналог MasterCard, что даже в зарубежных поездках ее владельцы могут пользоваться иностранной инфраструктурой, поскольку для нее карта является классической MasterCard. Понятно, что компания НСПК, которая обеспечивает функционирование этой системы, не очень хочет что-то в ней менять. Тут как с механической блохой из «Левши» − сломать легко, а отремонтировать потом будет сложно.
Однако России карта «Мир» нужна в том числе и для стабилизации национальной финансовой системы, за безопасность которой отвечает тот самый ФОИВ. И его представители, по словам Дмитрия Смирнова, не могут согласовать дальнейшее развитие НСПК без перевода ее на российские алгоритмы шифрования, что правильно с точки зрения национальной безопасности. Отражением этой тенденции и является появление пункта 1.9 в обсуждаемом Указании. Сейчас Центробанк и ФСБ разрабатывают дорожную карту для перевода НСПК на российские алгоритмы шифрования.
Следует отметить, что российские разработчики уже начали выпускать устройства для работы с платежными системами, как с иностранными, так и с российскими, совмещая их в одном устройстве. Есть и российские POS-терминалы, и банкоматы, и даже HSM, выпускаемый компанией «ИнфоТеКС». Последний умеет работать и с иностранной криптографией, и с российской. Однако в мире на рынке HSM сложилось монополия компании Thales (не путать с Cisco Talos), которая недавно скупила своих конкурентов. Но «ИнфоТеКС» сложно конкурировать с Thales, поскольку для этого необходимо получить сертификаты платежных систем Visa и MasterCard, для чего требуется пройти проверку у американских регуляторов на соответствие требованиям FIPS 140. В связи с геополитическим недоверием к России американские институты просто не принимают документы на проверку от российских компаний, особенно занимающихся безопасностью. В то же время у платежных систем в правилах есть пункт о соответствии локальному законодательству стран, в которых они работают, и появление Указания №4793-У − это хорошая позиция для переговоров с Visa и MasterCard для поиска компромисса между законодательствами различных стран. Таким образом, «Центробанк» начинает борьбу за продвижение «Мира» во всем мире.