То, что для Национальной системы платежных карт (НСПК) необходима своя криптография, обсуждалось еще при ее создании, рассказывает консультант по безопасности Cisco Systems Алексей Лукацкий. Месяц назад технический комитет по стандартизации «Криптографическая защита информации» (ТК26) объявил о создании рабочей группы по разработке отечественного стандарта для приема карт «Мир».
Карты всех международных систем работают по общему стандарту (EMV), в который вряд ли включат нашу криптографию, так что «для обеспечения национальных интересов нам необходимо создать свой аналог этого стандарта», объясняет Лукацкий.
Выпуск первой карты «Мир» намечен на декабрь. Поначалу наша платежная система будет работать по глобальному стандарту, к которому НСПК присоединилась в сентябре, а когда будет создан свой, возможно, перейдет на него.
На отечественном аналоге сможет работать только карта «Мир», а карты международных платежных систем продолжат работать на EMV, значит, потребуется два криптографических модуля и два канала взаимодействия с платежными системами – международными и отечественной, говорит Лукацкий. «Уже сейчас понятно, что в каждый банкомат и POS-терминал придется ставить сертифицированный в ФСБ аппаратный криптографический модуль, стоимость которого может достигать нескольких тысяч долларов», – оценивает Лукацкий. «Если мы хотим все перевести на российскую криптографию, то придется обновлять железо: те криптомодули, которые уже стоят в банкоматах, нельзя будет адаптировать под наш ГОСТ», – говорит сотрудник банка из топ-10.
По данным ЦБ, на 1 июля в России было 218 768 банкоматов и 1,2 млн терминалов для приема карт.
«ЦБ понимает, что это дорого и участники платежной системы не могут одномоментно заменить все свои банкоматы и терминалы. Поэтому предполагается переходный период в течение 5–7 лет – по мере того, как старые банкоматы и POS-терминалы будут заменяться новыми, поддерживающими отечественную криптографию, получившую поддержку ФСБ», – заключает Лукацкий.
«Данная работа проводится в развитие Национальной системы платежных карт и по согласованию с ФСБ», – пояснил представитель ЦБ. НСПК это не комментирует, комментарии ФСБ получить не удалось.
Сотрудник банка из топ-10 сравнивает ситуацию с разной шириной железнодорожной колеи в России и за рубежом: «Мы строим рядом с одной параллельную железную дорогу». К тому же еще не доказано, что использование российской криптографии повысит безопасность платежей, подчеркивает он. «Непонятна цель такой замены, – удивлен директор управления банковских карт другого банка из первой десятки. – Зачем уходить от мировых стандартов, если криптографическое оборудование, которое используется в карточных процессингах, и так проходит через контролирующие специализированные органы». НСПК создавала рабочую группу по этому вопросу, вспоминает он, однако цель внедрения отечественной криптографии никто так и не объяснил.
Стандарт распространится не только на инфраструктуру самого банка, но и на чипы для карт, которые производят иностранные компании, продолжает собеседник «Ведомостей».
Это и замена оборудования обойдется дорого: сотни миллионов долларов на все банки, оценивает банкир из топ-10. В конечном счете это ляжет на плечи клиентов, предупреждает он: если у банка увеличиваются расходы, он должен это как-то компенсировать доходами.
Переход на национальный стандарт противоречит планам НСПК обеспечить прием своих карт по всему миру (см. врез). Сотрудник банка из топ-10 вспоминает, как легко вышли на наш рынок платежные системы JCB и China Union Pay – для их приема было достаточно загрузить платежные приложения, а если для приема карт нужно будет менять что-то в каждом банкомате, почти никто на это не пойдет.