Банки устроили панику по поводу ухода Thales из России

После публикации в российском Forbes материала об уходе из России компании Thales появились слухи о наступлении «банковского апокалипсиса». Похоже, слухи о преждевременной кончине российского банковского сектора были преувеличены. Но пока еще не все ясно с деталями.

В начале июля российское издание Forbes, ссылаясь на представителей компании Thales, объявило, что глобальный многопрофильный вендор из Франции в области промышленной микроэлектроники уходит из России. По странному стечению обстоятельств это вызвало панику в банковской сфере. Ее поспешили поддержать в медийном российском пространстве.

Что же произошло на самом деле? Мы расскажем далее.

Банки столкнулись с проблемой, о которой знали не менее двух лет назад

Ситуация вокруг ухода Thales из России уже обросла множеством странных событий и слухов. Главный «пшик» устроило издание Forbes, которое опубликовало 1 июля материал, предвещающий «банковский апокалипсис»

Forbes сообщила, что французский разработчик аппаратных модулей защиты банковских транзакций Thales принял решение уйти из России. Его специальные модули, которые широко используются в банковском секторе по всему миру для шифрования и защиты транзакций, якобы, оказались под угрозой в российских банках. Издание сообщало, что отечественные банки, внезапно узнав об уходе французского вендора, срочно бросились искать замену.

В первую очередь под выбор попали, конечно, российские разработчики – компании CryptoPro и «Инфотекс» - они также работают в этом направлении. Схожие устройства есть в продуктовом портфеле американской компании Entrust. Как сообщала Forbes, эта компания активно присматривалась к российскому рынку ранее и собиралась в скором будущем начать отгрузку продуктов клиентам из России. Но перспектива оказалась нереализуемой, потому что теперь компании Entrust придется столкнуться с федеральными ограничениями, введенными в США после 24 февраля 2022 г., на поставку высокотехнологичной продукции в России. В таких условиях новый бизнес в другой стране точно не начинают.

В то же время Forbes сообщало, что импортозамещение модулей Thales может затянуться, возможно, на несколько лет. Говорилось, что для этого «есть ряд веских причин».

Наибольшие страхи вызвало сообщение Forbes, что уход Thales способен спровоцировать возникновение массовых проблем с обеспечением безопасности банковских платежей. Некоторые лица утверждали, что используемые банками модули Thales широко применяются в банкоматах, поэтому уход Thales из России способен привести к прекращению работы большинства их функций. «Банкоматы можно будет использовать только для снятия наличных», - утверждали они.

В то же время раздавались и здравомыслящие голоса. Они сообщали, что катастрофических последствий в банках не будет.

Российские банки, «попавшие в беду»

К моменту публикации материала в Forbes не было достоверно известно, какие именно российские банки устанавливали оборудование Thales. Данные собирались по крохам из сети: в описаниях тендеров, среди комментариев представителей самих банков, по косвенным свидетельствам из разных источников. Точной картины о списке банков, которые могут столкнуться с объявленной проблемы, нет до сих пор.

На текущий момент известно, что, как минимум, в этот список входят крупнейшие российские банки, такие как «Альфа-банк», ВТБ, Россельхозбанк и Сбербанк. Среди других банков, кто объявлял о своем сотрудничестве с Thales, называют Всероссийский банк развития регионов и Западно-сибирский коммерческий банк – данные обнаружились на федеральном портале госзакупок. Всего было названо около 20 российских банках, которые использовали в своих продуктах аппаратные средства защиты транзакций и проверку PIN-кодов банковских карт на базе продуктов Thales.

В то же время ни один из перечисленных банков не выступил с официальным заявлением по поводу возможных проблем в связи с уходом Thales. Это сильно настораживает и требует ответа.

О банковских проблемах в деталях

Из материала Forbes стало известно, что главную опасность для банковского сектора связывают с возможностью «окирпичивания» устройства под названием payShield 9000. Он выпускался компанией Thales и поставлялся отечественным финорганизациям.

Удивление вызывало то, что в качестве «главной беды» назывался аппаратный модуль безопасности (hardware security module, HSM) – специальное оборудование, которое устанавливается в различные устройства, где требуется аппаратная, высокопроизводительная поддержка для функций криптографии с развитой системой управления и дистанционной поддержкой. В продуктовом портфеле Thales, который был доступен в том числе для российских организаций, были доступны и значительно более мощные аппаратные и программные разработки, замена которых потребует проведения серьезных исследовательских работ и доступности соответствующих аппаратных компонентов. Но «банковский апокалипсис» связывали всего лишь с популярным, но уже устаревшим HSM-модулем компании Thales.

Впрочем, по данным самой Thales, семейство этих продуктов «обрабатывают свыше 80% всех транзакций по пластиковым картам в мире».

 

Современная продуктовая линейка Thales HSM. Источник: Thales

 

На текущий момент известно, что payShield 9000, которые компания Thales поставляла не только в Россию, но и по всему миру, находится на завершающей стадии своего жизненного цикла. Продажи payShield 9000 были прекращены еще два года назад, в июне 2020 года.

В декабре 2022 года будет прекращена техническая поддержка payShield 9000 из-за исчерпания жизненного цикла (выпуск этих модулей начался еще в 2007 году). Начиная с 1 января 2023 года, работа HSM-модулей этой версии будет планово прекращена вовсе. На смену им Thales уже давно выпускает новую модель payShield 10K. Поэтому все дальнейшие обновления прошивки будут выпускаться только для этой новой модели.

Более того, еще в 2019 году компания Thales оповестила всех своих партнеров и клиентов по всему миру о прекращении поддержки HSM-модулей payShield 9000 и рекомендовала переходить на payShield 10K.

 

Преимущества новой HSM-модели Thales payShield 10K. Источник: Thales

 

Зная эти подробности, можно смело утверждать, что разлетевшаяся после публикации информация, что «Thales кинула российский банковских клиентов», является фейком.

Банки попались в «капкан» или «проспали»?

На самом деле, с самого начала должно было насторожить, что атаки против Thales и последующие угрозы для банковского сектора начались заранее. Еще в конце июня 2022 г. в сети получил распространение документ, имевший название «Информация о принимаемых рисках, процедурах их оценки, управления рисками касательно ухода компании Thales e-Security с рынка Российской Федерации». Титульная страница указывала на то, что этот внутренний документ был выпущен в «Альфа-банке».

В документе сообщалось, что уход Thales из России приведет к остановке работы систем в сегменте платежных транзакций. Будущее называлось не иначе как «банковский апокалипсис».

Представители СМИ обратились тогда в пресс-службу «Альфа-банка» за комментариями. В ответ представители банка полностью отрицали любую связь этого документа со своей организацией. «Мы категорически опровергаем подлинность этого документа, это неумелая подделка, – заявили они. – Карты работают и будут работать как обычно».

Позднее появились другие публикации, где указывалось на несоответствие оформления «скандального документа» внутренним стандартам «Альфа-банка». Многие согласились тогда, что данный документ был фальшивкой, однако осадок остался.

А может беда уже пришла?

Изложенные выше материалы не являются результатом эксклюзивного расследования. Здесь отсутствует инсайд, которые сейчас можно получить из разных источников. Все, что написано, получено из доступных открытых источников.

Это вызывает больше всего беспокойства в связи с «инцидентом» вокруг Thales. Можно предположить, что в банковской сфере действительно не все так однозначно в связи с уходом Thales.

Как уже упоминалось, линейка продуктов Thales значительно шире и не ограничивается только HSM-модулями. Можно назвать, например, корпоративные системы управления ключами доступа и политиками Thales KMS, которые могли быть установлены во внутренней корпоративной инфраструктуре различных российских организаций, прежде всего из банковской сферы.

Поэтому слухи вокруг «банковского апокалипсиса» в связи с «окирпичиванием» HSM-модулей payShield 9000 могли быть лишь «официальным поводом».

 

Платформа Thales KMS для централизованного управления ключами и политиками. Источник: Thales

 

Автор: Игорь Новиков.

Тематики: Оборудование

Ключевые слова: финансы, оборудование, микроэлектроника, банкоматы, Новости Спецоперация на Украине, Санкции в ИТ сфере