15 апреля прошло совещание ЦБ, представителей банков и отечественных производителей. На нем было принято решение заменить зарубежные HSM-модули, защищающие информационные системы с использованием криптографии от раскрытия данных, на отечественные аналоги. В ЦБ отметили, что вопрос замены обсуждается с заинтересованными участниками.
Модули, о которых идет речь, защищены от стороннего доступа, копирования информации с помощью технических средств, а также от вскрытия. HSM-модули могут производиться как в виде печатной платы, так и отдельными устройствами с антивандальной защитой. Из поставщиков чаще всего российскими банками выбирается Thales, российскими аналогами выступают CriptoPro и Infotecs.
Проблема замены зарубежных функционирующих модулей встает по той причине, что корректность их работы напрямую может зависеть от возможности обновлений. В случае отсутствия своевременных обновлений банковские карты пользователей могут перестать выполнять свои функции. При этом переход на отечественные решения потребует большого количества времени и финансовых вливаний.
Большинство банков планирует замену модулей с помощью вендоров, в то время как Сбербанк и ВТБ готовы осуществить процесс самостоятельно. Если небольшим банкам нужны единичные замены, то для крупных банков речь идет о десятках модулей стоимость которых, по разным источникам, начинается от 1,5 млн рублей за штуку, а то и от 3 млн рублей. Это примерно соответствует стоимости зарубежных решений до начала санкций. При этом платежные модули могут стоить существенно дороже, чем HSM-модули общего назначения.
Проблема заключается и в том, что HSM-модули отечественной разработки производятся из комплектующих, поставляемых из-за рубежа. Сейчас это преимущественно китайские производители, но даже с ними работа затруднена из-за логистических проблем, возникших в том числе и на фоне пандемии. Кроме того, в отечественных модулях может возникнуть необходимость доработки под потребности банков, и планировать переход на отечественные решения можно после внесения нужных изменений. Софт должен соответствовать стандартам, быть совместим со всеми платежными системами и не прекращать работать при высоких нагрузках.
Представитель отечественных поставщиков, комментирующий ситуацию для «Ъ», считает, что снабжение банков займет около девяти месяцев, так как производственные мощности позволяют выпускать модули десятками в месяц, в то время как для охвата всех российских банков их потребуются тысячи. Другие эксперты считают, что полный переход может занять годы, поскольку грядет не только замена оборудования, но и его адаптация к процессинговым банковским системам, а также поддержка криптографии на терминалах и банкоматах.
Часть банков, например, Абсолют-банк, уже осуществила переход на продукцию отечественных вендоров, используя и платежные, и неплатежные HSM-модули от российских производителей.
Представители банков полагают, что Центробанк должен разработать собственный стандарт, аналогичный международному PCI DSS (комплексный стандарт безопасности платежных систем), поскольку в ситуации западных санкций получение международной сертификации практически невозможно, несмотря на соответствие всем требованиям стандарта, а отсутствие сертификации вызывает недоверие к такому оборудованию у банков.