Как французская авиакосмическая компания оставила без защиты транзакции российских клиентов
Компания Thales, ранее известная как Thomson-CSF, была основана во Франции еще в 1892 г. Сегодня ее штаб-квартира располагается в пригороде Парижа, сеть офисов охватывает свыше 50 стран мира, а численность сотрудников, по последним данным, составляла около 68 тыс. человек. Основное направление деятельности – оборонная промышленность, выпуск информационных систем для авиакосмического, военного и морского применения. В акционерном капитале 27,1% принадлежит правительству Франции.
В число глобальных лидеров рынка универсальных, платежных и облачных HSM компания вошла в 2017 г., после приобретения компании Gemalto.
Поставки Thales в Россию связаны с криптографической безопасностью, а именно с аппаратными модулями безопасности (hardware security module, HSM).
Hardware security module – устройство со специальным крипто-процессором. Его предназначение - создание и защита криптографических ключей в течение всего цикла их существования. HSM применяются для предотвращения несанкционированного доступа к криптографическим ключам, с помощью которых происходит шифрование идентификационных данных и электронных финансовых транзакций. При этом все операции шифрования и дешифровки происходят исключительно внутри устройства.
Сферы использования HSM - мобильная связь, системы контроля за потреблением коммунальных услуг, управления сетями транспорта и электроснабжения, электронный документооборот (в том числе выпуск электронных паспортов), хранилища данных, а также электронный финансовый оборот (эквайринг банковских транзакций, персонализация платежных карт).
На российский рынок компания поставляла модули HSM собственного производства payShield 9000, обеспечивающего криптографическую защиту проверки ПИН-кодов, CVV-кодов, платежных транзакций, выпуска карт, а также управление ключами шифрования. По данным, которые привела в СМИ компания DNA Distribution (официальный дистрибьютор Thales в России и странах СНГ), модули payShield 9000 - самые популярные в мире, они обеспечивают защиту свыше 80% глобального объема транзакций по платежным картам.
Точный список клиентов Thales в России не обнародован, но, по сообщениям экспертов и СМИ, в число ее клиентов входят 20 крупнейших розничных кредитно-финансовых институтов РФ, в том числе Сбер, ВТБ, Альфа-банк, Россельхозбанк, Всероссийский банк развития регионов (ВБРР) и Западно-Сибирский коммерческий банк.
Сообщения об уходе компании с российского рынка появились в Сети в первые выходные июля. ТАСС ссылалось на подтверждающее информацию сообщение представителя компании Thales Ванессы Виалы (Vanessa Viala), Forbes – на информацию, полученную из самой компании.
Событие неприятное, считают эксперты, но не критичное для российского рынка. Например, как комментирует эксперт по информационной безопасности Алексей Лукацкий, продукцию Thales есть, чем заменить. Например, уже не один год выпускаются альтернативные отечественные решения. В их числе - программно-аппаратный комплекс ViPNet HSM от разработчика сертифицированного ПО в ИБ-сфере компании «ИнфоТеКС» и модуль КриптоПро HSM от разработчика средств криптографической защиты информации компании «КриптоПро». Правда, до популярности модулей Thales на отечественном рынке им пока далеко. Но решение об оперативной замене зарубежного HSM-оборудования на российское было принято на совещании ЦБ РФ с банками и российскими производителями еще в середине апреля. А несколько недель назад мегарегулятор запустил эксперимент, в ходе которого в российских банках будут тестироваться отечественные модули HSM. Переход на российские продукты также не вызовет особых сложностей, полагает А. Лукацкий, а сам переход займет около 6-ти месяцев.
Замена иностранных решений по криптошифрованию в рамках общебанковской программы по импортозамещению проходит успешно, сообщает в СМИ представитель ВТБ.
Уход Thales с российского рынка не скажется на доступности и безопасности платежей. Оборудование компании не уникально, его можно заменить на аналогичное по характеристикам и свойствам от российских и иностранных поставщиков, тестирование и внедрение альтернативных решений уже идет, комментирует представитель Альфа-банка.
Полный переход на отечественные модули с поддержкой российской криптографии может занять у российских банков несколько лет, считает заместитель генерального директора компании «Инфотекс» Дмитрий Гусев. По его оценкам, на первом этапе потребности отечественного банковского рынка в HSM-модулях может составить 100 или более изделий. Но необходимо не только оперативно произвести нужное количество модулей, но и поддержать российскую криптографию на терминалах оплаты и банкоматах и произвести необходимый объем самих банковских карт, также поддерживающих российскую криптографию.
Правда, руководство Thales обещает, что с работой уже поставленных и задействованных HSM-модулей проблем не будет. В последних числах июня российские партнеры Thales получили письма за подписью Найджела Боудери (Nigel Bowdery), управляющего директора подразделения Thales e-Security по региону EMEA. В них сообщалось, что компания гарантирует обеспечение полной работоспособности своих продуктов, уже поставленных на рынок, своевременно поставлять новейшие обновления, а также обеспечивая полную поддержку их работоспособности. «Политические манипуляции не могут и не должны повлиять на уровень, качество, стабильность и работоспособность наших продуктов и услуг, в том числе на российском рынке», - пишет топ-менеджер. Но не все верят в эти обещания.
«К сожалению, мы заранее не знаем, как поведет себя тот или иной зарубежный вендор, и какие механизмы ограничения работоспособности заложены в продукты этого вендора», – комментирует в СМИ заместитель генерального директора компании «Инфотекс» Дмитрий Гусев. По самому оптимистическому прогнозу развития событий, считает эксперт, оборудование Thales будет работать без сбоев до конца сроков техподдержки и гарантийного срока, обеспечивая прежний уровень безопасности транзакций. Однако вероятности того, что при очередном обновлении ПО компания Thales может удаленно заблокировать все работающие в России модули HSM, исключать нельзя. А это, по мнению спикера, грозит рисками полной остановки работы всей процессинговой системы банка.