Статья

Российский инструмент обеспечит безопасность систем платежных карт

Интеграция ИТ в банках
мобильная версия

Популярность систем платежных карт в нашей стране стремительно набирает обороты. В то же время злоумышленники все чаще получают несанкционированный доступ к конфиденциальным данным держателей банковских карт. Им можно противопоставить специализированные решения отечественной разработки для обеспечения безопасности.

По данным экспертов «АльфаСтрахования», с июля 2015 г. по июнь 2016 г. число несанкционированных снятий денежных средств со счетов банковских карт в нашей стране выросло в 5,5 раз. Специалисты Центрального банка РФ отмечают, что в течение первой половины 2016 года с использованием карт на территории РФ и за ее пределами было совершено 8,2 млрд операций на общую сумму 23,4 трлн рублей.

Количество сервисов безналичного расчета стремительно возрастает, а модель «деньги онлайн» становится одним из главных трендов XXI века как для B2C, так и для B2B рынков. Но в онлайн переходят не только деньги, но и злоумышленники. Появление и распространение новых угроз со стороны киберпреступников требует непрерывного совершенствования решений для обеспечения информационной безопасности систем платежных карт.

Сегодня в мире для обеспечения защиты систем платежных карт используются аппаратные модули обеспечения безопасности — HSM (Hardware Security Module), которые создают защищенную и устойчивую к различным методам взлома среду для криптографической обработки данных владельцев карт, а также защиты и управления криптографическими ключами.

В России рынок HSM отечественного производства только начинает формироваться. Стоит иметь в виду, что системы платежных карт – это системы массового обслуживания, которые требуют быстрых криптографических вычислений, средств криптографической защиты повышенной мощности, способных обрабатывать миллионы запросов в день от все большего числа пользователей. До сегодняшнего дня лидерами рынка HSM являлись иностранные компании: на российском рынке не было отечественных решений, которые соответствовали бы столь жестким требованиям к обеспечению информационной безопасности систем платежных карт.

Высокоэффективным российским аналогом зарубежных аппаратных криптомодулей стал продукт ViPNet HSM PS, разработанный компанией «Инфотекс».
Очень важно, что при создании HSM «Инфотекс» ориентировалась на потребности отечественного рынка, в том числе рассматривала необходимость оперативного внедрения новых функциональных механизмов криптозащиты в соответствии с интересами национальной платежной системы «Мир».

НСПК и российские регуляторы

«Национальная система платежных карт» (НСПК) — оператор национальной платежной системы «Мир», целью которой является обеспечение бесперебойности, эффективности и доступности оказания услуг по переводу денежных средств — в своей стратегии развития объявила одной из приоритетных задач построение национальной операционно-независимой платформы с применением конкурентоспособных российских технологий, в том числе в области защиты информации.

Подготовку стандартов, регламентирующих использование российских криптографических алгоритмов и механизмов в национальной платежной системе, курирует технический комитет по стандартизации «Криптографическая защита информации» (ТК 26). Руководство деятельностью технического комитета осуществляет ФСБ России.

В 2015 г. руководством ЦБ РФ, ФСБ России и НСПК была утверждена «дорожная карта» по внедрению и использованию HSM российского производства в рамках национальной системы платежных карт, а в рамках ТК 26 организован подкомитет №3 (ПК 3) «Криптографические алгоритмы и механизмы в национальной системе платежных карт Российской Федерации».

«В рамках ПК 3 в январе 2016 года создана рабочая группа для работы по формированию проектов методических рекомендаций. В состав рабочей группы вошли ведущие разработчики и производители СКЗИ, микропроцессорных карт, платежных терминалов и банкоматов, – комментирует Елена Мареева, руководитель рабочей группы при подкомитете №3 ТК 26. – В настоящее время рабочая группа ПК 3 подготовила восемь проектов методических рекомендаций по применению отечественных криптоалгоритмов в основных механизмах обеспечения безопасности платежной системы «Мир»: формирование производных ключей платежного приложения, защищенный обмен сообщениями в процессе эмиссии платежных карт, формирование прикладных криптограмм в платежных системах и др. В 2017 году запланированы работы над механизмами безопасности в области электронной коммерции и мобильного приложения карт «Мир», аутентификации терминального оборудования и защищенного управления криптографическими ключами и приложениями платежных терминалов.

Наиболее активное участие в разработке и обосновании методических рекомендаций принимают представители компаний НСПК, «Инфотекс», «КриптоПро» и СПБ».

Преимущества ViPNet HSM PS 

В условиях распространения платежных сервисов и пластиковых карт способность справляться с возрастающими нагрузками является критически важным аспектом для финансовых организаций. ViPNet HSM PS, в основе которого заложены новые механизмы обеспечения безопасности, построенные на токенной архитектуре изделия, является доверенной криптографической платформой, обладающей высокой производительностью.

Помимо функционального соответствия зарубежным HSM, программно-аппаратный комплекс ViPNet HSM PS по результатам регрессионного тестирования, которое проходило в одном из банков, показал более высокую производительность относительно максимальной производительности импортного аналога: на развернутом стенде данный показатель был повышен почти в 1,3 раза, а в условиях синтетического теста показатель производительности был повышен в 4 раза.

Кроме того, по результатам нагрузочного тестирования по операциям подписи (ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012) была получена производительность до 35 тысяч операций в секунду. 

Добавим, что продукт ViPNet HSM PS обеспечивает безопасность финансовых операций не только национальной платежной системы «Мир» в соответствии с требованиями российских регуляторов, но и также платежных систем Visa и MasterCard.

Российский аналог зарубежных аппаратных криптомодулей компании «Инфотекс» стал надежным отечественным решением для эффективной комплексной защиты процессов эмиссии банковских карт и обработки платежных транзакций с производительностью до 6000 операций в секунду в режиме проверки PVV/CVV. ViPNet HSM PS значительно дешевле иностранных аналогов, что позволит заказчикам значительно снизить затраты банков на оборудование.

Программно-аппаратный комплекс ViPNet HSM PS реализует различные криптографические алгоритмы, среди которых ГОСТ, RSA и 3DES и может успешно применяться для решения большого числа задач. ViPNet HSM PS используется для обработки платежных транзакций в соответствии с зарубежными и отечественными протоколами и криптоалгоритмами, а также для поддержки эмиссии платежных карт, предназначенных для использования как в национальной, так и в международных платежных системах. Кроме того, ViPNet HSM PS поддерживает необходимую функциональность в соответствии со спецификациями EMVCo.

Сертификация

Продукт ViPNet HSM PS был создан на базе криптографической платформы ViPNet HSM, которая разработана «Инфотексом» для криптографической защиты прикладных электронных сервисов. В 2016 году компания «Инфотекс» получила выписку из положительного заключения ФСБ России о соответствии программно-аппаратного комплекса ViPNet HSM требованиям к СКЗИ для защиты информации, не содержащей сведений, составляющих государственную тайну, по классу КВ.

Решение ViPNet HSM получило продолжение, и, как результат, «Инфотекс» создал сервис для банковских электронных систем платежных карт ViPNet HSM PS, который обеспечивает комплексную защиту процессов эмиссии банковских карт и обработки платежных транзакций с использованием российских и зарубежных криптоалгоритмов и может эффективно использоваться заказчиками по программе импортозамещения. В настоящее время ViPNet HSM PS проходит завершающую стадию сертификации в ФСБ России. 

Тестирование ViPNet HSM PS в банках 

На сегодняшний день продукт ViPNet HSM PS прошел несколько циклов тестирования в банках РФ, среди которых «Банк России» и «Сбербанк». «Для любого процессингового центра крайне важно обеспечение непрерывности работы процессинга, особенно в части функционирования криптографического оборудования, – говорит Александр Дубовик, начальник департамента процессинга акционерного банка «Россия». – Решения, предлагаемые зарубежными производителями, отличаются высокой стоимостью обновлений, лицензий и технической поддержки, а в последнее время в связи с изменениями курсов валют на цены оказывается дополнительное давление. Кроме того, с учетом нестабильной ситуации на рынке в целом, существует риск отказа поставщика от обязательств по поддержке оборудования. До настоящего времени на рынке фактически отсутствовали отечественные решения, поддерживающие весь спектр операций по обработке конфиденциальных данных платежных карт и соответствующие всем стандартам и требованиям международных и российских платежных систем, в особенности для карт «Мир». Продукт, предложенный компанией «Инфотекс», на наш взгляд, стал решением этой проблемы».

Появление на рынке отечественного HSM от компании «Инфотекс», который обеспечивает комплексную защиту процессов эмиссии банковских карт и обработки платежных транзакций с использованием российских и зарубежных криптоалгоритмов и сочетающий в себе высокий уровень безопасности, производительность и широкие функциональные возможности, предоставит российским банкам новый надежный инструмент для эффективного обеспечения безопасности систем платежных карт, а также станет драйвером формирования и дальнейшего развития всего российского рынка аппаратных криптомодулей в банковской системе страны.