Центральный банк начал подготовку к тестированию российских HSM-модулей — средств безопасности, необходимых для безопасного проведения платежей. Собственные модули нужны, чтобы отказаться от зарубежных аналогов, которые придется заменить, пишет «Коммерсантъ».
HSM-модули — это аппаратные модули безопасности, которые защищают информационные системы, применяющие криптографию, от несанкционированного доступа, физического вскрытия, съема информации техсредствами. Банки в России обычно пользуются импортными модулями, также их выпускают российские CryptoPro и Infotecs.
Согласно «дорожной карте», которую подготовил ЦБ, к концу месяца российские разработчики предоставят «техническую документацию» банкам, которые проверят ограничения применения HSM-модулей. Тогда же с Федеральной службой безопасности (ФСБ) должно быть согласовано техническое задание для проведения тестирования, а к августу модули должны быть доставлены в банки и НСПК, чтобы началось практическое тестирование. Закончить его хотят к концу года.
К тестированию ЦБ привлек лишь несколько банков, но по мнению экспертов, этого недостаточно. Так, независимый эксперт Артем Сычев (ранее куратор Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере в ЦБ) полагает, что для проверки нужно не меньше 10 банков, иначе «не удастся набрать нужный опыт». Технический директор «Синклит» Лука Сафонов пояснил, что небольшое количество участников означает недостаточную проработку сценариев использования HSM-модулей, что создаст «больше возможностей для их взлома или отказа в работе».