Волна импортозамещения может затронуть банки

Чиновники обсуждают, не обязать ли их использовать российское шифрование в интернет-банкинге

Елизавета Серьгина

Шифровальных средств, встроенных в мобильные устройства, может оказаться недостаточно для защиты интернет-банкинга

Шифровальных средств, встроенных в мобильные устройства, может оказаться недостаточно для защиты интернет-банкинга

Depositphotos / PhotoXPress

Использование отечественных средств для шифрования «ответственных транзакций» – один из вопросов, который обсуждает подгруппа «Интернет + суверенитет» при рабочей группе по применению интернета в российской экономике, созданной при администрации президента. Об этом сообщил представитель одного из членов этой подгруппы – основателя InfoWatch Натальи Касперской. Банки и некоторые госорганизации используют криптографические средства с американскими сертификатами, но они могут быть отозваны в любой момент, добавляет он. Руководитель подгруппы «Интернет + суверенитет» Илья Массух подтвердил «Ведомостям», что тема перехода банков на отечественные продукты криптозащиты обсуждается. В первую очередь, по его словам, речь идет об интернет-банкинге, кроме того, перейти на отечественное шифрование стоило бы порталам госуслуг и госзакупок. Массух не исключает появления законопроекта, который обяжет их использовать отечественные средства шифрования. На пользователях это сказаться не должно, подчеркивает он.

Кто инициатор этой идеи, Массух не уточнил. Но ее поддерживает ФСБ (она сертифицирует испытательные лаборатории, которые лицензируют средства криптографии в России), знает человек, близкий к подгруппе.

Госструктуры уже сейчас обязаны использовать криптографию, сертифицированную в России, говорит эксперт по безопасности Cisco Systems Алексей Лукацкий. А вот банки преимущественно пользуются зарубежной криптографией, поскольку работают с западными платежными системами. Переход на российскую криптографию введет их в дополнительные траты, предупреждает Лукацкий.

Сейчас банковские платежные приложения часто используют системы шифрования, встроенные в мобильные устройства, говорит он; если понадобится шифровать трафик российскими средствами, банкам придется встраивать их в сами приложения.

 

Затраты на покупку отечественных средств криптографии не так велики – суммарно это миллионы долларов, оценивает Илья Сачков, гендиректор компании Group-IB (расследует киберпреступления).

Но переход на отечественную криптографию он считает бессмысленным. С точки зрения безопасности пользователя не важно, какая криптография используется – отечественная или зарубежная: нет ни одного преступления, которое совершалось бы путем расшифровки трафика. Преступники взламывают системы интернет-банкинга, используя фишинг, кардинг и вирусы, которые притворяются пользователями и действуют от их имени; от них криптография не защитит, объясняет Сачков.

Российским производителям средств шифрования по силам обеспечить потребности банков, уверен гендиректор компании «Код безопасности» Андрей Голов. Процесс перевода банков на российские средства шифрования сопряжен с некоторыми организационными трудностями, но они вполне преодолимы – в частности, нужно, чтобы на компьютере каждого пользователя стояло ПО, реализующее российские алгоритмы шифрования.

Не предвидит проблем с переводом интернет-банкинга на отечественное шифрование и начальник отдела департамента защиты информации Газпромбанка Николай Пятиизбянцев: это займет какое-то время, но российские банки уже используют отечественные средства шифрования для части транзакций, и довольно успешно.

Сбербанк использует в системах интернет-банкинга стандартные механизмы защиты, говорит его представитель, это не создает для клиентов лишних сложностей и не вводит их в дополнительные расходы, все необходимое для защиты транзакций содержится в стандартных браузерах и операционных системах. Переход на отечественные средства шифрования не может не сказаться на клиентах, предупреждает представитель Сбербанка: каждому из них потребуется или перейти на какой-либо бесплатный отечественный браузер, поддерживающий эти средства (например, «Яндекс.Браузер»), или приобрести и установить специальный продукт (вроде «КриптоПРО CSP», стоимость которого в рознице – 2000–3000 руб.).

Со сложностями столкнется и сам Сбербанк, не сомневается собеседник «Ведомостей»: в ряде интернет-систем для работы со средствами шифрования используются импортные аппаратные средства, в которых отсутствует поддержка российских криптоалгоритмов, и российской альтернативы им пока нет.

Запрос в ФСБ остался без ответа.

Источник: http://www.vedomosti.ru/technology/articles/2016/09/28/658771-importozamescheniya-banki

7
550
4