Уход «Thales» грозит банковским «апокалипсисом»?
В минувшем июне в сети появились сообщения о возможном уходе с российского рынка «Thales e-Security» – компании, являющейся мировым лидером в области систем обеспечения информационной безопасности. Ее разработки активно используются в самых разных сферах – от медицинских учреждений и нефтегазовых структур до авиационной и оборонной промышленности.В России «Thales e-Security» известна своими решениями в банковском секторе, в том числе, использующимися для безопасности платежных систем. Ведущие российские СМИ о предстоящем уходе «Thales» внимание не акцентируют. Зарубежные источники пишут о продаже компанией бизнеса в нашей стране и последующем прекращении деятельности, но насколько может затянуться этот процесс – сказать сложно.
Тем не менее, реакция не заставила себя долго ждать. На минувшей неделе в соцсетях и телеграм-каналах были опубликованы сканы документа, представляющего собой аналитическую записку, якобы подготовленную для служебного пользования экспертами «Альфа-Банка» и рисующего крайне неблагоприятные перспективы ухода «Thales» из России.
Последствия выглядят катастрофичными как для самого кредитного учреждения, так и для его клиентов:
«До заключения нового контракта с поставщиком услуг безопасности банковских транзакций, Клиенты группы, а также их активы и персональные данные будут находиться под угрозой со стороны несанкционированного доступа со стороны третьих лиц.
Невозможность использования продуктов безопасности повлечет вынужденное предоставление Клиентам незащищенного доступа к банковским продуктам онлайн, а также невозможность использования защиты пластиковых карт пин-кодом, недоступность технологии NFC, как следствие, остановку использования бесконтактной оплаты в точках продаж, оборудованных терминалами.
Пластиковые карты потеряют защиту, а любая утечка карточных данных Клиентов повлечет за собой беспрепятственный доступ к денежным средствам на карточных счетах», – говорится в тексте аналитической записки (орфография и пунктуация сохранены).
Невозможность использования продуктов безопасности повлечет вынужденное предоставление Клиентам незащищенного доступа к банковским продуктам онлайн, а также невозможность использования защиты пластиковых карт пин-кодом, недоступность технологии NFC, как следствие, остановку использования бесконтактной оплаты в точках продаж, оборудованных терминалами.
Пластиковые карты потеряют защиту, а любая утечка карточных данных Клиентов повлечет за собой беспрепятственный доступ к денежным средствам на карточных счетах», – говорится в тексте аналитической записки (орфография и пунктуация сохранены).
«Альфа-Банк» идет «в отказ», а Центробанк тестирует модули
Проще говоря, предстоящее прекращение сотрудничества с «Thales e-Security» грозит банковским структурам утечкой персональных данных клиентов и хищением денег с их пластиковых карт. В качестве превентивных мер предлагается: полная блокировка карт, оборот по которым превышает 200 тыс. рублей за два последних месяца или на которых хранятся средства более 100 тыс. рублей; запрет бесконтактной оплаты и платежей в интернете; запрет перевода денег с депозитных счетов на карточные счета; ежеквартальная верификация клиентов; блокировка карт клиентов, не прошедших верификацию.В пресс-службе «Альфа-Банка» категорически опровергли авторство ставшего достоянием общественности «прогноза».
«Мы категорически опровергаем подлинность этого документа, это неумелая подделка. Карты работают и будут работать как обычно», – цитирует комментарий представителя кредитного учреждения портал «Banki.Ru».
Краткость, конечно же, считается сестрой таланта. В данном же случае лаконичность оставляет больше вопросов, чем дает ответов. В самом деле, если разработки «Thales» настолько важны для российских банков, то чем их планируют заменить? В тексте, авторство которого сегодня отрицается «Альфа-Банком», сказано:
«На текущий момент альтернативные решения безопасности банковских транзакций отсутствуют».
Но даже если возникнут некие временные трудности, то россияне все равно в полной мере испытают их на себе.
Между тем, в минувшем апреле на состоявшемся в Центробанке совещании было принято решение об оперативной замене иностранных HSM-модулей, обеспечивающих защиту транзакций и данных клиентов (в том числе, выпускаемых «Thales»), отечественными аналогами. Эксперты «Коммерсанта» подчеркивали: отсутствие своевременного обновления может повлечь за собой риск некорректной работы модулей и, как следствие, карты пользователей перестанут работать.
В России соответствующие технологии выпускаются компаниями «CryptoPro» и «Infotecs», однако, по данным издания, полный переход банковских учреждений на отечественные HSM-модули может занять несколько лет: необходим не только их выпуск, но также адаптация к работе с процессинговыми системами банков, а также поддержка российской криптографии на конечном оборудовании – терминалах оплаты и банкоматах.
Об утверждении Центробанком «дорожной карты» тестирования HSM-модулей российского производства СМИ сообщили в мае. К процессу привлечены «Национальная система платежных карт» (центр обработки операций по банковским картам), фирмы-разработчики «CryptoPro» и «СПБ» («дочерняя» структура «Infotecs») и ряд кредитных учреждений Сбербанк, ВТБ, «Открытие», Промсвязьбанк,МКБ и«Тинькофф».
И снова эксперты «Коммерсанта» высказывают скепсис: небольшое количество участников и недостаточная проработка сценариев использования могут привести не только к перебоям с отправкой платежей и сбоям в работе, но и увеличивают риск взлома. К тому же остается неясным, как будет решаться вопрос с небольшими банками, где задачи по обеспечению безопасности выполняют обычно один либо несколько человек.
Данные «Альфа-Банка» «утекают» в сеть
Завершить тестирование регулятор планирует к концу декабря. Но никто не даст гарантии, что прогнозируемый авторами скандального документа коллапс банковской системы за это время не наступит. В таком случае россиян ожидает вынужденный перевод «на наличность» который продлится не один месяц. Денежные средства будут выдавать в банковских филиалах, а карты своевременно не прошедших верификацию клиентов – блокировать. Напоминает сюжет антиутопии.Что касается «Альфа-Банка», то его система безопасности данных уже неоднократно давала сбои, становясь причиной громких скандалов. Так, в конце октября 2019 года данные держателей его кредитных карт оказались выставлены на продажу на специализированном форуме. Продавец заявлял о наличии у него свежей базы, с информацией о 3,5 тыс. человек; в бесплатном «пробнике» содержались 13 клиентских договоров. В кредитном учреждении факт произошедшей утечки подтвердили, сообщив о незаконном распространении персональных данных всего лишь 15 клиентов и заверив, что опасности для средств на банковских счетах нет в связи с отсутствием доступа к ним.
В марте 2020 года имела место массовая блокировка дебетовых карт клиентов без их предварительного уведомления. В «Альфа-Банке» это объяснилиполучением информации о возможной утечке. Телеграм-канал «Readovka» уточнял, что данные собирались хакерами в течение нескольких месяцев, после чего оказались «слиты» в сеть. Обнаруживший утечку основатель компании «DeviceLock» Ашот Оганесян направил банку соответствующее уведомление, но своевременной реакции на поступивший сигнал не последовало.
В июле того же года на одном из форумов в даркнете появилось объявление о продаже данных клиентов крупнейших российских банков, причем тестовый фрагмент содержал информацию о 64 клиентах «Альфа-Банка» с актуальным банковским балансом. Какой объем записей имелся на руках у продавца осталось неизвестным, но «Известия» писали о его готовности еженедельно выгружать по 5 тыс. строк.
В ноябре 2021-го СМИ сообщили о жалобах россиян на звонки мошенников, имеющих полный доступ к их банковским счетам. В большинстве случаев речь шла опять-таки о клиентуре «Альфа-Банка», причем по словам одного из пострадавших, ему звонили с номера, идентичного тому, который был указан на официальном сайте кредитного учреждения. Помимо всего прочего, мошенники располагали точными данными о количестве средств на счете и недавно сделанных покупках и переводах.
«Альфа-Банк» и политика «отрицания»
В одной из публикаций «Известий» назывались два пути, по которым банковские базы попадают на «черный рынок»: первый – через «слив» данных инсайдером из банка или из партнерской компании: коллекторского агентства, колл-центра, кредитного брокера; второй – через уязвимость дистанционного банковского обслуживания либо из облачных систем управления взаимоотношениями с клиентами, используемыми внешними колл-центрами.Показательно, что несмотря на многочисленные ЧП, в «Альфа-банке» регулярно заявляют об отсутствии уязвимости своих сервисов. После утечки, имевшей место в июле 2020 года, СМИ и телеграм-каналы сообщили о проверке банковской организации регулятором и якобы обнаружении уязвимости онлайн-системы. В кредитном учреждении конечно же поспешили выступить с опровержением этой информации.
Вообще для руководства «Альфа-Банка» политика отрицания очевидного давно стала нормой. Так было во время нахождения в совете директоров одиозных олигархов Петра Авена и Михаила Фридмана, так продолжилось после того, как совет возглавил Олег Сысуев. Не удивительно, что от авторства наделавшего столько шума доклада о негативных последствиях ухода из России «Thales» здесь также открещиваются, причем делают это самыми общими фразами. Из рубрики «не был, не состоял, не привлекался».
Кстати, в числе банков, участвующих в тестировании российских HSM-модулей «Альфа-Банк» не указан. Похоже, после того, как Авен и Фридман обосновались в Лондоне и под предлогом благотворительной помощи направили 150 млн евро на восстановление Украины, государство не особо беспокоит дальнейшая судьба их детища. В таких условиях выступать в роли Кассандры и озвучивать негативные прогнозы выйдет себе дороже. Гораздо безопаснее сконцентрироваться на реализации таких безобидных проектов, как создание «pet-friendly отделений» для обслуживания клиентов, выгуливающих своих четвероногих домашних питомцев.