НСПК на переправе не меняют?

В свое время ЦБ РФ проводил опрос по созданию и развитию национальной платежной системы (НПС), который был предложен регулятором всем участникам соответствующей рабочей группы и банкам. Тогда казалось, что таким образом будут сняты многие проблемы с будущей Национальной системой платежных карт (НСПК). Но, увы, они остались. Поэтому «Б.О» решил продолжить обсуждение наиболее сложных и спорных моментов, связанных с внедрением НПС, и попросил экспертов рынка ответить на несколько вопросов, а при желании дать развернутое мнение. Представляем некоторые промежуточные итоги этого обсуждения

Разговоры о создании своей, российской, системы платежных карт шли с 90-х годов. Но то было время «долго запрягать», а вот «быстро ехать» начали с весны 2014 года, когда Госдумой в первом чтении был принят проект Федерального закона «О внесении изменений в Федеральный закон “О НПС”». Принятие этого Закона, можно считать, и дало реальный старт созданию НСПК после нескольких лет разговоров и совещаний о строительстве НПС, начатых, в свою очередь, в ноябре 2010 года, когда на рассмотрение в Госдуму поступил одобренный правительством проект Закона «О национальной платежной системе».

В отзыве правительства на представленный законопроект говорилось, что его концепция правительством РФ поддерживается, однако к нему имеются замечания. А вот этот отзыв можно смело считать точкой отсчета появления огромного количества жарких споров вокруг НСПК, которые продолжаются по сей день.

О конкуренции

Одним из основных пунктов этих споров часто называют отсутствие конкуренции. Именно с таким заголовком — «НПС вне конкуренции» — в июле 2014 года «Коммерсант» опубликовал статью, посвященную тому, что в Банке России состоится внеплановое заседание по выбору технологической основы для создания национальной платежной системы, о котором сообщили несколько приглашенных на него участников.

Приглашение ЦБ их удивило. «Формально участники экспертной группы уже выполнили свою функцию в конце июня, выставив оценки “Золотой короне” и УЭК от Сбербанка, конкурирующим за право стать технологической основой для НПС. Собственно, в этом и была их задача. Далее вердикт на базе этих оценок в июне должна была вынести более высокая комиссия, куда входят депутаты, члены правительства и сотрудники ЦБ, но она, как известно, взяла отсрочку, сославшись на то, что представленных “Золотой короной” и УЭК данных о себе все еще недостаточно, — пиcал «Ъ». — Теперь участников экспертной группы зачем-то собирают вновь, притом что никакой дополнительной информации ни у УЭК, ни у “Золотой короны” не запрашивалось».

В апреле 2014 года «Ведомости» написали, чем закончилось то, предыдущее, заседание экспертной группы, которая «выполнила свою функцию»: «ЦБ подвел итоги голосования по национальной платежной системе (НПС), которое было предложено регулятором всем участникам рабочей группы и остальным банкам через АРБ и Ассоциацию “Россия”. Банки должны были выбрать, создавать НПС с нуля или на базе существующих систем. Большинство проголосовало против создания НПС на базе существующих платежных систем “Универсальной электронной карты” (УЭК), “Золотой короны” и Union Card (такие варианты предлагались в анкете). Банки хотят создать НПС с нуля».

Аналогичные результаты получились по итогам анкетирования участников рабочей группы, в которую входят Сбербанк, Банк Москвы, «Уралсиб», ВТБ24, Газпромбанк, «Русский стандарт», ТКС-банк, Альфа-Банк и Промсвязьбанк. За УЭК проголосовали только сама УЭК и два акционера проекта — Сбербанк и «Уралсиб». Остальные банки также выступили за создание НПС с нуля. Такой вариант и предлагал регулятор: сделать оператором НПС некоммерческую организацию, которую ЦБ учредит вместе с банками и платежными системами, в том числе иностранными. Представитель ЦБ сказал, что обсуждение судьбы НПС еще продолжается и решения пока нет.

Почему банкиры и эксперты высказались против УЭК? Она не готова к работе в качестве НПС и наполовину. Такие выводы содержатся в предварительных результатах анализа проекта Accenture. Эксперты компании пришли к выводу, что пока готовность УЭК стать НПС с соответствием уровню доступности 99,999 составляет 40%. Для достижения уровня НПС проект нуждается в существенной модернизации, счел аудитор. Инфраструктура УЭК требует существенных улучшений для поддержания нужных объемов транзакций в России в качестве НПС. Кроме того, необходимо рассмотреть создание резервного центра обработки данных для непрерывности предоставления сервиса даже в случае катастрофы в регионе размещения двух основных центров обработки данных. При этом платежное приложение ПРО100, созданное Сбербанком (используется в картах УЭК), является лицензионной технологией MasterCard.

Но вернемся к статье в «Ъ». Эксперт, знакомый с позицией ЦБ, отметил в ней: «Изначально перед регулятором стояла задача изучить самый быстрый вариант, то есть использование уже имеющихся технологий. Однако после принятия экстренных мер [по отношению к МПС — прим. «Б.О»] вопрос стоит не столь остро, а значит, правильнее будет создать качественную систему с нуля, даже потратив на это больше времени». Так, идею построения системы на базе уже имеющихся технологий УЭК или «Золотой короны» заместила идея строительства НПС с нуля.

С технологической конкуренцией понятно, а как с рыночной? Согласно подписанному в мае 2014 года президентом РФ Закону об НПС, «создание национальной платежной системы в России предполагает организацию расчетно-клирингового центра (оператора) НПС в форме ОАО, единственным акционером которого будет Центробанк». Но, по задумке властей и регулятора, акционерное общество впоследствии будет поэтапно приватизировано по аналогии с Московской биржей. На дворе середина 2016 года, а о приватизации пока речь не идет, хотя никто и не дезавуирует вопрос о том, что НСКП надо акционировать.

О технологиях и безопасности

В ходе круглого стола в Госдуме 16 апреля 2014 года заместитель председателя Комитета Госдумы по науке и наукоемким технологиям Алексей Чепа отметил, что «предпринятая третьими странами блокировка международных платежных систем в отношении ряда российских банков и их клиентов «со всей очевидностью обнажила проблему защищенности отечественной стратегической информационной инфраструктуры, прежде всего — в финансовой сфере». По его мнению, в таких условиях особую важность приобретают оте­чественные разработки, призванные обеспечить устойчивость к любому внешнему вмешательству. «Современный уровень производства позволяет делать закладки, разрушающие или переформатирующие любую технологическую систему в интересах враждебной страны. В связи с этим возникает вопрос о переориентации на сотрудничество с политически лояльными странами-производителями, в первую очередь Китаем и Индией», — добавил Алексей Чепа.

Накануне массовой эмиссии карт российской платежной системы «Мир» ее оператор обрисовал размеры и состав инфраструктуры проекта, а также поделился статистикой зафиксированных инцидентов. Об этом подробно рассказал 20 июля 2016 года CNews заместитель генерального директора АО «НСПК», являющегося оператором «Мира», Сергей Бочкарев. По его словам, по состоянию на конец мая 2016 года в проекте используются серверы Huawei Tecal RH1288 V3, Tecal RH2485 V2 и Tecal RH5885 V3, базирующиеся в двух ЦОД (равноправных; ни один не является резервным по отношению к другому). Используется шесть СХД трех типов: Huawei OceanStor 5300 V3, OceanStor 5600 V3 и OceanStor 6800 V3. Парк телеком-техники Huawei включает маршрутизаторы AR 201 и NE40E-X3, а также коммутаторы S5710-28C-EI-AC, CE12804 и CE6850-EI.

Кроме того, сравнительно недавно НСПК закончила тестировать и начала использовать ПО Huawei eSight, предназначенное для управления различными компонентами IT-инфраструктуры — от ЦОД и сетевых операций до контроля доступа, производительности, безопасности и мониторинга окружающей среды.

Выбор в пользу Huawei был продиктован тем фактом, что на момент запуска проекта только эта компания обладала оптимальным соотношением трех составляющих, необходимых для любой платформы: телекоммуникационным оборудованием, серверами и СХД.

CNews утверждает, что в проекте используется два вида ПО. Первое стоит в операционном платежном клиринговом центре НСПК и служит для обработки транзакций. Оно было создано технологами НСПК во взаимодействии с разработчиками из «Опэнвэй» со штаб-квартирой в Санкт-Петербурге. Вторая часть ПО для «Мира» — это само платежное приложение, размещаемое в чипе на карте. Данный софт позиционируется как разработка исключительно НСПК.

Так как НСПК на 100% принадлежит ЦБ, который не обязан размещать свои закупки в прозрачном поле, точные данные о стоимости проекта по обеспечению инфраструктуры для платежной системы «Мир» пуб­личными не являются, считает Cnews.

Что касается вопросов информационной безопасности, то, как утверждают в НСПК, очень многое было реализовано с помощью российских технологий и на российском же ПО. Однако остались открытые вопросы, которые активно обсуждаются специалистами. На часть из них попытался ответить Алексей Лукацкий, эксперт по ИБ, в статье от 8 августа 2016 года в bankir.ru. По его словам, «дорожная карта» по переходу на отечественную криптографию уже утверждена и планомерно реализуется. Необходимо решить три главных задачи:

1) внедрить отечественные HSM (Hardware Security Module) во все элементы НСПК — банкоматы, платежные терминалы, процессинг и т.п.;

2) внедрить отечественные криптоалгоритмы на карте «Мир»;

3) разработать нормативную базу — отечественных аналогов стандарта PCI DSS, правил встраивания отечественной криптографии, оценки соответствия выполнения правил (аудита) и т.д.

Эти пункты просто выглядят на бумаге, в реальности же они требуют очень много работы — создание отечественных HSM, их сертификация как в ФСБ, так и в международных платежных системах, управление криптографическими ключами, создание цент­ров управления ключами и сертификатов открытых ключей, платежных приложений. И конечно же очень важно все это сопроводить соответствующим PR, чтобы разъяснить каждый из пунктов для будущих пользователей отечественной криптографии в НСПК и карте «Мир».

Казалось бы, технологическая платформа совершенна, вопросы информационной безопасности решаются, никаких проблем. Но получилось ли создать действительно что-то, отличное от Visa или MasterCard? Ведь, как мы помним, одной из серьезных претензий к платежному приложению ПРО100, использовавшемуся в картах УЭК, было то, что оно является лицензионной технологией MasterCard.

Некоторые эксперты в общении с «Б.О» настоятельно указывали и на проблему с лицензиями. Многие компоненты системы написаны на Java. Пока этот язык относится к open source. Но, как показывает многолетний спор между Oracle (владельцем Java) и Google (использующим Java в платформе Android), в один «прекрасный день» в подобные тяжбы могут быть втянута НСПК. Не пришло ли время создать отечественную альтернативу некоторым языкам программирования для критически важных компонентов государственных систем во избежание миллиардных убытков в будущем от наших «западных коллег»? Как только будут выпущены 30 млн карт «Мир» (такое пожелание озвучила год назад Эльвира Набиуллина на встрече с президентом России), нельзя исключить того, что вопросы о лицензионных сборах из разряда паранойи могут перейти в практическую плоскость. Ведь от некоторых «западных партнеров» можно сейчас ожидать чего угодно, да и расчет на китайское «железо» тоже в будущем может принести сюрпризы…

Что говорят независимые эксперты

Для развития и профессионального обсуждения этой темы мы попробовали сформулировать наиболее острые и одновременно простые и емкие вопросы по развитию НПС и предложить ответить на них отраслевым экспертам. Не претендуя на истину в последней инстанции даже от уважаемых экспертов, мы, тем не менее, надеемся, что в максимально открытом (насколько это возможно в затрагиваемой теме с учетом вопросов кибербезопасности и т.п) и профессиональном обсуждении этих вопросов заинтересованы все стороны: и представители регуляторов, включая саму НСПК, и банки — участники системы, и вендоры — поставщики ПО и «железа».

Вопросы, на которые экспертам предлагается ответить, выглядят следующим образом и предполагают один из вариантов ответов: «Да», «Нет» или «Не знаю». Также всем экспертам предложено дать развернутые комментарии к любому из вопросов:

1. Подпадает ли НСПК и вся ее инфраструктура под определение государственной информационной системы (ГИС)? (Напомним, для ГИС становится обязательным использование отечественных алгоритмов шифрования, о которых говорится в Поручении Путина.)
2. Требуется ли отдельное Поручение — уже об использовании ГОСТ именно в отношении систем обработки информации НСПК? (Чтобы снять все возможные дискуссии, активизировать работу и, возможно, построить соответствующую нормативную базу для НСПК и других подобных систем.)
3. Согласуется ли эволюция НПСК с общей Стратегией развития национальной системы платежных карт? (Стратегия утверждена Решением Наблюдательного совета АО «НСПК» от 6 февраля 2015 года, протокол № 7 от 09.02.2015. В частности, в п. 8 в нем говорится о том, что создание НСПК будет осуществляться при следовании следующим принципам: а) построение IT-платформы НСПК, обеспечивающей независимость оператора НСПК от международных платежных систем и поставщиков IT-решений при ее создании и дальнейшем развитии и эксплуатации; б) приоритетное применение конкурентоспособных российских технологий, обеспечивающих развитие национальных платежных инструментов, в том числе в области защиты информации.)
4. Нужна ли рынку конкуренция НСПК с другими платежными системами отечественного происхождения?
5. Имеет ли смысл заменить часть критически важного ПО, используемого в НСПК, в частности криптографию, отечественным на базе ГОСТ?
6. Имеет ли смысл 3D Secure от Visa заменять другой западной разработкой, в том числе open source?
7. Оправдана ли разработка нового собственного языка программирования взамен Java для использования в критически важных элементах ГИС? (Как показывает многолетний спор между Oracle, владельцем Java, и Google, использующим Java в платформе Android, однажды в подобные тяжбы могут быть втянуты и структуры, использующие Java.)

Таким образом, некоторые независимые эксперты уже дали расширенные комментарии, указывая на слабые звенья в инфраструктуре и бизнес-моделях, по которым функционирует платежная система. Ждем продолжения дискуссии.

В настоящее время редакция «Б.О» продолжает собирать ответы на поставленные вопросы. Но без мнения представителей самой НСПК и регуляторов получаемая картина будет однозначно необъективной, поэтому на следующем этапе исследования запланировано несколько интервью, в которых заинтересованные лица смогут дать информацию «из первых рук».

МНЕНИЯ ЭКСПЕРТОВ

Виктор Носачевский, предприниматель

С точки зрения обеспечения бесперебойности обслуживания клиентов российских банков создание НСПК является правильным, хотя и значительно запоздавшим мероприятием. Ведь отключения банков на тот момент ужесостоялись. В профессиональном сообществе необходимость создания национальной инфраструктуры обслуживания карточных транзакций обсуждалась много лет. С другой стороны, создание НСПК как государственной монополии — это стратегическая ошибка, которая будет тормозить развитие рынка. На мой взгляд, целесообразно было ограничить НСПК функцией национального свитча, чтобы исключить помехи в работе любых банков с любыми системами на внутреннем рынке. Создание же коммерческих карточных продуктов и систем нужно было оставить банковскому коммьюнити. У нас уже есть негативный опыт создания карточных систем административными решениями, которые и не были востребованы в должной мере клиентами. И “Сберкарт”, и УЭК не состоялись как бизнес, потому что их продукты не имели никаких преимуществ перед продуктами международных платежных систем. К сожалению, с большой вероятностью карточные продукты НСПК ждет та же участь. Условным конкурентным преимуществом карты “Мир” сейчас можно считать возможность использовать ее для безналичной оплаты в Крыму. Но это преимущество условное, потому что исчезнет одновременно с отменой санкций. Хотелось бы ошибаться, но в условиях отсутствия конкуренции и соответственно мотивации команды НСПК на улучшение продукта, карта “Мир” скорее будет всего лишь бледной копией карточных продуктов МПС. Как клиент я не вижу никакой необходимости пользоваться этой картой вместо уже имеющихся у меня карт Visa и Mastercard.

Специалист по НПС (на условиях анонимности)

Чтобы ответить на эти вопросы, нужно составить матрицы стандартов, на которых базируются НСПК, «Мир» и Visa, и их построчно сравнить, включая все протоколы взаимодействия и средства их шифрования. Поэтому выражаю лишь общее мнение по поставленным вопросам:

• Карта «Мир» полностью построена на международных стандартах и копирует решения Visa, именно поэтому ничего, кроме 3D Secure, не годится. Криптование для этого используется только TLS 1.1, TLS 1.2. Это не отечественное криптование, и заменить его крайне сложно, так как в этом случае весь Интернет нужно переводить на отечественное криптование.
• Карты Visa и MasterCard являются лишь неотъемлемой эмиссионной частью международных платежных систем, которые также полностью построены на международных стандартах, и их нельзя рассматривать отдельно. Аналогично, карта «Мир» не должна рассматриваться отдельно от НСПК и должна подчиняться стандартам НСПК, а это не так. В какой-то мере это так, поскольку Visa зарегистрирована в качестве оператора НСПК в ЦБ.
• НСПК — это совокупность платежных систем, и любой новый «игрок» на рынке должен в ней регистрироваться. Поэтому ни о каком конкуренте речи быть не может.
• Разработка собственного языка программирования — это прежде всего разработка большого количества трансляторов (интерпретаторов) под все существующие операционные системы, а это колоссальные затраты. К тому же это было бы оправдано, если бы в России была своя стратегия развития вычислительной техники со своей элементной базой и своими операционными системами, а у нас сделан только один суперкомпьютер и нет своих разработок по персональным устройствам. Операционные системы на персональных компьютерах принадлежат не России, и вряд ли собственники допустят русский язык программирования в свою операционную среду.

Виталий Валеев, предприниматель

К моему сожалению, развитие национальной системы безналичных платежей сейчас движется немного не в том направлении или не с теми приоритетами. Проект НСПК, по своему необходимый (в области именно работы с пластиковыми картами) как национальный свитч транзакций, постепенно движется в область жесткого регулирования (административного навязывания) принципов работы и стандартов для всех участников данного рынка. Вместо альтернативных решений для ранее монопольных карточных МПС (участие в которых для организаций было, тем не менее, добровольным) административно-командным методом внедряется монопольность НСПК, то есть вместо монополии МПС мы в итоге получаем монополию НСПК.
НСПК, на данный момент, решает вопросы только по взаиморасчетам с использованием пластиковых карт. На самом же деле (если рассматривать безналичные расчеты) проблема гораздо шире. Именно при решении «общей» цели единой системы национальных безналичных расчетов возможно (и нужно) использовать национальные криптографические устройства и алгоритмы, национальные требования безопасности, национальные стандарты и право на национальную монополию (как создателя и регулятора данной системы).

Михаил Левашев, Deputy CEO, Group Infosecurity

Замена некоторого критически важного ПО, используемого в НСПК, в частности криптографии, на отечественное на базе ГОСТов, смысл, может быть, и имеет, но такая замена практически невозможна. В любом случае придется, как вариант, совмещать международные и российские технологии в криптографии.