НСПК объявила, что будет использовать только российское ПО

25.08.2015 |

Впрочем, в компании не отрицают наличие бельгийского исходного кода.

Компания «Национальная система платежных карт», которая на 100% принадлежит Центробанку РФ, будет использовать российское программное обеспечение для собственных карт «Мир». Об этом «Известиям» сообщили в пресс-службе НСПК.

В феврале 2015 года замначальника отдела Центра защиты информации Федеральной службы безопасности (ФСБ) Владимир Простов раскритиковал идею НСПК использовать на своем оборудовании криптографические модули британско-французской компании Thales. Кроме того, в декабре 2014 года сообщалось, что софт для НСПК разработает «дочка» бельгийской компании Openway.

— Вопрос в том, почему НСПК использует не российские аналоги, а иностранные [в своем программном обеспечении], — отметил Простов, выступая в Магнитогорске в рамках Уральского форума по информационной безопасности банков. — ФСБ понимает позицию НСПК с точки зрения установки оборудования, из-за того что отечественные аналоги еще недостаточно хорошо зарекомендовали себя на рынке. Но они существуют, и лучше использовать их, чтобы снять риски по безопасности.

В НСПК «Известиям» сообщили, что используют в работе отечественное ПО собственной разработки.

— В НСПК применяются российские системы безопасности, свое программное обеспечение, созданное командой разработчиков внутри компании, — пояснили в компании. — Операционно-технологическая платформа, на которой базируется операционный процессинговый и клиринговый центр НСПК, — это уникальный продукт, созданный в России разработчиками и технологами НСПК.

Представители компании признаются, что процессинг для нового нацпроекта (проект начат в 2014 году после проблем с обслуживанием карт Visa и MasterCard, эмитированных банками, попавшими под санкции) разрабатывался с привлечением бывших сотрудников российского представительства OpenWay — в частности, Антона Корытова, это бывший гендиректор российского представительства упомянутого разработчика OpenWay, и двух его партнеров. Как следует из ЕГРЮЛ, Корытов, а также Григорий Гительсон и Анна Таратынова являются соучредителями ООО «Опенвэй интеграция» («ОВ Интеграция»; зарегистрировано в октябре 2014 года) и ООО «Опенвэй решения» (создано в июле 2014 года) — в последней фирме 1% принадлежит российской «дочке» OpenWay, ООО «Опенвэй сервис». В НСПК отметили, что отношения оформлялись через «Опенвэй решения».

— Все исходные коды программного комплекса сейчас принадлежат НСПК, — подчеркнули в пресс-службе компании. — Для микропроцессорной карты (чипа) будет использовано собственное платежное приложение, совместимое с международными стандартами и форматами. ПО полностью независимо. Итоговый продукт уникален и самостоятелен и на текущий момент имеет опосредованное отношение к «Опенвей». Сейчас это всё наше — принадлежащий нам код, знания по тому, как выстроена система, какая у нее логика, мы в состоянии ее развивать и обеспечивать поддержку.

Представитель OpenWay не ответил на запрос «Известий» о том, что думают в компании об избранной схеме сотрудничества. В ФСБ также не смогли сказать, довольны ли успехами НСПК.

В НСПК отмечают, что компании пришлось получать лицензию на использование в коммерческом продукте языка программирования Java (принадлежит американской корпорации Oracle). Каких-либо сумм издержек на разработку программного обеспечения в НСПК не раскрывают. Руководитель аналитического центра Zecurion Владимир Ульянов оценил стоимость создания ПО для НСПК в сумму $5–10 млн. Впрочем, эти деньги не так уж велики в сравнении с вложенными в весь проект средствами (текущий уставный капитал НСПК — 4,3 млрд рублей).

— По итогам 2015 года компания может получить прибыль, — говорил в апреле первый зампред ЦБ Георгий Лунтовский. — У нас уже работают два процессинговых центра, то есть фактически мы реализовали проект. Сейчас расходы будут на создание платежного приложения, разработку чипа. Это уже несопоставимые расходы, то есть основные расходы, основные капитальные затраты мы уже провели. Я допускаю, что даже по итогам этого года НСПК может выйти на прибыль (по итогам 2014 года получен убыток в 90,4 млн рублей).

Что касается аппаратной части карт, то есть чипа, то окончательный его выбор для системы «Мир» НСПК решила дать на откуп банкам-участникам системы.

— Мы разрабатываем спецификации и требования ко всем элементам платежной карты, в том числе и к чипу, — пояснили «Известиям» в компании. — НСПК очень плотно и интенсивно работает с российскими производителями (в частности, с «Микроном»: izvestia.ru/news/587640). Конечно, НСПК будет рекомендовать сотрудничать с российскими производителями чипов в приоритетном порядке, но окончательный выбор, какой микропроцессор ставить на карты, остается за банками-эмитентами.

Сейчас российские банки при эмиссии карт используют чипы американского (Atmel), европейского (STMicroelectronics, NXP, Infineon) и азиатского (Samsung, Renesas) производства. Стоимость и российского, и зарубежных чипов находятся примерно на одном уровне: 30–50 евроцентов.

— О рисках, связанных с использованием иностранных микросхем, много говорилось в связи со сноуденовскими разоблачениями, — напоминает Ульянов из Zekurion. — Раскрытые бывшим сотрудником АНБ документы доказывают, что производители чипов могут вносить изменения, которые открывают дополнительные возможности управления (так называемые недекларированные возможности) извне. Риск этого существует. И нелогично, что российское ПО для карт НСПК будет зашито в иностранные чипы. Тем не менее надо понимать, что отечественная производственная база в области микроэлектроники находится в плачевном состоянии и реальных конкурентов у того же «Микрона» практически нет.

НСПК создана Центробанком для гарантии того, что РФ и отдельные российские банки не будут отключены от платежных систем (во исполнение закона 112-ФЗ от 5 мая 2014 года). Прецедентом, побудившим к скорейшему созданию национальной платежной системы, стало отключение в 2014 году российских банков от процессинговых центров Visa и MasterCard из-за санкций правительством США. НСПК с 1 апреля 2015 года осуществляет все внутрироссийские операции по картам Visa и MasterCard. Выпуск собственных карт НСПК с логотипом «Мир» начнет в декабре 2015 года. По словам главы компании Владимира Комлева, к 2018 году долю собственных карт на российском рынке НСПК планирует довести до 50%.

Ульянов считает, что использование в НСПК, как заявляется, не зависящего от западных лицензиаров и разработчиков софта дает России некие гарантии самостоятельности платежной системы. Но у такого решения есть минусы, указывает эксперт: скромный опыт российский разработчиков в разработке, эксплуатации и поддержке систем подобного масштаба, поэтому можно предположить, что частота сбоев в НСПК будет выше, чем в международных платежных системах.

— Опыт показывает, что любой сбой — не важно, по какой причине он возникает, — приводит к тому, что потребители перестают использовать любые карты в качестве платежного инструмента, теряют доверие к безналичным способам оплаты и снова обращаются к проверенным наличным платежам, — говорит исполнительный директор Ассоциации «Национальный платежный совет» Мария Михайлова. — И в этой ситуации, когда население перестает использовать платежный инструмент, уже не так существенно, с помощью какого программного обеспечения он был сделан.

Вице-президент, начальник управления пластиковых карт банка «Открытие» Юрий Божор уверен: решение использовать ПО с учетом мирового опыта и наработок известных поставщиков — единственно верное.

— Лично знаю многих сотрудников НСПК и могу отметить, что в эту компанию ушли известные и лучшие идеологи, разработчики и инженеры. Платежное приложение НСПК разработано таким образом, что должно работать на любом чипе, поддерживающем мировые стандарты GlobalPlatform в сфере безопасных платежных чипов и Java. Поэтому НСПК предъявляет требования, чтобы чип карты «Мир» поддерживал Java и не требовал никаких доработок в зависимости от производителя чипа.

Замруководителя блока операционного и IT-сопровождения Бинбанка Игорь Новожилов указывает, что для работы с международными платежными системами (Visa, MasterCard) можно использовать чипы многих перечисленных зарубежных производителей — они соответствуют общеотраслевому стандарту EMV.

— Важно, чтобы софт НСПК был совместим также с этим стандартом, — считает Новожилов. — В вопросе выбора производителя чипа банки руководствуются финансовым аспектом, а не патриотическим. Учитывая планируемый объем выпуска чипов для НСПК, следует ожидать, что стоимость российского чипа будет все-таки дешевле зарубежного аналога. Более низкая стоимость будет дополнительным и самым важным конкурентным преимуществом.

По словам Ульянова, Java — один из самых распространенных языков программирования, и его использование более чем оправдано. Язык программирования предоставляет возможности для разработки программ (в том числе и с недокументированными возможностями), но не наделяет все созданные с его помощью программы шпионским функционалом.

— Если для софта «Мира» понадобится разработать собственный язык программирования, это, во-первых, увеличит сроки разработки даже не в разы, а на порядки; во-вторых, на порядки же увеличит и стоимость разработки; и в-третьих, вряд ли такой проект вообще будет реализован, — считает эксперт. — Писать коммерческое ПО в машинных кодах в XXI веке никто не будет. Это нецелесообразно и коммерчески невыгодно.

Начальник аналитического управления банка БКФ Максим Осадчий заметил, что не следует доводить локализацию НСПК до абсурда.

— Стремление к тотальному импортозамещению ведет к неоправданному росту издержек и затрудняет дальнейшую модернизацию НСПК, — уверен аналитик. — Должен быть здоровый баланс между безопасностью и экономической эффективностью.

Анастасия Алексеевских