Неманья Никитович: «К технологиям, импортируемым из-за океана, необходимо относиться внимательнее»

Облик и наполнение будущей национальной системы платежных карт (НСПК) России порождает множество споров. Управляющий директор компании Optima Infosecurity, занимающейся информационной безопасностью в банковском секторе, ретейле и госструктурах, Неманья НИКИТОВИЧ рассказал порталу Банки.ру о том, насколько будущая НСПК будет защищена от действий мошенников и иностранных правительств.

- Действительно ли нам нужна НСПК, или санкции со стороны США - хороший повод отказаться от карт? Есть ли альтернатива?

- Ответ на этот вопрос напрашивается даже после беглого взгляда на деятельность основных мировых платежных систем на территории России: очевидно, что стране нужно нечто свое в этой области. Причем это «свое» должно обладать глобальным потенциалом для расширения за пределы России. Пусть никого не пугает экспансивность российской национальной платежной системы - во всем мире, в Европе в первую очередь, вы повсюду встретите русскоговорящий персонал в торговых сетях и ресторанах, меню на русском и даже русскоговорящее такси. Так почему бы не быть российской платежной системе, представленной во многих странах мира, подобно некоторым азиатским платежным системам?

Я не вижу особенной связи между имплементацией национальной платежной системы и отказом от пластиковых карт. Конечно, вновь создаваемая НСПК будет позволять проводить расчеты не только посредством пластиковых карт, но и иными способами, от онлайн-банкинга до, возможно, платежей с использованием мобильных девайсов. Хотя лично я придерживаюсь консервативной точки зрения в отношении последнего и уверен, что пластиковые карты еще долгое время будут основным средство офлайн-платежей для всех нас.

- Есть ли более удобные и защищенные платежные технологии, чем платежные карты?

- Их немало, но это не повод отказываться от пластика. Пластиковые карты вполне в состоянии обеспечить приемлемый уровень безопасности данных. Существуют карты, генерирующие одноразовые пароли раз в 30 секунд, и это прекрасный способ защитить ваши трансакции. Есть также карты с оптическим считывающим устройством и т. д. Помимо карт, на роль платежного инструмента претендуют смартфоны. И хотя сегодня уровень безопасности смартфонов ниже, чем у пластика, эта проблема будет решена, так как рынок повинуется одному важному тренду: клиенту должно быть удобно, а завтра - еще удобнее.

- Какие риски для НСПК будет создавать платежное приложение по стандарту M/Chip4?

- Я не вижу здесь каких-то особенных рисков. Мы вольны использовать альтернативы и управлять рисками, причем это касается как банков-эмитентов, так и клиентов. Таким образом, создание платежной системы с нуля с приложением на базе M/Chip4 с уже существующим потенциалом к совершенствованию создает больше возможностей, а не рисков.

- Какие технологии необходимы для создания НСПК?

- Технологий множество, но нет ни одной, которую нельзя было бы наладить в России и адаптировать для России. Необходимо сфокусироваться на базовых технологических вопросах, таких как криптография и особенно гибкость технологии, чтобы она была одновременно достаточно защищенной и пригодной для использования во всем мире. Россия в этом смысле занимает выгодную позицию игрока, который делает не первый, а второй ход. Она может избежать ошибок, которые сделали другие игроки в сфере информационной безопасности и в сфере создания НСПК. Теперь мы можем создать нечто новое, основанное частично на российских технологиях, частично - на импортных технологиях, адаптированных для России. И в то же время внедрять улучшения и новые технологические решения, которые были упущены или недостаточно широко внедрены в существующих платежных системах. Использовать мировой опыт осмысленно.

- Почему нужны именно свои технологии? Чем плохи импортные?

- Потому что вся история геополитических изменений недавнего времени, а также продемонстрированных угроз и обнаруженных лакун в информационной безопасности, начиная с феномена Anonymous (международное хакерское движение. - Прим. ред.) и заканчивая случаем с Эдвардом Сноуденом, свидетельствует в пользу того, что к технологиям, импортируемым из-за океана, необходимо относиться внимательнее. Единственный компонент информационной безопасности, который пока еще не скомпрометирован, - это криптография, но даже криптографические технологии обновляются сегодня по всему миру на уровне правительств стран и руководства крупных компаний.

- Существует ли легальная возможность доработки западных технологий? Нужна ли совместимость отечественных технологий с западными?

- Легальная возможность существует, я не вижу особых трудностей. Более того, у нас в группе Optima есть соответствующий опыт и соответствующие предложения для российского рынка.

- Какие неустранимые или трудноустранимые изъяны имеются в безопасности современных платежных карт?

- Платежная карта появилась на свет, когда Интернет и интернет-технологии еще не были так развиты, как сегодня. Рынок и пользователи карточек привыкли к ней и чувствуют себя с пластиковой картой вполне комфортно, не горят желанием что-либо менять. Им нравится, что номер карточки и практически вся информация, необходимая для совершения онлайн-трансакции, выставлена на всеобщее обозрение. Рынок информационной безопасности последние десять лет, причем с каждым годом все активнее, занимается поиском компромисса между удобством для пользователя и стандартами безопасности.

Конечно, можно сделать пластик более безопасным, но тогда он станет менее удобным. Нельзя заставить людей проходить пятиуровневую аутентификацию с использованием множества дополнительных девайсов, чтобы осуществить трансакцию. И это еще одна возможность для российской платежной системы - Visa и MasterCard не смогут предложить что-то новое, будучи связанными традициями рынка, а НСПК может себе это позволить.

- Какими средствами можно защитить карты НСПК? Чем это может отличаться от Visa и MasterCard?

- Существуют различные системы и средства для защиты пластиковых карт. Но важно понимать, что дело не только в технике. Очень важно управлять рисками с точки зрения культуры пользования картами и бизнес-моделями по внедрению стандартов пользования, начиная с банков и финансовых институтов. Я бы сказал, что технологическая компонента в создании новой платежной системы - с одной стороны, самая сложная, а с другой - самая простая из компонент.

Не менее важно соединить уникальную технологию с должным регулированием и стандартами процессинга, разработанными Советом по стандартам безопасности, и стандартами безопасности данных, которые обязательны для любых институций, использующих платежные системы. Еще одной компонентой, чрезвычайно важной для локального рынка, является информированность конечных пользователей о правилах пользования картой в рамках платежной системы. Это важнейший элемент безопасности. Надеюсь, он не будет забыт. Иначе вся работа пойдет насмарку.

Беседовал Михаил ДЬЯКОВ, Banki.ru