РБК Pro —  
информационный сервис для предпринимателей и управленцев. Первый месяц — бесплатно
РБК Pro
— сервис для вашего бизнеса. Зарегистрируйтесь и получите доступ ко всем материалам. Первые 30 дней бесплатно.

Как обеспечить кибербезопасность банковского оборудования

Финансы Банки Статьи РБК
О том, как компаниям защитить свое платежное оборудование от взломов и кибератак, рассказал Денис Кучаев, генеральный директор компании «АТМ Альянс»
Фото: Asim Hafeez / Bloomberg
Фото: Asim Hafeez / Bloomberg

Сейчас жертвами финансовых мошенничеств становятся не только физические, но и юридические лица. В 2019 году, по данным Центрального Банка России, было совершено 4,609 тыс. операций без согласия юрлица, а общая сумма похищенных средств составила 701 млн руб.

Закон гласит

Начнем с самого главного — к банковскому оборудованию государством предъявляются особые требования. Причем помимо технических требований закон уделяет особое внимание информационной безопасности.

Так, банковское оборудование должно полностью соответствовать требованиям платежных систем по защите личных данных, а именно стандартам EMV и PCI. Первый (EMW level 1) подтверждает соответствие смарт-кардридера терминала или пин-пада требованиям по электрическим, механическим и функциональным параметрам. PCI, в свою очередь, содержит несколько разделов по конструктивной, программной и алгоритмической защите данных. При получении сертификата PCI PED платежное оборудование проходит проверку на попытки взлома, кражи ключей шифрования, личных данных, пин-кодов и так далее.

Эти сертификаты должен получать производитель терминалов и предоставлять их лицам, приобретающим банковское оборудование для своего бизнеса. Помимо этого, сертифицированным должно быть и программное обеспечение. Обязательным является сертификат EMV Level 2, который подтверждает соответствие программной библиотеки стандарту EMV по части функциональных текстов. Желательными, но не обязательными, являются также сертификаты хостовых вендоров, которые подтверждают соответствие программного обеспечения хостовым протоколам. Объясняя IT-подробности простым языком, эти сертификаты подтверждают безопасность передачи сообщения при осуществлении транзакции.

Эти стандартные условия должны быть соблюдены на уровне законодательства, но это не дает гарантий защиты платежного оборудования от кибератак и взломов.

Тренды и риски

Бизнесу любого масштаба нужна гибкость и компактность — это касается и банковского оборудования в том числе. Так, помимо привычных всем POS-терминалов, на рынке уже активно используются смарт-решения. Смарт-терминалы совмещают в себе платежную систему, компьютер и онлайн-кассу, а также дают возможность предпринимателю взаимодействовать с различными сервисами — от кредитования до получения доступа к товарной аналитике. По данным Cnews Analytics, общий объем рынка смарт-терминалов и фискальных регистраторов за первые три квартала 2018 года составил 18,084 млрд руб. и, по прогнозам, будет расти. Соответственно, взлом данного устройства будет сопровождаться потерей не только платежных средств, но данных о ведении бизнеса.