ЦБ предупредил о том, что держатели карт национальной платежной системы «Мир» на первых порах работы этой системы могут стать жертвами злоумышленников, пишет «РБК». Консультант центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовый сфере (FinCERT) Банка России Александр Чебарь на заседании комитета Торгово-промышленной палаты по финансовым рынкам и кредитным организациям сообщил, что такие карты могут быть уязвимы на начальном этапе использования через дистанционные каналы обслуживания.
По словам Александра Чебаря, уровень защиты карт национальной платежной системы соответствует уровню безопасности международных платежных систем. «Однако с точки зрения работы самих пользователей карт да, возможен небольшой провал в течение первого времени использования этих карт. То есть явный провал с точки зрения хищения денежных средств. Атака будет не на саму карту, а на какие-то системы, которые дополняют эту карту, например на системы дистанционного банковского обслуживания, чтение информации о платежной карте», — сообщил он.
В то же время начальник отдела по управлению инцидентами департамента защиты информации Газпромбанка Николай Пятиизбянцев утверждает, что особой защиты у карты нет. «Для снятия средств с карты «Мир» надо знать всего лишь номер карты и ПИН-код. Ни о каких защищенных технологиях речи нет», говорит он. Более того, если данные карт станут известны злоумышленникам, то похищено может быть «в разы больше».
Заместитель начальника Главного управления безопасности и защиты информации ЦБ Артем Сычев заявил следующее: «НСПК соответствует требованиям международного стандарта безопасности индустрии платежных карт (PCI DSS) и закона «О национальной платежной системе». Технологии, применяемые в платежной карте «Мир», разрабатывались с учетом требований безопасности и в тесном взаимодействии с уполномоченными государственными органами в области безопасности».
По его мнению, карта «Мир» подвержена рискам, связанным с недостаточным уровнем понимания и финансовой грамотности ее пользователей, не более, чем прочие финансовые инструменты. «Мы абсолютно уверены, что при соблюдении стандартных правил безопасности (не записывать PIN-код на карте, не сообщать посторонним конфиденциальную информацию, включая CVV-код), держатели карт «Мир» надежно защищены», — комментирует ситуацию Сычев.
Закон РФ обязывает торговые точки с выручкой от 120 млн руб. в год принимать карты национальной платежной системы. Если выручка меньше, но компания при этом принимает другие карты, банк-эквайер должен подключить и ее к «Миру». Отечественные банки должны обеспечить прием карт «Мир» до 1 июля 2016 года.
Недавно выяснилось, что Роспотребнадзор начал штрафовать торговцев за отказ принимать карты «Мир» еще в мае 2015 года. На тот момент Национальная система платёжных карт (НСПК) ещё не выпустила ни одной карты, не было ни названия для карт, ни даже конкурса на бренд.
В марте этого года ЦБ направил 51 банку требование начать принимать карты «Мир» во всех обслуживаемых торговых точках. Банки также обязали выпускать карты для госслужащих с 1 июля.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Комментарии (26)
dartraiden
16.06.2016 00:57+2«Однако с точки зрения работы самих пользователей карт да, возможен небольшой провал в течение первого времени использования этих карт. То есть явный провал с точки зрения хищения денежных средств.»
«Денег на карте нет, но вы держитесь здесь, вам всего доброго, хорошего настроения и здоровья.»
mmMike
16.06.2016 06:23+2В то же время начальник отдела по управлению инцидентами департамента защиты информации Газпромбанка Николай Пятиизбянцев утверждает, что особой защиты у карты нет. «Для снятия средств с карты «Мир» надо знать всего лишь номер карты и ПИН-код. Ни о каких защищенных технологиях речи нет», говорит он. Более того, если данные карт станут известны злоумышленникам, то похищено может быть «в разы больше».
Интересно, зачем он врет? Да еще так откровенно.
Сразу скажу, что не работаю на "НСПК" и более того, на данный момент, чисто из лично шкурных интересов было бы для меня "полезнее" что бы НСПК и Мир почили как УЭК…
Но такое откровенное вранье ну просто возмущение вызывает.
Требование по сертификационным тестам у НСПК довольно суровы, с документацией и пр. дело постепенно движется… (не без огрехов, но кто не без греха — пусть первый кинет камень).
Обычная EMV карта (на основе EMV CCD). Правила приема не сильно отличаются от Visa, MC, UPI…
Какой еще PAN+PIN достаточный для выдачи наличных! Что за бред.
DoctorStein
16.06.2016 13:54А что-то типа 3d secure есть?
mmMike
16.06.2016 14:063D secure относится больше к интернет платежам. Но вообще то есть и правилами предусмотрен. Что в этом такого сложного? Технология далеко не нова и правила устоявшиеся. Правила НСПК — принципиально от правил остальных ПС не отличаются.
KonstantinSoloviov
16.06.2016 20:29-2Надеюсь, что здесь ситуация вида «ученый изнасиловал журналиста» иначе — грустно.
Я тоже не работаю на «НСПК» и не приветсвую насильственные методы, но своя ПС нужна как ни крути. И МИР полетит, не 1 июля конечно. Осенью эквайринг задышит, к концу года нелокальная эмиссия будет иметь смысл. Потом сбер подтянется… ) А потом и карты сделаем на своем Зеленоградском чипе с красивой криптографией на элептических кривых. Все лучше чем шубохранилища…mmMike
17.06.2016 05:34Вот только бы НСПК вела бы себя как бы это сказать… без снобизма.
Насколько легче было подключатся и проводить сертификацию с UPI! И доброжелательны и даже могут внести изменения в сертификационные тесты, если это изменение обосновать однозначными ссылками на спеки EMV и Visa и уже выполненные сертификации в Visa & MC.
А НСПК со своими странными, высосанными из пальца требованиями вызывает раздражение и мыслишку "чтоб она сдохла как ПРО100 и УЭК". Да еще стиль общения и ответов на вопросы "зачем вы это сделали!?" навевает на такие мысли.
Возможно комментарий Николая Пятиизбянцева целиком основан на эмоциях после прочтения очередного документа от НСПК или общения с ними.
К слову, НСПК делает все, что бы Мир была чисто локальной ПС. Ни один иностранный вендор ПО не будет прогибаться под дополнительные требования НСПК к карточной транзакции/авторизации. И не один иностранный банк не будет вносить изменения под эти "особенности".
KonstantinSoloviov
17.06.2016 11:04К слову, НСПК делает все, что бы Мир была чисто локальной ПС. ...
Да, что-то знаете ли не заметил каких-то принципиальных отличий. За основу взят MCI — это видно. Про эллептическую криптографию я загнул конечно, но это же дело далеко не ближайших лет.
По поводу снобизма: про UPI ничего не скажу — не знаю. А в VISA и MCI снобизма, да и идиотизма тоже, хватает.
И не один иностранный банк не будет вносить изменения под эти «особенности».
Любой банк сделает что угодно, что принесет доход.mmMike
17.06.2016 11:33Да, что-то знаете ли не заметил каких-то принципиальных отличий.
Дьявол кроется в мелки деталях в документации. Из за которых приходится вносить изменения в ПО, уже прошедшее сертификацию в Visa, MC, UPI (и работающее и обслуживающее). Причем НСПК никогда не затрудняет себя объяснениями зачем введено то или иное ограничение.
Любой банк сделает что угодно, что принесет доход.
Иностранная платежная сетка с 100000 устройств не будет производить апгрейд инфраструктуры, заказывая у вендора новый соф. (включая сертификацию по кругу в EMVco и пр.) из за потенциального приема 1000 карт в месяц Российских туристов.
Апгрейд и изменения в софте, потому что какой сотрудник в НСПК решил, например, что… (не буду вдаваться в детали) должно быть сделано ровно так и не иначе. Причем с точки зрения EMVco этот кусок логики не специфицирован и в общем то не имеет значения как вендор реализует.KonstantinSoloviov
17.06.2016 14:09VISA и MCI дважды в год (апрель, октябрь) выпускают мандаторные изменения из-за которых приходиться модифицировать работающие продакшен системы (порой очень серьезно, свежий пример — «инкрементальные транзакции»), и не затрудняют себя объяснениями зачем введено то или иное изменение.
Изменения кстати год от года все менее и менее формализованные, создается полное впечатления, что технарей сменяют успешные менеджеры.
Это, к сожалению, общая тенденция в мире разработки ПО.
С другой стороны — всегда есть чем заняться )mmMike
17.06.2016 14:24Ну да. Всегда есть чем заняться. Везде нужно находить плюсы.
Китайцы с UPI поступают мудро. "У вас принимается Visa? Вам ничего менять не нужно."
Хотя конечно их требования насчет 6 цифр PIN многих заставило адаптироваться.KonstantinSoloviov
17.06.2016 20:28Сui prodest. Китайцы безусловно мудры, поключили вас к VISA (заодно прикрыв от закидонов: сами за вас сформируют нужные поля и данные, кому нафиг надо что-то тестировать/пересертифицировать), но с условием принимать так же и UnionPay.
mmMike
20.06.2016 06:25Не совсем так.
Просто UPI документация цельнотянута с Visa спецификаций.
Даже до смешного. Кое где используют свои придуманные термины (наверное что бы в суд не подали), но кое где забывшись используют Visa терминологию.
vskv
20.06.2016 01:17Угу. А также заставило постигать дзен от Pre-authorization completion cancellation reversal advice.
tBlackCat
17.06.2016 12:47> кто не без греха — пусть первый кинет камень.
Вы так желаете быть закиданным камнями?
Кто не без греха… это же все грешники. В первоисточнике частице «не» отсутствует.
На правах уточнения.
Intercross
16.06.2016 13:48+1>Нет, но вскоре обещали выдать
Звучит как угроза.
Хотелось бы верить, что это всё делают для того, чтобы обеспечить конкуренцию, а не получить больше контроля, но кредит доверия к гос проектам уже давно кончился, даже ушёл в минус и пробивает дно за дном.
urvalla
16.06.2016 21:05Набор вариантов ответов неполный, и какой-то нервный.
Да, у меня уже есть такая карта — у меня нет
Нет, но вскоре обещали выдать — никто ничего не обещал, и сам не заказывал
Нет, у меня такой карты нет и, вероятно, не будет — вероятно, будет, когда система станет более зрелой и распространенной.
В общем, выглядит не как опрос, а как намек автора, что система никому не нужна.
А вы перестали пить коньяк по утрам?
hzs
16.06.2016 21:34Если карта взлетит, то почему бы ей не пользоваться?
Например, если тот же Сбер её начнёт выпускать и на неё можно будет по номеру перечислять деньги с любой другой карты того же Сбера будет очень даже удобно.
Ну и обслуживание однозначно должно быть дешевле, скажем, рублей 150 в год.
Карту Мир было бы удобно использовать в качестве кредитки, или карты привязанной к лицевому счёту кредита для удобного его погашения. Для этого, в принципе, достаточно, чтобы карта работала в России. А то сейчас годовое обслуживание золотой визы нефига не дёшево выходит.
Вообще, для платежей внутри страны, вполне логично использовать свою платёжную систему, кормить левую страну своими платежами как-то бессмысленно.
Если Мир выйдет зарубеж и будет приниматься везде, то и тоже хорошо будет, тогда смысл использовать визу или мк вообще отпадёт, а что касается надёжности, карта, она и в африке карта, уровень безопасности у всех одинаковый, главное, чтобы карта не была безконтактной, а что касается вероятности слежки от государства, то можно подумать, что наши банки не видят всех трансферов по картам и не сливают эту информацию при необходимости.
Когда всё получится, будем иметь хорошую новость, а то ГТ уж сильно стал похож на бложик как у нас в стране всё хреново.
Saffron
Юлит чиновник, не договаривает
zomby
Вот и я подумал — нет в опросе варианта:
«Нет, у меня такой карты нет, но возможно, других скоро и не будет»