Интервью с главой Uzcard: о хакерских атаках, сбоях в работе и монополии компании
7 ноября «Лаборатория Бизнеса» провела встречу по итогам ИКТ в Узбекистане. Эксперты сошлись на мнении, что у системы Uzсard очень высокая уязвимость перед хакерами. И как только в Узбекистан ворвется массовый рынок интернет-магазинов, деньги покупателей будут под угрозой, а это огромный барьер и страх для инвесторов.
Мы поговорили с главой ЕОПЦ Ахрором Махмудовым, расспросили его о том, зачем нужен Uzcard, насколько безопасна система и какие шаги компания предпринимает при массовых сбоях.
— Как вы относитесь к мнению о том, что Uzсard сильно уязвим перед хакерами?
— Начнем с самого начала. Система Uzcard работает по самому последнему международному стандарту EMV, новее пока ничего нет. Единый Общереспубликанский процессионговый центр (ЕОПЦ) ежегодно проходит аудит по стандарту Payment Card Industry Data Security Standard (PCI DSS). Мы, как карточный бизнес, проходим все крэш-тесты системы. Если удалось пройти в прошлом году, это не означает, что нам гарантирована аттестация и в текущем. Ежегодно стандарт вводит новые требования, и под них нужно подгонять систему. Для соответствия мы тратим огромные ресурсы, в том числе и финансовые. Аудиторы полностью сканируют нашу систему и если есть какие-то изъяны, погрешности и уязвимость, то от нас требуют исправлений. Только в этом случае мы проходим сертификацию. В Uzcard есть внутренний отдел безопасности, решающий подобные вопросы.
У нас нет другого выхода, кроме как соответствовать международным стандартам. Поэтому миф о том, что мы уязвимы, не имеет фактических данных и оснований полагать, что система подвержена взлому. Если думать также необоснованно, то все платежные системы мира уязвимы. Я полностью уверен, что мы защищены на 99,9%, но как раз таки 0, 1% — это и есть та угроза, которая может повредить базу, и никто от этого не защищен. Не только Uzcard этого остерегается, такая же история с MasterCard и VISA.
Государство постановило, что за конфиденциальность данных ответственна система Uzcard. Мы выполняем задачу. К примеру, если какой-то банк решил обзавестись новым оборудованием, оно обязательно пройдет через нас, и как только мы его проверим, выдается разрешение о соответствии требованиям.
— Самая большая проблема в безопасности карт — это неправильное использование пластиковых карт их держателями. Люди устанавливают простые пароли вроде четырех единиц, делают покупки на сомнительных сайтах, которые впоследствии воруют данные карт. Каким образом вы уделяете внимание созданию культуры обращения с пластиковыми картами?
— Да, уязвима не система, а сами картодержатели. Так сложилось, что раньше Uzcard работал только локально, и не было никаких угроз извне, поэтому потребности у банков и у самой системы запрашивать пин-код – тоже не было. Многие привыкли автоматически устанавливать пароли, а пользователи не меняли их по собственному желанию. Бывало даже, что на заправке у людей не просили ввести код, а делали это самостоятельно исходя из брендирования карты. Как только мы начали внедрять международные карты (кобейджинговые), мы требуем от банков не устанавливать свои пароли, даже сам банкир не будет знать ваш пароль, как это было ранее.
Для этого мы закупили специальное оборудование, где персонализация будет проходить в отдельной организации. Карты и пароль от карты будут выдаваться в разных конвертах. В случае доставки – ею займется другая курьерская служба. Это требование PCI DSS, поэтому здесь даже придумывать ничего не нужно, есть готовое решение. Тут, конечно, имеет место быть недовольству пользователя «почему раньше я получал карту в течение часа, а теперь жду три часа», но это во благо защиты безопасности. Если мы будем следовать старой схеме, это приведет к массовому мошенничеству, где доверие к пластиковой карте будет только снижаться.
Многие недовольны кобейджинговыми картами, мол, зачем это нужно, но такая же история была с Uzcard. Когда был переход от оффлайновых карт к онлайн, люди не понимали необходимости перехода и возмущались, но через три месяца все перешли и нормально. Сейчас подобный тренд происходит с кобейджинговыми – это новый процесс, невзирая на временное недовольство, люди привыкнут и поймут, что кобейджинговые карты намного удобнее в использовании, потому что ими можно пользоваться, как в нашей стране, так и зарубежом.
— 15 сентября у вас случился трехдневный сбой, почему это произошло, как решили ситуацию, и подверглась ли система атакам?
— Точнее Uzcard не работал двое суток. Да, это была большая катастрофа, система не выдержала и слетела. Была создана экстренная группа, и мы проработали более двадцати вариантов, но за сутки, ни один из них не дал результатов. Да, мы могли бы включить систему за две минуты, но проблема в том, что была бы утеряна вся база данных. Там, где есть деньги – есть и мошенники.
Наша система также подверглась массовым атакам, это продолжалось в течение месяца, многие даже не знают, что такое могло произойти. Это как раз тот самый 0,1%, о котором я говорил. Центробанк сразу поставил нам задачу запустить систему, во что бы то ни стало, а потом уже разбираться, у кого на счету сколько было денег. Но мы отказались от такого сценария. Представьте, у человека на карте был миллион, он придет к нам и скажет, что у него было 10 – кто докажет. Это был бы хаос. Поэтому главной задачей было восстановление данных, и наша команда справилась с ней. 17 сентября уже все работало, и возможно, пользователи заметили, что система периодически отключалась на 5-6 минут.
На нас сразу вышли наши международные партнеры из MasterCard, Visa и China UnionPay, и не с претензиями, а с поддержкой. У них тоже было такое, к примеру, 2 года назад слетел MasterCard. Сбой, который произошел 15 сентября, является болью национального уровня и все сошлось бы на том, что в стране начался бы финансовый хаос. Все постановления президента, Кабмина в сфере платежных систем исполняются нами в полной мере. И когда в марте вышло постановление о повышении доступности банковских услуг (http://www.lex.uz/docs/3593543 ), именно мы интегрировались с международными платежными системами. А когда у нас возникли реальные проблемы и мы нуждались в поддержке, консультации, мы не получили ожидаемого от локальных партнёров.
— Да, тогда Центробанку поручили создать еще одну платежную систему HUMO. Раз вы столкнулись с такой катастрофой в виде сбоя, согласны ли вы теперь, что монополия это плохо?
— Uzcard на рынке 15 лет, но уже как четыре года у нас есть еще и GlobUz, скоро появится HUMO, о какой монополии вы говорите. Люди же сами работают с нами, значит им выгодно. У «Узпромстройбанка» тоже есть своя платежная система, почему они не продолжили ее развивать? Они сами к нам подключились, потому что так выгоднее, у нас низкие тарифы, и мы предлагаем разные инновационные возможности.
Вот вы говорите про монополию, но если мы не сделаем этого, никто не сделает. Люди с устаревшими взглядами на жизнь никогда не приведут население к новым услугам, а мы стараемся идти в ногу со временем.
Мы тратим большие средства: в этом году была направлена сумма в размере 23 миллиона долларов на развитие нашей деятельности и в 2018 году мы успешно реализовали около 200 проектов. Стратегия компании расписана на 4 года, и мы придерживаемся этой стратегии.
Монополия это и хорошо и плохо. Не было бы у нас монополии, каждый держатель карты вынужден был бы оплачивать эмиссию Uzсard, VISA, MasterCard со своего кармана, к тому же, все эти карты потом нужно носить с собой. Мы говорим, что монополия это плохо, но дело не в этом – сбой может произойти с любой новой системой и деньги останутся на неработающей системе, то есть технического решения в этом плане, пока нет. Зачем думать близоруко и заниматься блогерством и распространять дезинформацию.
— В чем преимущество Uzcard перед мировыми VISA и MasterCard? Исследование выявило, что на UnionPay, Visa и Mastercard приходится 80% всех платежных карт в обращении в мире. Оставшиеся 20% — это карты AmericanExpress, DinersClub, JCB, Discover и ряда небольших локальных финучреждений. Об этом говорится в исследовании компании RBR. Все страны мира (и до недавнего времени, в том числе и Россия) полностью полагаются на международные пластиковые карты. Содержать свою национальную карточную систему неоправданно дорого, особенно в свете обеспечения безопасности платежей в интернете, и Uzcard придется тратить время и деньги на то, чтобы пройти ещё раз путь, который уже прошли международные платежные системы. Зачем нужен Uzcard, если есть готовое мировое решение? Что это, независимость?
— Да, многие думают, зачем нужны мы, когда есть мировые гиганты. Но это означает, что мы отдаем деньги наших налогоплательщиков зарубежным странам. Эти денежные средства должны остаться у нас и повышать местную экономику. Вспомните, что было в подобном случае с Россией, Китаем, Ираном и недавно с Турцией (санкции, — ред.). Зачем наступать на те же грабли.
Если мы не будем думать о том, что наша платежная система должна быть независимой, будем, не обдумав подписывать все подряд контракты, это приведет к полнейшей зависимости. Это в первую очередь национальная безопасность, и если есть возможность создать себе подушку безопасности, почему бы и нет. Сейчас наши международные партнеры предлагают нам очень выгодные условия, и можно поддаться искушению и полностью перейти на них, но мы в этом случае предпочли кобейджинговые карты.
Кобейджинговые карты обладают рядом возможностей. В одной карте расположены логотипы двух платёжных систем. Наша местная Uzcard и одна из мировых платёжных систем. Сегодня такие карты уже выпускаются в сотрудничестве с платёжной системой China UnionPaу, которая считается мировым лидером по выпуску и количеству пластиковых карт.
Эксперты из Центробанка говорили нам, что подобные санкции никогда не коснутся Узбекистана. Хорошо, но мы подстрахуемся.
— У Uzcard нет CVC-кода, 3D secure, виртуальных карт для одноразовой покупки. А ведь все это может обеспечить дополнительную безопасность. Как обстоят дела на этом фронте?
— Все это уже есть. CVC-код присутствует на кобейджинговых картах, там же есть «магнитка», NFC (технология беспроводной передачи данных, — ред). В ближайшее время это произойдет и с обычными сумовыми пластиковыми картами, с нового года мы начнем решать вопрос по эмиссии карт с банками.
По поводу 3D secure – тоже готово. Услуга помогает делать покупки в интернете и подтверждать их одноразовым кодом, что служит дополнительной защитой.
Насчет виртуальных карт. Удобная система: открываешь карту для каждой покупки, кладешь на нее деньги, платишь, потом закрываешь. И даже, если данные этой карты утекут «хакерам», то они украдут с нее не больше суммы покупки.
Все сводится к тому, что у нас все готово, единственное, мы ждем закон, без него мы не в праве что-то запускать. Чтобы выпустить все эти технологии в массы нужно законодательное подкрепление. К примеру, мы уже давно интегрировали систему с электронными кошельками WebMoney, QIWI и на данный момент ждём принятия соответствующего закона.
Мы считаем себя инновационной компанией и не ждём указаний, продумываем шаги заранее. Простой пример, сейчас обсуждается Налоговый кодекс, а конкретно введение НДС со следующего года. Странно, но, ни Центробанк, ни Минфин на обсуждении не задался вопросом, а терминалы к этому готовы? Но мы это предусмотрели и подготовились, а если бы нет? Все снова было бы с большим опозданием и на уровне «хоть бы как, главное сделать». Поэтому мы открыты к диалогу, готовы где-то поспорить, где-то что-то предложить, нам элементарно нужны советы от нашего регулятора.
К концу года мы готовим большой проект по внедрению новых технологий в систему, и мы обязательно пригласим всех на презентацию. Мы хотим информировать людей правильно, чтобы не было недопонимания, а самое главное – дезинформации.
— Планирует ли Uzcard увеличить мощность работы системы за счет закупа оборудования?
— Наша система должна работать круглосуточно, когда нам тестить переход сервера на новый? Получается только под утро в районе трех-четырех часов, когда все спят. И очень маленькое дополнение может привести к сбою, поэтому я всегда говорю команде, что у нас нет права на ошибку, нам ее никто не простит, как в случае со сбоем 15 сентября. Если говорят, что нужно отмерить семь раз, мы отмеряем сто.
Мы уже закупили необходимое дополнительное оборудование и в предновогодние дни решили не запускать его, дабы не перезагружать систему. С прошлого года в праздничные дни наша новая команда не допустила сбоев. При том, что тогда, в секунду массово проходило 800 транзакций, тем временем, как в обычные дни – это от 180 до 200. В этом году ожидается еще больше. Все испытания оборудования, установка дополнительной защиты ждут нас после нового года, а пока пусть у людей будет стопроцентная уверенность в том, что праздник пройдет гладко, без изъянов в работе платежный системы. Я очень доволен командой Uzcard, это большие профессионалы. В шутку я называю нас «роботами-патриотами».
Комментарии