ЦБ поделит «Янтарь» с рынком
На 28-е числе ЦБ наметил запуск в промышленную эксплуатацию системы быстрых платежей (СБП), у которой должна быть максимальная и принципиально новая защита. Необходимость этого "декларирует" нестандартная конструкция СБП, где формирование платежного поручения происходит по единому идентификатору, которым становится номер телефона внутри НСПК (операционно-платежный клиринговый центр). Ключевые защитные элементы защиты уже вшили в систему, кроме того, ЦБ намерен "раздать" с рыночным участникам криптографическое решение «Янтарь», ранее применявшееся только им самим.
ЦБ известил о новом подходе к реализации мер кибербезопасности применительно к системе быстрых платежей. По словам первого заместителя главы департамента информбезопасности ЦБ Артема Сычева, как только мы начали работу над проектом, мы поняли, что модели защиты от угроз, существовавшие по отдельности: один использовались для платежной системы Банка России, другие - для платежных сервисов банков, требуют изменений, что обуславливает нестандартная схема организации СБП.
По плану, систему быстрых платежей в промышленной версии запустят уже 28 февраля. Сейчас участниками пилота являются 12 банков, о своей готовности подключиться к СБП заявили еще 98 банков.
Теперь формирование платежного поручения, которое раньше формировал клиент банка-отправителя, основываясь на полном, заранее известном наборе банковских реквизитов, в СБП происходит внутри платформы НСПК, а используется при этом единственный идентификатор — номер мобильного телефона. При этом в НСПК информацию направляют одновременно и банк-отправитель, и банк-получатель. Появляется необходимость в обеспечении целостности передачи этих данных на стадии формирования не платежного поручения, а его реквизитов. А мы этого еще никогда еще не делали.
В этой связи банкам—участникам СБП придется выполнить новое требование — организовать криптографию на каждом этапе формирования платежного поручения. Формулировку требования содержат поправки к соответствующему положению Банка России (552-П), находящемся на регистрации в Минюсте.
Чтобы реализовать эту задачу, ЦБ предложил рынку воспользоваться уже готовым решением — системой «Янтарь», которая ранее применялась только в рамках работы платежной системы самого Банка России. Поправки к положению также содержат требование, чтобы НСПК сообщала банкам—участникам СБП о киберинцидентах. Какие-то элементы системы защиты от киберугроз будут действовать на стороне ФинЦЕРТа.
К тому же, с самого начала в ядро СБП заложили нетрадиционную схему выявления мошенничеств и защиты от них. Как сказал Сычев, когда СБП только разрабатывалась, специалисты рассматривали множество самых разных моделей атак, которые могут угрожать системе. К примеру, в антифрод-системе СБП содержится решение, защищающее от так называемых бот-атак: это высокочастотные «холостые» операции, не заканчивающиеся платежами. Организовать их можно, например, чтобы выявить наличие у клиента счетов в каких-то банках.
Содержится в системе и защита от подмены данных на всех этапах прохождения платежного поручения. Как сказал начальник управления инноваций департамента инноваций АО НСПК Дмитрий Колесников, безопасность трансакций, обрабатывающихся внутри ОПКЦ (операционно-платежный клиринговый центр НСПК), обеспечивается, в частности, разделением контуров обработки и контроля. По словам начальника отдела по противодействию мошенничеству центра прикладных систем безопасности "Инфосистемы Джет" Алексея Сизова, на самом деле для систем, подобных СБП, реальных угроз немного. Довольно сложно вызвать "подвешивание" всей системы: в основе построения процессинговых центров - сложная архитектура, имеющая множество нод (независимые части сети), всегда активных и разнесенных территориально. Иными словами, если мошенники и решат нанести атаки, то их придется направить сразу на несколько каналов, а эта задача отличается повышенной сложностью. По-прежнему актуальна сегодня проблема мошенничеств, в ходе которых используются реверсивные платежи — возвраты по несовершенным операциям, цель которых - неправомерное обогащение. Но сейчас мы успешно мониторим реверсивные платежи.
Нельзя не сказать и о другой детали, присущей глобально новому подходу к обеспечению безопасности СБП, а именно - о законодательном решении проблемы чистоты телефонной базы клиентов банков. По словам Сычева, проект закона, регулирующего информобмен между банками и сотовыми операторами, уже внесли в Госдуму.
