ЦБ анонсировал новый подход к реализации мер кибербезопасности в отношении системы быстрых платежей. «С самого начала работы над проектом стало понятно, что модели защиты от угроз, которые существовали отдельно для платежной системы Банка России и отдельно для платежных сервисов банков, должны измениться»,— рассказал первый замглавы департамента информационной безопасности ЦБ Артем Сычев. По его словам, это обусловлено нестандартной схемой организации СБП.
Запуск системы быстрых платежей в промышленной версии запланирован на 28 февраля. Сейчас в пилоте участвуют 12 банков, готовность подключиться к СБП подтвердили еще 98 кредитных организаций.
Так, платежное поручение, ранее формировавшееся клиентом банка-отправителя на основе полного, заранее известного набора банковских реквизитов, в СБП формируется внутри платформы НСПК по единственному идентификатору — номеру мобильного телефона. При этом НСПК получает информацию одновременно от банка-отправителя и банка-получателя. «Возникает необходимость обеспечить целостность передачи этой информации на стадии формирования даже не платежного поручения, а реквизитов этого поручения. Это то, чего мы никогда еще не делали»,— пояснил господин Сычев.
В связи с этим у банков—участников СБП появится новое требование — к организации криптографии на всех этапах формирования платежного поручения. Оно сформулировано в поправках к соответствующему положению Банка России (552-П), которое находится на регистрации в Минюсте.
Для реализации этой задачи ЦБ предложил рынку готовое решение — систему «Янтарь», ранее применявшуюся только в рамках работы платежной системы Банка России. В поправках к положению также содержится требование к НСПК сообщать банкам—участникам СБП о киберинцидентах. Часть системы защиты от киберугроз будет действовать и на стороне ФинЦЕРТа.
Кроме того, в само ядро СБП была изначально заложена нетрадиционная схема выявления мошенничества и защиты от него. По словам господина Сычева, при разработке СБП рассматривалось множество различных моделей атак, которым может подвергнуться система. Так, например, антифрод-система СБП содержит решение по защите от атак ботов — высокочастотных «холостых» операций, не заканчивающихся платежами. Такие атаки могут быть организованы, например, с целью выявления наличия у клиента счетов в тех или иных кредитных учреждениях.
Система содержит и защиту от подмены информации на всех стадиях прохождения платежного поручения. По словам начальника управления инноваций департамента инноваций АО НСПК Дмитрия Колесникова, безопасность трансакций, которые обрабатываются внутри ОПКЦ (операционно-платежного клирингового центра НСПК), обеспечена, в частности, путем разделения контуров обработки и контуров контроля. «Для систем такого типа, как СБП, существует не так уж много видов реальных угроз. "Подвесить" всю систему очень непросто: процессинговые центры строятся на сложной архитектуре с большим количеством нод (независимых частей сети.— “Ъ”), они всегда активны и территориально разнесены,— отмечает начальник отдела по противодействию мошенничеству центра прикладных систем безопасности "Инфосистемы Джет" Алексей Сизов.— То есть придется атаковать сразу несколько каналов, а это действительно сложная задача». По его словам, актуальной остается проблема мошенничества с использованием реверсивных платежей — возвратов по операциям, которые не совершались, с целью неправомерного обогащения. Однако мониторинг реверсивных платежей на текущий момент проводится довольно успешно.
Еще одна деталь глобально нового подхода к обеспечению безопасности СБП — законодательное решение проблемы чистоты телефонной базы банковских клиентов, отметил господин Сычев. Законопроект, регулирующий обмен информацией между кредитными организациями и сотовыми операторами, в настоящий момент внесен в Госдуму.
Мария Сарычева