Банк России предложил решение для обеспечения защиты СБП

«С самого начала работы над проектом стало понятно, что модели защиты от угроз, которые существовали отдельно для платежной системы Банка России и отдельно для платежных сервисов банков, должны измениться»,— рассказал первый замглавы департамента информационной безопасности ЦБ Артем Сычев.

По его словам, это обусловлено нестандартной схемой организации СБП.

Так, платежное поручение, ранее формировавшееся клиентом банка-отправителя на основе полного, заранее известного набора банковских реквизитов, в СБП формируется внутри платформы НСПК по единственному идентификатору — номеру мобильного телефона. При этом НСПК получает информацию одновременно от банка-отправителя и банка-получателя.

«Возникает необходимость обеспечить целостность передачи этой информации на стадии формирования даже не платежного поручения, а реквизитов этого поручения. Это то, чего мы никогда еще не делали»,— пояснил господин А. Сычев.

В связи с этим у банков—участников СБП появится новое требование — к организации криптографии на всех этапах формирования платежного поручения. Оно сформулировано в поправках к соответствующему положению Банка России (552-П), которое находится на регистрации в Минюсте.

Для реализации этой задачи ЦБ предложил рынку готовое решение — систему «Янтарь», ранее применявшуюся только в рамках работы платежной системы Банка России. В поправках к положению также содержится требование к НСПК сообщать банкам—участникам СБП о киберинцидентах. Часть системы защиты от киберугроз будет действовать и на стороне ФинЦЕРТа.

Кроме того, в само ядро СБП была изначально заложена нетрадиционная схема выявления мошенничества и защиты от него. По словам господина Сычева, при разработке СБП рассматривалось множество различных моделей атак, которым может подвергнуться система. Так, например, антифрод-система СБП содержит решение по защите от атак ботов — высокочастотных «холостых» операций, не заканчивающихся платежами. Такие атаки могут быть организованы, например, с целью выявления наличия у клиента счетов в тех или иных кредитных учреждениях.

Система содержит и защиту от подмены информации на всех стадиях прохождения платежного поручения. По словам начальника управления инноваций департамента инноваций АО НСПК Дмитрия Колесникова, безопасность трансакций, которые обрабатываются внутри ОПКЦ (операционно-платежного клирингового центра НСПК), обеспечена, в частности, путем разделения контуров обработки и контуров контроля.

"Для систем такого типа, как СБП, существует не так уж много видов реальных угроз. "Подвесить" всю систему очень непросто: процессинговые центры строятся на сложной архитектуре с большим количеством нод (независимых частей сети.— “Ъ”), они всегда активны и территориально разнесены,— отмечает начальник отдела по противодействию мошенничеству центра прикладных систем безопасности "Инфосистемы Джет" Алексей Сизов.— То есть придется атаковать сразу несколько каналов, а это действительно сложная задача».

По его словам, актуальной остается проблема мошенничества с использованием реверсивных платежей — возвратов по операциям, которые не совершались, с целью неправомерного обогащения. Однако мониторинг реверсивных платежей на текущий момент проводится довольно успешно.

Еще одна деталь глобально нового подхода к обеспечению безопасности СБП — законодательное решение проблемы чистоты телефонной базы банковских клиентов, отметил господин Сычев. Законопроект, регулирующий обмен информацией между кредитными организациями и сотовыми операторами, в настоящий момент внесен в Госдуму.

По материалам газеты Коммерсант