ЦБ описал требования к информационной защите цифрового рубля
Слабым звеном могут стать банки, у которых нет средств на ежегодный аудит, полагают эксперты
Банк России разработал проект положения для банков, на который те должны будут опираться при обеспечении информационной защиты операций с цифровым рублем. Их исполнение позволит сохранить целостность и конфиденциальность информации во время использования гражданами и компаниями третьей формы российской валюты, уверен регулятор.
Требования ЦБ будут распространяться на автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, которые используются участниками платформы (банками) при работе с защищаемой информацией. В частности, под защитой будут находиться сведения о средствах на цифровых кошельках, о транзакциях с рублями, о доступе к платформе и закрытии счета, а также информация, необходимая для авторизации и идентификации пользователей, следует из документа.
Согласно проекту положения, банкам и их клиентам надлежит использовать усиленную неквалифицированную электронную подпись (УНЭП) при обмене электронными сообщениями. УНЭП – второй вид электронной подписи по степени защиты, представляющий собой зашифрованный ключ, как правило хранящийся на USB-носителе. Такой способ точно определяет автора и время подписи документа и используется для электронного документооборота внутри компаний или с внешними контрагентами.
Кроме того, в документе описаны требования к защите мобильного приложения и интернет-банку клиента, через которые будут совершаться операции с цифровыми рублями.
ЦБ намерен установить ряд специальных требований к банкам помимо тех, которые уже действуют в отношении традиционных переводов. Например, они будут обязаны выделить в отдельный контур объекты информационной инфраструктуры, которые обеспечивают операции с цифровым рублем.
Помимо разработки организационных мер защиты банки ежегодно должны будут проводить тестирование на проникновение и анализ уязвимостей информационной безопасности объектов инфраструктуры. А также раз в два года привлекать стороннюю компанию в сфере кибербезопасности для аудита и оценки соответствия заявленным требованиям.
Слабые места в защите
Положение ЦБ систематизирует применение отдельных федеральных законов, требований государственных стандартов и приказов ФСБ, определяя их применимость к банковским сервисам, обеспечивающим операции с цифровым рублем, отмечает директор департамента информационной безопасности Росбанка Михаил Иванов. В документе собраны «все лучшие отечественные наработки», в том числе необходимость выделения отдельно контура и его защиты в соответствии с требованиями ГОСТа, подтверждает руководитель департамента аудита и консалтинга компании F.A.C.C.T. (бывшая Group-IB) Александр Соколов. Требования ЦБ изолировать системы, обрабатывающие операции с цифровым рублем, в отдельный сегмент – это одна из многочисленных практик по предотвращению несанкционированного доступа к чувствительным данным и системам, поясняет Иванов. Платформа цифрового рубля применяет набор криптографических ключей и специализированные программные комплексы (отвечающие требованиям ФСБ. – «Ведомости») для обеспечения безостановочного функционирования, добавляет представитель ВТБ.
О цифровом рубле
Закон о внедрении цифрового рубля Госдума приняла 11 июля, он закрепляет понятия платформы цифрового рубля, цифрового кошелька и т. д. Для граждан переводы и платежи в цифровых рублях будут бесплатными, тарифы для бизнеса за прием оплаты в новой форме национальной валюты составят 0,3% от платежа. Основные положения закона вступят в силу с 1 августа, с этого же месяца ЦБ рассчитывает начать пилот с реальными цифровыми рублями.
Предполагается, что граждане и индивидуальные предприниматели для совершения операций с цифровым рублем и открытия кошелька должны будут иметь подтвержденную учетную запись на «Госуслугах». В то же время оператор платформы, сам Банк России, будет открывать, приостанавливать и закрывать цифровые счета, проводить операции с цифровым рублем на платформе и контролировать соблюдение ее правил. Также в обязанности регулятора входит прием и рассмотрение обращений банков, в том числе составленных на основании запросов и претензий пользователей платформы. Работать платформа будет круглосуточно без выходных и праздничных дней в режиме реального времени.
Но безопасность любой системы определяется ее самым слабым звеном, говорит Соколов, в данном случае им могут стать финансовые учреждения, которые не могут себе позволить или не хотят проводить качественный ежегодный аудит. Желание сэкономить на безопасности и сделать оценку для галочки может привести к тому, что клиенты таких учреждений станут жертвами угроз информационной безопасности, предупреждает эксперт.
В положении практически не затрагиваются вопросы антифрода (противодействия финансовому мошенничеству) – упоминается только один пункт про сбор, анализ и контроль цифровых отпечатков на стороне участников платформы, указывает специалист компании F.A.С.С.T. по противодействию финансовому мошенничеству Дмитрий Дудков. По его словам, эта мера затруднит мошенникам возможности по перехвату учетных данных пользователей, но никаким образом не защитит последних от ситуаций, связанных с использованием социальной инженерии. В последнее время злоумышленники начали проявлять интерес к цифровому рублю и искать варианты использования различных схем, отмечает Дудков.
Еще одну группу рисков с точки зрения антифрода Дудков видит на этапе цепочки транзакций через кошелек. Так как к платформе будут иметь доступ разные кредитные организации, то через один банк мошенники могут завести деньги на цифровой кошелек, а через другой – вывести, говорит эксперт. При таком подходе конкретный банк – участник этой платформы не будет видеть и контролировать всю цепочку (только свою небольшую часть) и это упрощает деятельность мошенников и отмывщиков, констатирует Дудков.