Система быстрых платежей (СБП) — это сервис платежной системы Банка России с участием Национальной системы платежных карт (НСПК) и Ассоциации ФинТех, позволяющий физическим лицам делать мгновенные переводы по номеру мобильного телефона в любой банк — участник системы. Но также всем известно, что у любой, даже самой блестящей, медали есть две стороны. В данном случае речь идет о безопасности переводов.

Поэтому Алла Бакина, директор департамента национальной платежной системы Банка России, открывая дискуссию «Система быстрых платежей: безопасность или иллюзия», сходу пошла в бой и предложила обсудить применительно к СБП, как обеспечивается ее реальная ИБ, а также выяснить, что в этом вопросе иллюзия, а что нет.

Участники сессии «СБП: безопасность или иллюзия». Фото: Вадим Ференец / «Б.О»

В этой ей помогли Артем Сычев, первый заместитель директора департамента информационной безопасности Банка России; Артем Гутник, заместитель начальника управления безопасности НСПК; Вячеслав Касимов, директор департамента ИБ банка МКБ; Виталий Копысов, директор по инновациям СКБ-Банка, а также Вадим Янборисов, директор по инновациями и развитию компании Uniteller.

«В самом начале работы СБП некоторые эксперты обвиняли нас в том, что в Системе быстрых платежей будет перебор номеров. Нас также обвиняли в том, что через СБП будут выводить деньги и будет работать реальный фрод», — начал диалог по существу Артем Сычев, обозначив тем самым два из трех основных направления защиты инфраструктуры платежной системы.

Почему бы систему согласия СПБ не превратить в систему забвения?

Третий фактор защиты — использование отечественной криптографической защиты. С ним, как оказалось, проблем возникло не так много. Эксперты, утверждавшие, что российская криптография — это «сложно и неудобно», оказывались в меньшинстве. Выяснилось также, что большинство из них никогда в жизни не пытались практически овладеть отечественными решениями, так как лоббировали исключительно западные аналоги.

Что касается перебора номеров и фрода, то эти проблемы предложено решать комплексно в рамках двухуровневой системы антифрода: на уровне НСПК и на уровне банков-участников. Артем Сычев решил предупредить острые вопросы: «ЦБ часто уподобляют принтеру, который от нечего делать создает все новые и новые документы, при этом сам пытается ни за что не отвечать. В данном уникальном случае ЦБ и НСПК, являясь участниками системы антифрод-мониторинга СБП, попытались реализовать на практике то, что сами и прописали в стандарте по безопасной разработке. Не скажу, что мы сделали все. Там еще есть над чем работать».

Статистика по операциям в СБП. Фото: Вадим Ференец / «Б.О»

О том, что сделано, подробно рассказал Артем Гутник из НСПК. В частности, речь шла о формировании и деятельности Red Teams и Blue Teams как важнейших частях киберучений. Но о будущем все же рассказал лично Артем Сычев. Наверное, главным нововведением, по его словам, станет использование скоринговых баллов в зарезервированных полях сообщений Системы. Причина тому — различия в принципах действия и особенностях взаимодействия различных систем антифрода, даже внутри одного банка.

Вячеслав Касимов объяснил: «У НСПК есть сервис, который помогает бороться с массовыми запросами на перебор номеров, платежная система по определению умеет работать с большими потоками данных. Но у нее много меньше знаний про каждого конкретного клиента. Поэтому банки должны со своей стороны “адекватно” включиться в эту историю многоуровневого антифрода. Чем больше сознательности будет у тех банков, которые участвуют в Системе, тем безопаснее СБП в целом станет для клиентов. Поэтому крайне важно научиться выстраивать взаимоотношения с коллегами из НСПК — если возникает подозрение на какой-то инцидент, то это подозрение подтверждается или опровергается только совместно усилиями обеих сторон».

Виталий Копысов поделился в этой связи ноу-хау СКБ-Банка: «Для борьбы с перебором номеров мы дали возможность нашим клиентам самим динамически регулировать свою видимость в СБП. Когда он ждет платеж, то устанавливает полную видимость, потом ее уменьшает ползунком в интерфейсе смартфона. Почему бы систему согласия СПБ не превратить в систему забвения?».

СКБ-Банк как один из пионеров подключения к СБП давно работает с Open API и накопил колоссальный опыт построения IT-инфраструктуры, позволяющий хорошо работать с внешними системами через единый шлюз (IBM API Connect). Неудивительно, что именно эта кредитная организация одной из первых начала проводить не только c2c-, но с2b-платежи. Об этом ее представитель подробно рассказал с трибуны этой сессии Форума.

НСПК, хоть и является доверенной средой, но для МКБ это внешняя сеть

Вячеславу Касимову осталось добавить: «НСПК, хоть и является доверенной средой, но для МКБ это внешняя сеть. Наш кусочек сервиса представляет собой веб-публикацию. Естественно, мы защищаем ее WAF-файерволом. Это стандартная гигиена при взаимодействии с любым внешним сервисом. Плюс важна целостность той среды, где работает платежная система. На НСПК надейся, но сам не плошай!».

Благодаря поправкам в ФЗ-161 «О национальной платежной системе» к дуэту «НСПК и банки» добавился новый участник — Third party processor (процессор третьей стороны). Это организация, привлекаемая участниками СБП для выполнения функций «третьестороннего» процессинга и обеспечивающая информационное и технологическое взаимодействие с операционно-платежным клиринговым центром (ОПКЦ) СБП.

Вадим Янборисов объяснил в этой связи компетенции компании Uniteller: «Банк — операционная компания, а не вендор. Поэтому необходим технологический партнер. Но как его прописать юридически? Изменения в ФЗ-61 показали, что мы находимся в четко регулируемой зоне, выступая при этом в разных статусах. Во-первых, как платежный агрегатор, когда участвуем в расчетах. Во-вторых, как процессинговый центр (оператор услуг информационного обмена) и как поставщик платежного приложения в части обеспечения интеграции банка и подключения его к системам. Существует два уровня подключения: отдельно информационного протокола и отдельно расчетного протокола, что позволяет банкам оставлять у себя расчетную часть, никакие риски третьей стороны при расчетах при этом не возникают вообще, что отмечено в бюллетенях НСПК».

Обозначил спикер еще одну проблему СПБ, заключающуюся в том, что при c2b-взаимоотношениях банк может предложить эквайринговые услуги только тем, у кого есть расчетный счет в этой организации. По статистике, таких клиентов до 80% у среднего банка по карточному эквайрингу. Как им быть с СБП? А еще этим ТСП (торгово-сервисным предприятиям) необходимо выполнять положения ФЗ-54 «О применении контрольно-кассовой техники». Бизнесменам нужна одна касса, которая может принимать и платежи по СБП, и карты, а еще нужны сервисы по формированию отчетности и доступу к личному кабинету. Вот тут-то и может здорово помочь технологический партнер, закрывая для банка все вопросы разом.

В завершение Артем Сычев совместно с Аллой Бакиной попеняли банкирам: «Дело в том, что тема фрода тесно связана с так называемым законопроектом о sim-картах (предполагающим организацию обмена информацией между телекомами и банками), который прочно застрял в стенах Государственной думы. Телекомы хотят продавать данные задорого и еще выборочно. На нашей стороне от банков, к сожалению, очень мало желающих помочь Банку России в этой борьбе со связистами, призвавшими в свои ряды мощный ресурс. Помогите и вы нам!».