«С самого начала работы над проектом стало понятно, что модели защиты от угроз, которые существовали отдельно для платежной системы Банка России и отдельно для платежных сервисов банков, должны измениться»,— рассказал первый замглавы департамента информационной безопасности ЦБ Артем Сычев. По его словам, это обусловлено нестандартной схемой организации СБП.

Так, платежное поручение, ранее формировавшееся клиентом банка-отправителя на основе полного, заранее известного набора банковских реквизитов, в СБП формируется внутри платформы НСПК по единственному идентификатору — номеру мобильного телефона. При этом НСПК получает информацию одновременно от банка-отправителя и банка-получателя. «Возникает необходимость обеспечить целостность передачи этой информации на стадии формирования даже не платежного поручения, а реквизитов этого поручения. Это то, чего мы никогда еще не делали»,— пояснил Сычев.

В связи с этим у банков—участников СБП появится новое требование — к организации криптографии на всех этапах формирования платежного поручения. Оно сформулировано в поправках к соответствующему Положению Банка России (552-П), которое находится на регистрации в Минюсте.

Для реализации этой задачи ЦБ предложил рынку готовое решение — систему «Янтарь», ранее применявшуюся только в рамках работы платежной системы Банка России. В поправках к положению также содержится требование к НСПК сообщать банкам—участникам СБП о киберинцидентах. Часть системы защиты от киберугроз будет действовать и на стороне ФинЦЕРТа.

Кроме того, в само ядро СБП была изначально заложена нетрадиционная схема выявления мошенничества и защиты от него. По словам Сычева, при разработке СБП рассматривалось множество различных моделей атак, которым может подвергнуться система. Так, например, антифрод-система СБП содержит решение по защите от атак ботов — высокочастотных «холостых» операций, не заканчивающихся платежами. Такие атаки могут быть организованы, например, с целью выявления наличия у клиента счетов в тех или иных кредитных учреждениях. Система содержит и защиту от подмены информации на всех стадиях прохождения платежного поручения.

Еще одна деталь глобально нового подхода к обеспечению безопасности СБП — законодательное решение проблемы чистоты телефонной базы банковских клиентов, отметил Сычев. Законопроект, регулирующий обмен информацией между кредитными организациями и сотовыми операторами, в настоящий момент внесен в Госдуму.

Запуск системы быстрых платежей в промышленной версии запланирован на 28 февраля. Сейчас в пилоте участвуют 12 банков, готовность подключиться к СБП подтвердили еще 98 кредитных организаций.

Источник: Коммерсантъ