Календарь мероприятий


ЦБ поделится с рынком "Янтарем": Система быстрых платежей потребовала особой защиты

   Запускаемая ЦБ в промышленную эксплуатацию 28 февраля система быстрых платежей (СБП) должна получить максимальную и принципиально новую защиту. Потребность в этом возникла из-за нестандартной конструкции СБП, где платежное поручение формируется по единому идентификатору - номеру телефона внутри НСПК (операционно-платежного клирингового центра). Ключевые элементы защиты уже вшиты в саму систему, кроме того, ЦБ поделится с участниками рынка криптографическим решением "Янтарь", ранее применявшимся только регулятором.
   ЦБ анонсировал новый подход к реализации мер кибербезопасности в отношении системы быстрых платежей. "С самого начала работы над проектом стало понятно, что модели защиты от угроз, которые существовали отдельно для платежной системы Банка России и отдельно для платежных сервисов банков, должны измениться",- рассказал первый замглавы департамента информационной безопасности ЦБ Артем Сычев. По его словам, это обусловлено нестандартной схемой организации СБП.
   Так, платежное поручение, ранее формировавшееся клиентом банка-отправителя на основе полного, заранее известного набора банковских реквизитов, в СБП формируется внутри платформы НСПК по единственному идентификатору - номеру мобильного телефона. При этом НСПК получает информацию одновременно от банка-отправителя и банка-получателя. "Возникает необходимость обеспечить целостность передачи этой информации на стадии формирования даже не платежного поручения, а реквизитов этого поручения. Это то, чего мы никогда еще не делали",- пояснил господин Сычев.
   В связи с этим у банков-участников СБП появится новое требование - к организации криптографии на всех этапах формирования платежного поручения. Оно сформулировано в поправках к соответствующему положению Банка России (552-П), которое находится на регистрации в Минюсте.
   Для реализации этой задачи ЦБ предложил рынку готовое решение - систему "Янтарь", ранее применявшуюся только в рамках работы платежной системы Банка России. В поправках к положению также содержится требование к НСПК сообщать банкам-участникам СБП о киберинцидентах. Часть системы защиты от киберугроз будет действовать и на стороне ФинЦЕРТа.
   Кроме того, в само ядро СБП была изначально заложена нетрадиционная схема выявления мошенничества и защиты от него. По словам господина Сычева, при разработке СБП рассматривалось множество различных моделей атак, которым может подвергнуться система. Так, например, антифрод-система СБП содержит решение по защите от атак ботов - высокочастотных "холостых" операций, не заканчивающихся платежами. Такие атаки могут быть организованы, например, с целью выявления наличия у клиента счетов в тех или иных кредитных учреждениях.
   Система содержит и защиту от подмены информации на всех стадиях прохождения платежного поручения. По словам начальника управления инноваций департамента инноваций АО НСПК Дмитрия Колесникова, безопасность трансакций, которые обрабатываются внутри ОПКЦ (операционно-платежного клирингового центра НСПК), обеспечена, в частности, путем разделения контуров обработки и контуров контроля. "Для систем такого типа, как СБП, существует не так уж много видов реальных угроз. "Подвесить" всю систему очень непросто: процессинговые центры строятся на сложной архитектуре с большим количеством нод (независимых частей сети.- "Ъ"), они всегда активны и территориально разнесены,- отмечает начальник отдела по противодействию мошенничеству центра прикладных систем безопасности "Инфосистемы Джет" Алексей Сизов.- То есть придется атаковать сразу несколько каналов, а это действительно сложная задача". По его словам, актуальной остается проблема мошенничества с использованием реверсивных платежей - возвратов по операциям, которые не совершались, с целью неправомерного обогащения. Однако мониторинг реверсивных платежей на текущий момент проводится довольно успешно.
   Еще одна деталь глобально нового подхода к обеспечению безопасности СБП - законодательное решение проблемы чистоты телефонной базы банковских клиентов, отметил господин Сычев. Законопроект, регулирующий обмен информацией между кредитными организациями и сотовыми операторами, в настоящий момент внесен в Госдуму.

Источник: Коммерсант https://www.kommersant.ru/doc/3890310

Обсудить в нашей группе на Facebook


Новости для банков
12.03.2019
Какими будут банки в 2030 году? - обсудим на банковском форуме в Екатеринбурге.
28.03.2019 - On-line семинар "Особенности функционирования отдельных банковских счетов"
18.04.2019 - 19-й Интернет-Чемпионат по банковскому делу и финансам
Открытая сертификация банковских специалистов 01 - 31 марта 2019 года
19.03.2019
Комитет Госдумы рекомендовал ко II чтению законопроект о цифровых финансовых активах Все новости
Новости ББТ
05.03.2019
Законопроект, обязывающий кредиторов проверять данные о владельцах сим-карт, прошёл первое чтение
27.02.2019
Обновление раздела ББТ "Информационная безопасность банка" от 28.02.2019
20.02.2019
Обновление раздела ББТ "Операции банка с ценными бумагами" от 28.02.2019
20.02.2019
Обновление раздела ББТ "Сделки и операции банка на фондовом и денежном рынках" от 28.02.2019
07.02.2019
Обновление раздела ББТ "Кредитные операции в банке" от 28.02.2019 Все новости
Новости библиотеки
18.03.2019
Очередное обновление Электронной Библиотеки Банка от 18.03.2019
12.02.2019
Очередное обновление Электронной Библиотеки Банка от 12.02.2019 Все новости