Календарь мероприятий


ЦБ поделится с рынком "Янтарем": Система быстрых платежей потребовала особой защиты

   Запускаемая ЦБ в промышленную эксплуатацию 28 февраля система быстрых платежей (СБП) должна получить максимальную и принципиально новую защиту. Потребность в этом возникла из-за нестандартной конструкции СБП, где платежное поручение формируется по единому идентификатору - номеру телефона внутри НСПК (операционно-платежного клирингового центра). Ключевые элементы защиты уже вшиты в саму систему, кроме того, ЦБ поделится с участниками рынка криптографическим решением "Янтарь", ранее применявшимся только регулятором.
   ЦБ анонсировал новый подход к реализации мер кибербезопасности в отношении системы быстрых платежей. "С самого начала работы над проектом стало понятно, что модели защиты от угроз, которые существовали отдельно для платежной системы Банка России и отдельно для платежных сервисов банков, должны измениться",- рассказал первый замглавы департамента информационной безопасности ЦБ Артем Сычев. По его словам, это обусловлено нестандартной схемой организации СБП.
   Так, платежное поручение, ранее формировавшееся клиентом банка-отправителя на основе полного, заранее известного набора банковских реквизитов, в СБП формируется внутри платформы НСПК по единственному идентификатору - номеру мобильного телефона. При этом НСПК получает информацию одновременно от банка-отправителя и банка-получателя. "Возникает необходимость обеспечить целостность передачи этой информации на стадии формирования даже не платежного поручения, а реквизитов этого поручения. Это то, чего мы никогда еще не делали",- пояснил господин Сычев.
   В связи с этим у банков-участников СБП появится новое требование - к организации криптографии на всех этапах формирования платежного поручения. Оно сформулировано в поправках к соответствующему положению Банка России (552-П), которое находится на регистрации в Минюсте.
   Для реализации этой задачи ЦБ предложил рынку готовое решение - систему "Янтарь", ранее применявшуюся только в рамках работы платежной системы Банка России. В поправках к положению также содержится требование к НСПК сообщать банкам-участникам СБП о киберинцидентах. Часть системы защиты от киберугроз будет действовать и на стороне ФинЦЕРТа.
   Кроме того, в само ядро СБП была изначально заложена нетрадиционная схема выявления мошенничества и защиты от него. По словам господина Сычева, при разработке СБП рассматривалось множество различных моделей атак, которым может подвергнуться система. Так, например, антифрод-система СБП содержит решение по защите от атак ботов - высокочастотных "холостых" операций, не заканчивающихся платежами. Такие атаки могут быть организованы, например, с целью выявления наличия у клиента счетов в тех или иных кредитных учреждениях.
   Система содержит и защиту от подмены информации на всех стадиях прохождения платежного поручения. По словам начальника управления инноваций департамента инноваций АО НСПК Дмитрия Колесникова, безопасность трансакций, которые обрабатываются внутри ОПКЦ (операционно-платежного клирингового центра НСПК), обеспечена, в частности, путем разделения контуров обработки и контуров контроля. "Для систем такого типа, как СБП, существует не так уж много видов реальных угроз. "Подвесить" всю систему очень непросто: процессинговые центры строятся на сложной архитектуре с большим количеством нод (независимых частей сети.- "Ъ"), они всегда активны и территориально разнесены,- отмечает начальник отдела по противодействию мошенничеству центра прикладных систем безопасности "Инфосистемы Джет" Алексей Сизов.- То есть придется атаковать сразу несколько каналов, а это действительно сложная задача". По его словам, актуальной остается проблема мошенничества с использованием реверсивных платежей - возвратов по операциям, которые не совершались, с целью неправомерного обогащения. Однако мониторинг реверсивных платежей на текущий момент проводится довольно успешно.
   Еще одна деталь глобально нового подхода к обеспечению безопасности СБП - законодательное решение проблемы чистоты телефонной базы банковских клиентов, отметил господин Сычев. Законопроект, регулирующий обмен информацией между кредитными организациями и сотовыми операторами, в настоящий момент внесен в Госдуму.

Источник: Коммерсант https://www.kommersant.ru/doc/3890310

Обсудить в нашей группе на Facebook


Новости для банков
22.05.2019
On-line семинар "Россия банковская: web-обзор" (22.05.2019)
01.05.2019
01 - 31 мая 2019 - Открытая сертификация банковских специалистов
24.05.2019
Четыре российских банка вошли в топ крупнейших эквайеров Европы
24.05.2019
Mastercard предложила банкам сервис снятия наличных через QR-код
23.05.2019
Не обижайте аудитора Все новости
Новости ББТ
22.05.2019
Банк России в июле может начать тестировать платежи по QR-коду
17.05.2019
Банк России начал применять метод "тайного покупателя"
17.05.2019
Банк России может начать сдерживать рост потребкредитования
16.05.2019
Госдума приняла закон, уточняющий основания отзыва лицензии у банков
14.05.2019
WhatsApp создаст центр развития мобильных платежей Все новости
Новости библиотеки
23.04.2019
Обновление Электронной Библиотеки Банка от 23.04.2019
18.03.2019
Очередное обновление Электронной Библиотеки Банка от 18.03.2019 Все новости