Запускаемая ЦБ в промышленную эксплуатацию система быстрых платежей должна получить максимальную и принципиально новую защиту. Потребность в этом возникла из-за нестандартной конструкции СБП, где платежное поручение формируется по единому идентификатору — номеру телефона внутри НСПК (операционно-платежного клирингового центра). Ключевые элементы защиты уже вшиты в саму систему, кроме того, ЦБ поделится с участниками рынка криптографическим решением "Янтарь", ранее применявшимся только регулятором.

"С самого начала работы над проектом стало понятно, что модели защиты от угроз, которые существовали отдельно для платежной системы Банка России и отдельно для платежных сервисов банков, должны измениться",— рассказал первый замглавы департамента информационной безопасности ЦБ Артем Сычев. По его словам, это обусловлено нестандартной схемой организации СБП.

Запуск системы быстрых платежей в промышленной версии запланирован на 28 февраля.

Сейчас в пилоте участвуют 12 банков, готовность подключиться к СБП подтвердили еще 98 кредитных организаций.

Так, платежное поручение, ранее формировавшееся клиентом банка-отправителя на основе полного, заранее известного набора банковских реквизитов, в СБП формируется внутри платформы НСПК по единственному идентификатору — номеру мобильного телефона. При этом НСПК получает информацию одновременно от банка-отправителя и банка-получателя. "Возникает необходимость обеспечить целостность передачи этой информации на стадии формирования даже не платежного поручения, а реквизитов этого поручения. Это то, чего мы никогда еще не делали",— пояснил господин Сычев.

Оно сформулировано в поправках к соответствующему положению Банка России (552-П), которое находится на регистрации в Минюсте.

Для реализации этой задачи ЦБ предложил рынку готовое решение — систему "Янтарь", ранее применявшуюся только в рамках работы платежной системы Банка России. В поправках к положению также содержится требование к НСПК сообщать банкам—участникам СБП о киберинцидентах. Часть системы защиты от киберугроз будет действовать и на стороне ФинЦЕРТа.

Кроме того, в само ядро СБП была изначально заложена нетрадиционная схема выявления мошенничества и защиты от него. По словам господина Сычева, при разработке СБП рассматривалось множество различных моделей атак, которым может подвергнуться система. Так, например, антифрод-система СБП содержит решение по защите от атак ботов — высокочастотных "холостых" операций, не заканчивающихся платежами. Такие атаки могут быть организованы, например, с целью выявления наличия у клиента счетов в тех или иных кредитных учреждениях.

Система содержит и защиту от подмены информации на всех стадиях прохождения платежного поручения.

По словам начальника управления инноваций департамента инноваций АО НСПК Дмитрия Колесникова, безопасность трансакций, которые обрабатываются внутри ОПКЦ (операционно-платежного клирингового центра НСПК), обеспечена, в частности, путем разделения контуров обработки и контуров контроля. "Для систем такого типа, как СБП, существует не так уж много видов реальных угроз. По его словам, актуальной остается проблема мошенничества с использованием реверсивных платежей — возвратов по операциям, которые не совершались, с целью неправомерного обогащения. Однако мониторинг реверсивных платежей на текущий момент проводится довольно успешно.

Еще одна деталь глобально нового подхода к обеспечению безопасности СБП — законодательное решение проблемы чистоты телефонной базы банковских клиентов, отметил господин Сычев. Законопроект, регулирующий обмен информацией между кредитными организациями и сотовыми операторами, в настоящий момент внесен в Госдуму.