Об этом задумались участники очередной сессии XII Уральского форума «Информационная безопасность финансовой сферы». Напомним, что Система быстрых платежей – это сервис платежной системы Банка России (с участием Национальной системы платежных карт (НСПК) и ассоциации «ФинТех»), позволяющий физическим лицам делать мгновенные переводы по номеру мобильного телефона в любой банк-участник системы.
Ведущий сессии, директор Департамента национальной платежной системы Банк России Алла Бакина подтвердила, что система, запущенная в России чуть больше года назад, постоянно развивается. Так, в конце 2019 года в ней была реализована (пока в формате пилота) функция возврата средств за возвращенные покупки, которую поддержали многие магазины, в том числе электронные.
«Безопасность быстрых платежей у нас обеспечивается как на стороне Банка России, так и на стороне участников. Это одна из важнейших задач, которые мы ставили при проектировании системы: построение и развитие системы мониторинга на всех уровнях, обеспечение доверия граждан», – отметила Алла Бакина. Объемы операций в системе быстрых платежей растут очень динамично: с момента запуска ежемесячный прирост составляет в среднем до 25%, и на сегодня в системе совершено более 9 млн операций на общую сумму почти 80 млрд рублей.
Как обеспечивается безопасность переводов в системе с точки зрения криптографии?
Артем Сычев, заместитель начальника ГУБиЗИ Банка России, упомянул об уникальности системы быстрых платежей: в ней все криптографические процедуры реализованы с использованием исключительно отечественных СКЗИ. «Для нас это один из факторов того, что те обычные риски, которые характерны для иных платежных систем, здесь уже не так сильно сказываются. Атаковать криптографические алгоритмы никто не будет, потому что вычислительных мощностей для этого у него просто не хватит», – прокомментировал он.
Интересно, что для поддержки системы с использованием отечественной криптографии Банк России принял решение попросту раздать всем ее участникам собственное программное решение «Янтарь», которую те могли интегрировать в свои автоматизированные системы и НСПК. «Мы всегда говорим о трудностях работы с отечественной криптографией, но когда участники проекта столкнулись с этим, то оказалось: те, кто так говорит, просто никогда с ней не работали. Когда начали, то быстро справились, и никаких вопросов уже не возникало», – заметил Артем Сычев.
«К системе быстрых платежей как к системе национального масштаба предъявляются максимальные требования безопасности. Чтобы их выполнять, мы используем самые современные и актуальные международные практики по обеспечению ИБ. Безопасность в системе заложена на всех возможных уровнях: на транспортном, прикладном, системном. Нам важно знать о том, что происходит в мире, отбирать лучшие практики и использовать их у себя. У нас есть SOC, который работает постоянно, мы занимаемся threat intelligence», – добавил руководитель информационной безопасности Национальной системы платежных карт (НСПК) Артем Гутник.
В сессии также приняли участие представители банка МКБ, СКБ-банка, процессингового центра Uniteller. Решались вопросы стандартов безопасности для ОПКЦ СБП и участников СБП, безопасности переводов в СБП на уровне участников системы и другие.