5 марта, 2013, BIS Journal №1(8)/2013

Национальная платёжная инфраструктура: долгосрочная стратегия развития


Сумманен Карл

независимый эксперт

Эффективная система безопасности – ключевой элемент инфраструктуры Национальной платёжной системы России

В статье рассмотрены возможные направления развития национальной платёжной системы (НПС) и национальной платёжной инфраструктуры (НПИ) в долгосрочной перспективе. Предложен новый подход к определению понятия денег, позволяющий с единых позиций описать различные типы денег и, в том числе, корректно определить их новые типы, в частности, цифровые деньги.

Подробно рассмотрены вопросы обеспечения безопасности платёжных сервисов, в том числе принципы системы защиты цифровых денег и ключевые требования к построению комплексной системы обеспечения безопасности НПС.

1. ФУНКЦИОНАЛЬНОСТЬ И АРХИТЕКТУРА НПИ

Направления развития функциональности и архитектуры НПИ в долгосрочной перспективе подробно рассмотрены в публикациях [1, 2].

Анализ проводился исходя из принципа функциональной полноты НПИ, существенной частью которого являются требования доступности сервисов НПИ для пользователей, перечисленные ниже:

  • плательщиком может быть субъект любой юридической формы 1;
  • получателем может быть субъект любой юридической формы;
  • платёж возможен из любой точки земного шара;
  • платёж возможен в любое время;
  • платёж возможен по любому каналу (из перечня возможных);
  • платёж возможен с использованием любого устройства доступа, пригодного для данного канала;
  • платёж возможен с использованием средств в любой валюте;
  • платёж возможен с использованием любого типа денег (материальные, цифровые, безналичные);
  • плательщик может выбрать счёт у любого оператора счёта в рамках НПС или в любой внешней платёжной системе, которая поддерживает необходимые интерфейсы;
  • платёж возможен в пользу любого получателя средств в рамках НПС.

Исходя из принципа функциональной полноты был определен состав базовых платёжных сервисов НПС:

  • выставление продавцом и получение покупателем требования (инвойса) на оплату товара или услуги;
  • платёж за товар или услугу путём предоставления покупателем и получения продавцом юридически значимого подтверждения обязанности рассчитаться за предоставленный товар или услугу;
  • расчёты по денежным обязательствам путём перевода от покупателя продавцу любого типа денежных средств, в том числе за предоставленный товар или услугу в соответствии с обязательствами, взятыми на себя покупателем при оплате.

В результате анализа были определены функциональные компоненты НПИ, необходимые для поддержки базовых платёжных сервисов НПС (Таблица 1),

и предложена архитектура НПС 2 (Рисунок 1).

2. НАЦИОНАЛЬНАЯ СИСТЕМА ЦИФРОВЫХ ДЕНЕГ

В настоящем разделе уточняется понятие цифровых денег (ЦД) и развивается концепция национальной системы цифровых денег (НСЦД), предложенная в [3].

1.1. Общее понятие денег

Последовательное и корректное описание и проектирование систем денежного обращения возможно только на основе унифицированного подхода, позволяющего описать различные типы и формы денег с единых позиций.

В качестве основного принципа такого унифицированного подхода предлагается использовать общее определение понятия денег как абстрактного класса верхнего уровня (базового класса). На его основе путём классификации по различным признакам может быть построена многоуровневая иерархия дочерних абстрактных подклассов, наследующих свойства родительского класса, которые соответствуют различным типам денег. Таким образом могут быть описаны как все существующие типы денег, так и определены новые.

Для простоты ограничим рассмотрение фиатными деньгами (от лат. fiat – декрет, указание, «да будет так»), под которыми понимаются деньги, законные средства расчётов, номинальная стоимость которых устанавливается и гарантируется государством посредством его авторитета и власти.

Фиатные деньги не имеют гарантий обмена в фиксированной пропорции на другую вещь. Государство обязывает граждан принимать фиатные деньги в качестве законного средства расчётов на своей территории. Как правило, фиатные деньги не обеспечены, и у эмитента отсутствуют реальные (реализуемые на практике) обязательства обменять предъявляемые деньги на какие-либо ценности.

С учетом указанной особенности фиатные деньги рассматриваются нами не как требования к эмитенту, передаваемые между плательщиком и получателем, а как универсальное средство расчётов за предоставленные товары или услуги. Оборот обеспечивается общественным договором, устанавливающим как обязательство продавца принимать такие деньги для окончательного расчёта за предоставленные товары или услуги, так и зеркальное право покупателя требовать от продавца принять деньги в качестве средства расчёта.

Общественный договор об использовании денег реализуется путём делегирования обществом государству полномочий и обязанности обеспечивать выполнение требований общественного договора в части принуждения субъектов экономики к приему денег в качестве средства расчётов. Что оформляется национальными законами и детализирующими их нормативно-правовыми актами, издаваемыми уполномоченным на то ведомством.

Использование определённого вида денег, характеризуемого валютой 3, в качестве средства расчётов ограничено определённым обществом (социумом), в пределах и только в пределах которого деньги данного вида являются обязательным к приёму средством расчётов. Чаще всего такой областью является страна или межгосударственное образование.

Обратим внимание, что в данной статье деньги рассматриваются как средство расчетов (законное расчётное средство, используемое для урегулирования обязательств, измеряемых в деньгах), а не как платёжное средство.

Под платежом в данной статье понимаются действия, совершаемые Плательщиком и Получателем (возможно с участием других сторон), в результате которых Получатель получает от Плательщика или третьей стороны обязательство передачи денежной суммы, либо саму денежную сумму при условии предоставления Получателем оговоренного товара или услуги.

В частном случае платёж может быть выполнен путем передачи суммы денег, и в этом случае платёж одновременно включает и урегулирование денежных обязательств (расчёты). В более общем случае, однако, расчеты между Продавцом и стороной, взявшей на себя обязательство передать Продавцу денежную сумму, производятся после платежа.

В целях определения понятия денег мы исходим из того, что в общефилософском понимании деньги являются сущностью. В том смысле, что они объективно существуют в обществе, и между деньгами и человеком возникают вполне реальные отношения – получение, владение, хранение, передача, утеря. Как сущность деньги имеют ряд характеристик, отличающих их от других сущностей.

Прежде всего это нефизический характер денег. Деньги как сущность не являются объектом физического мира, это не материя и не поле. Но при этом, поскольку человек может взаимодействовать только с материальными объектами, представления денег всегда являются физическими сущностями.

Другой особенностью денег является то, что деньги существуют только в человеческом обществе и являются одной из форм отношений между людьми. Таким образом можно описать деньги как социальную сущность.

С деньгами как с сущностью связано 3 основных процесса – создание денег (эмиссия), передача денег и гибель денег (абсорбция или случайная гибель).

Как правило возможность эмиссии в данной валюте есть только у одного эмитента в пределах области обращения денег. Однако в отдельных случаях право эмиссии может быть делегировано нескольким эмиссионным центрам при сохранении централизованного управления общей массой выпущенных денег.

Передача денег заключается в изменении права собственности на деньги в результате перехода определенной суммы денег от одного владельца к другому.

Гибель денег может происходить системно в результате управляемого процесса уменьшения денежной массы эмитентом (абсорбция) или, несистемно, в процессе несанкционированной случайной гибели денег в результате физического разрушения материальных носителей денег. Вероятность несистемной гибели денег должна быть минимизирована, но в общем случае не может быть полностью исключена.

Являясь нефизической социальной сущностью деньги тем не менее обладают рядом специфических свойств, необходимых для того, чтобы деньги могли выполнять свои функции, обычно проявляемых сущностями физического мира, в частности:

  • в отношении денег возникает право собственности;
  • деньги измеримы, измерением является сумма;
  • деньги подчиняются закону сохранения суммы 4, выражающемся в неизменности общей суммы выпущенных денег в процессах передачи денег;
  • деньги обладают свойством нетиражируемости (невозможность создания множества равнозначных экземпляров одной и той же суммы денег).

Поясним свойства сохранения массы и нетиражируемости более подробно.

Для непрерывных денег нетиражируемость эквивалентна закону сохранения общей суммы. Один и тот же объём денег в данный момент времени может находиться во владении только одного владельца. При передаче суммы денег от одного субъекта к другому сумма денег у передающего субъекта должна уменьшиться ровно настолько, насколько она увеличится у получающего субъекта.

Для дискретных денег свойство нетиражируемости зависит от того, являются ли частицы денег различимыми или неразличимыми. Частицы денег являются различимыми, если частица денег обладает набором атрибутов, делающим её уникальной в полном множестве обращающихся частиц денег. Неразличимыми являются частицы денег, все атрибуты которых идентичны.

Для дискретных денег с неразличимыми частицами свойство нетиражируемости выражается в законе сохранения общего числа частиц денег. При передаче определенного числа частиц денег от одного субъекта другому число частиц денег у передающего субъекта должно уменьшиться ровно настолько, насколько оно увеличится у получающего субъекта.

Для дискретных денег с различными частицами свойство нетиражируемости выражается в требовании монопольного владения. Данная (уникальная) частица денег в данный момент времени может находится только у одного владельца. При передаче частицы денег от одного владельца другому такая частица после передачи должна исчезнуть из владения передающего субъекта и появиться у получающего.

Социальный характер денег и наличие рассмотренных выше свойств, более присущих объектам материального мира, позволяют рассматривать деньги как «социальную материю». Которая создаётся и уничтожается эмитентом, и при расчётах передаётся без изменения общей массы между рассчитывающимися сторонами.

Сведя вместе приведенные выше пояснения, приходим к определению денег как нефизической социальной материи, характеризуемой валютой, создаваемой и уничтожаемой эмитентом, измеряемой суммой и подчиняющейся закону сохранения общей суммы в процессах передачи. Существование и обращение которой возможно только в пределах определённого социума на основании общественного договора.

Отметим, что определённые таким образом деньги имеют нефизический характер, а следовательно не могут находиться в обращении, поскольку обращение денег подразумевает взаимодействия с ними человека (получение, хранение, передача). Такое взаимодействие возможно только для материальных объектов физического мира.

В обращении находятся не абстрактные деньги, а конкретные физические представления денег, допускающие взаимодействие с ними человека. Примерами таких физических представлений денег являются хорошо известные монеты и купюры, остаток средств на счёте в виде физической записи на сервере кредитной организации, остаток цифровых денег в виде физической записи в памяти цифрового кошелька.

Вышеприведенное общее определение описывает деньги как абстрактный класс, не допускающий создания экземпляров (инстансов). Тогда как физические представления денег можно рассматривать как экземпляры инстанцируемых (неабстрактных) подклассов, дочерних абстрактным подклассам, соответствующим различным типам денег.

1.2. Определение понятия «цифровые деньги»

Основываясь на общем понятии денег, введённом выше, рассмотрим классификацию типов денег и следующие из неё производные классы денег. Для классификации используем два бинарных критерия: наличные/безналичные и материальные/нематериальные деньги.

Определим наличные деньги как форму денег, для которой Владелец денег одновременно является субъектом, который ими управляет. Если данное условие не выполняется, и деньги по поручению их Владельца находятся под управлением другого лица (Оператора счета), будем считать деньги безналичными.

Под материальными будем понимать формы денег, для которых информация о количестве денег (номинале) неизменна, неотрывно связана, хранится и передается вместе с каким-либо материальным объектом (монетой, банкнотой), существующим (вместе с номиналом) в единственном некопируемом экземпляре.

Нематериальными деньгами определим форму, для которой неприменим хотя бы один критерий определения материальных денег.

Результирующая иерархия классов денег показана на рисунке выше (Рисунок 2). Зелёным цветом выделен инстанцируемый подкласс, реализующий физическое представление подкласса непрерывных цифровых денег на определённой модели цифрового кошелька.

Производный класс «наличные нематериальные деньги» является основой для определения цифровых денег. Определим цифровые деньги как подкласс 5 наличных нематериальных денег, отличительным признаком которого является то, что информация о количестве денег и их движениях хранится и обрабатывается в электронном (цифровом) представлении при помощи специализированного носителя – Цифрового кошелька 6 (ЦК).

По аналогии с материальными наличными деньгами, статус национальных ЦД в качестве средства платежа должен обеспечиваться законодательным признанием ЦД законным средством платежа и административным ресурсом государства, которое должно обеспечивать обязательность ЦД к приёму 7, а также безусловно принимать ЦД в качестве средства расчётов при оплате собственных требований (налоги, штрафы).

Особенность ЦД в том, что с ЦК не связан фиксированный номинал и по сути ЦК функционально близок к материальному кошельку, используемому для хранения материальных денег.

В случае ЦД возможны 2 режима передачи денег между владельцами. Типовым режимом является передача ЦД между двумя ЦК, однако в определённых случаях ЦД могут передаваться в результате физической передачи ЦК от одного лица другому.

Нахождение ЦК в распоряжении владельца денег не означает, что ЦК как физический объект находится в его руках. Например, ЦК может быть реализован в форме облачного сервиса.

Цифровой кошелёк дает возможность использовать для управления деньгами вычислительные и криптографические средства, что позволяет обогатить ЦК широким спектром дополнительных функций. Логическая организационная архитектура НСЦД, показывающая основные роли, приведена на рисунке выше (Рисунок 3) 8.

1.3. Техническая архитектура НСЦД

Возможный вариант технической архитектуры НСЦД показан ниже (Рисунок 4). Оттенками зелёного выделены компоненты НСЦД, находящиеся в защищённом «операционном подпространстве». В нём происходят все основные события «мира ЦД» (эмиссия, передача и абсорбция ЦД) и «живут» приложения, управляющие ЦД (Менеджер ЦК, Менеджер эмиссионного центра (ЭЦ)).

Взаимодействие пользователя с объектами защищённого подпространства происходит исключительно через набор стандартных интерфейсов, предоставляемых ЦК или ЭЦ, обеспечивающих пользователю возможность выполнения полного набора допустимых правилами НСЦД операций с ЦД.

С целью защиты от несанкционированного доступа в обход стандартных интерфейсов приложения и данные ЦК и ЭЦ располагаются в защищённой области памяти криптомодулей, на базе которых реализованы ЦК и ЭЦ.

Внутри операционного подпространства ЦД взаимодействие между его объектами осуществляется по протоколам, поддерживаемым на уровне приложений, обеспечивающих необходимую транзакционность и выполнение правил НСЦД.

Все операции, необходимые для эмиссии, передачи и абсорбции ЦД, реализуются в виде предопределенных транзакций, спроектированных так, чтобы обеспечить необходимую функциональность и механизмы защиты НСЦД.

3. СИСТЕМА БЕЗОПАСНОСТИ НПС

Наличие эффективной системы безопасности является ключевым условием работоспособности НПС. Кроме того, сложность НПС как системы неизбежно увеличивает число возможных направлений атаки, что делает необходимым построение именно всесторонней системы безопасности, не содержащей уязвимостей и слабых мест.

Анализ, проведённый специалистами коммерческих банков на примере систем дистанционного банковского обслуживания (ДБО), показал, что ни одна из технических мер в отдельности не обеспечивает достаточной защиты. Более того, слепая вера в технические средства скорее является источником угрозы, т.к создаёт ложное чувство безопасности.

Ситуация дополнительно осложняется тем, что подавляющее большинство пользователей систем ДБО не уделяет вопросам безопасности достаточного внимания. Кроме того, любые дополнительные меры безопасности в силу своей природы неизбежно приводят к усложнению процесса работы с системой и удорожанию услуги.

Применяя результаты, полученные для ДБО, к НПС, приходим к выводу, что система безопасности НПС должна быть основана на комплексе мер, включающем совокупность направлений, мероприятий, средств и способов:

  • технические, аппаратные, программные, криптографические средства и защищённые средства персонального доступа;
  • регистрация инцидентов, мониторинг поведения клиентов и обнаружение фрода;
  • законодательные и нормативно- правовые мероприятия;
  • обучение пользователей;
  • обмен информацией и кооперация на национальном и международном уровнях;
  • рейтингование пользователей, управление лимитами и ограничение остатков средств, доступных по каналам с повышенным уровнем риска;
  • оповещение пользователей и т.д. Следует подчеркнуть обязательный кооперативный характер системы безопасности НПС как на национальном, так и, учитывая процессы глобализации, на международном уровне. В вопросах безопасности участники НПС должны выступать как союзники, а не конкуренты!

Еще одно обязательное условие эффективности системы безопасности НПС – это её сбалансированность. Для системы безопасности НПС, как и для системы безопасности любой сервисной системы, задачей является не исключение любой ценой даже минимальной возможности преступлений, а нахождения оптимального баланса между риском потерь для клиентов и участников НПС и удобством и/или стоимостью использования сервисов НПС. Подчеркнём, что речь идет как о сбалансированности системы безопасности НПС в целом, так и на уровне отдельного клиента, который должен иметь возможность самостоятельно и под свою ответственность определять приемлемый для себя баланс рисков, удобства и стоимости.

Так как преступность имеет, как правило, экономический характер (взломы без корыстной составляющей, из хулиганских побуждений, здесь не рассматриваются), и мотивация преступника в основном основана на корысти – желании получить как можно больше денег с минимальными трудозатратами и риском наказания, – система безопасности должна базироваться на экономической демотивации преступников.

Следует учитывать, что:

  • для злоумышленника хищение имеет смысл, только если ожидаемая прибыль положительна; ожидаемая прибыль определяется как ожидаемый доход за вычетом стоимости атаки, в которую включаются затраты на преодоление системы защиты, трудоёмкость проведения операции и оценённые в денежном выражении риски злоумышленника (Рисунок 5);

  • для клиента использование сервисов НПС имеет смысл, только если ожидаемый эффект положителен; ожидаемый эффект определяется как оценённая в денежном выражении добавочная стоимость от использования сервисов (экономия времени и т.п.) за вычетом стоимости использования, которая включает прямые затраты (комиссии) и стоимость использования средств защиты, в которые включается стоимость проведения операций и стоимость владения средствами защиты;

♦ для клиента защита от хищения имеет смысл, только если ожидаемые потери превышают стоимость использования средств защиты, в которую включается стоимость проведения операций и стоимость владения средствами защиты; основная цель мероприятий по защите НПС должна состоять в том, чтобы сделать отрицательной ожидаемую прибыль преступника при сохранении для клиента положительного ожидаемого эффекта от использования сервисов НПС и смысла использования средств защиты.

Отсюда вытекает, что экономически обоснованная система защиты НПС должна использовать уровни защиты, соответствующие рискам. В частности, для транзакций с разными рисками должны использоваться разные уровни защиты. Кроме того, учитывая разный подход клиентов к оценке риска («аппетит» к риску), клиент должен иметь возможность выбрать (в пределах разрешенного диапазона, установленного сервис-провайдером) оптимальный для него баланс между удобством использования сервисов и уровнем защиты. Причём ответственность за такой выбор ложится только на клиента.

Ключевую роль в задаче построения комплексной системы безопасности НПС играет законодательное регулирование, основная цель которого должна заключаться в том, чтобы выстроить сбалансированную систему. В ней все стороны равно защищены, а распределение прав, обязанностей и ответственности между сторонами справедливо.

Одним из основных принципов законодательного обеспечения системы безопасности НПС является принцип неотвратимости наказания. Ни одна из сторон, участвующих в предоставлении и потреблении сервисов НПС, не должна иметь возможности безнаказанного обогащения путем совершения преступных действий.

Существенной, с точки зрения построения системы безопасности, особенностью НПС является преимущественно дистанционный характер взаимодействий. В результате чего риски нарушения безопасности могут возникать в областях, находящихся в зоне контроля как участников, так и пользователей НПС. Эта ситуация принципиально отличается от ситуации, когда пользователь физически присутствует при проведении операции и в зоне контроля пользователя рисков нарушения безопасности нет.

В связи с этой особенностью возникает необходимость чёткого определения зон ответственности таким образом, чтобы каждый участник и/или пользователь сервисов НПС нёс полную ответственность за выполнение всех обязанностей в своей и только своей зоне ответственности.

К этому следует добавить, что ответственность должна быть обоснованной. Участник или пользователь НПС не должен нести ответственности за факторы, находящиеся вне его контроля, и не должен быть обязан выполнять функции, которые он физически не может выполнить. Например, было бы неправильно возлагать на пользователя обязательство обеспечить корректную работу процедур аутентификации в информационной системе участника НПС. Равно как и требовать от участника НПС доказательства нарушения пользователем порядка использования средств обеспечения безопасности, находящихся вне информационной системы и контроля участника.

Из вышесказанного вытекает, что, с учётом объективно неизбежного распределения ответственности за обеспечение безопасности, следует признать неприменимым принцип невозможности возложить ответственность за обеспечение безопасности на пользователя в связи с его предполагаемой неспособностью правильно использовать сложную систему и средства безопасности. Если этот принцип остаётся, задача создания эффективной системы безопасности НПС становится принципиально неразрешимой.

Не менее важную роль, чем законодательство, для создания эффективной системы безопасности НПС играет детализация законодательных норм на уровне нормативно-правовых актов, издаваемых ведомством, уполномоченным осуществлять нормативное регулирование НПС.

Представляется разумным предоставить регулятору право установления минимальных требований к средствам обеспечения безопасности, используемым участниками НПС, в соответствии со следующими принципами:

  • регулятор устанавливает (например, путем издания стандартов) минимальный набор средств защиты, который участник НПС должен предоставлять пользователям. Подобный минимальный набор средств определяется таким образом, чтобы в случае строгого соблюдения клиентом всех правил использования средств безопасности, установленных участником НПС, риск потерь при использовании сервисов НПС не превышал бы некоторую предопределенную достаточно малую величину;
  • регулятор контролирует выполнение участниками НПС минимальных требований обеспечения безопасности и может запретить участнику, полностью или частично не выполняющему минимальные требования, осуществлять все или часть операций;
  • участник обязан предоставить пользователю возможность получения полной и изложенной в доступной для понимания обычным пользователем форме информации о рисках, основных и дополнительных средствах защиты, правилах использования средств защиты и оборудования, используемого при проведении операции и т. п.;
  • участник может (но не обязан) предоставить пользователю возможность использовать дополнительные средства обеспечения безопасности;
  • пользователь обязан использовать средства безопасности из минимального набора в соответствии с порядком, установленным участником. По своему усмотрению пользователь может использовать дополнительные средства защиты, если таковые предлагаются участником;
  • в случае, если при исполнении участником поручения клиента на проведение операции участник:

(1) обеспечил минимальный набор средств безопасности в соответствии с требованиями регулятора;
(2) проинформировал пользователя о рисках и порядке использования средств безопасности;
(3) убедился, что пользователем выполнены все требования в части безопасности, выполнение которых участник может проверить;
(4) выполнил все требования по обеспечению безопасности, находящиеся в его зоне ответственности – вся ответственность за проведённую операцию возлагается на пользователя;

  • в случае, если участник не выполнил хотя бы одно из вышеперечисленных обязательств, ответственность в случае опротестования пользователем операции возлагается на него.

--------------------------------------------------------------------------------------------------

1 Физическое лицо, юридическое лицо, индивидуальный предприниматель и т.д.

2 Архитектура НПС показана в более широком контексте, включающем компоненты технологической инфраструктуры экономики в целом.

3 Валюта может рассматриваться как синоним денег, используемых в рамках определённого социума и регулируемых определёнными законами.

4 Аналог закона сохранения массы физической материи.

Теоретически возможно существование других подклассов нематериальных наличных денег, отличных от подкласса цифровых денег.

Под ЦК здесь и далее понимается аппаратно-программный комплекс на основе криптомодуля, находящийся под управлением владельца денег, обеспечивающий последнему возможность управления ЦД, включая хранение информации о количестве ЦД, получение и передачу ЦД, а также механизмы обеспечения безопасности НСЦД, в т.ч. исключающие несанкционированную эмиссию.

7 С оговоркой на наличие технической возможности. Видимо, обязательность приёма должна вводиться постепенно, рыночными мерами по мере формирования инфраструктуры, необходимой для работы с цифровыми деньгами.

8 Более подробно см.[3].

 

ЛИТЕРАТУРА

[1] К.Т. Сумманен, «Развитие национальной платёжной системы в долгосрочной перспективе» // «Национальная платёжная система. Бизнес-энциклопедия», Центр исследования платёжных систем и расчетов, ред.-сост. А.С. Воронин, Кнорус, Москва, 2013, ISBN 978-5-40602526-0, глава 11, с. 323.

[2] К.Т. Сумманен, «Концепция национальной инвойсинговой системы»//Connect. Мир связи, публикация на сайте журнала, http://www.connect.ru/static.asp?id=668.

[3] К.Т. Сумманен «Национальная система цифровых денег: step-by-step»// PLUS, № 6 (182), июль 2012.

 

Смотрите также

Щедрость по разуму

24 декабря, 2012

Учить или не учить?

4 декабря, 2012

Very nice = muito bem*

21 сентября, 2012
Подпишись на новости!
Подписаться