Мероприятие, проведенное 17 июня в Москве Медиа Группой «Авангард» под эгидой Банка России и ФСБ, было посвящено многосторонним аспектам создания инфраструктуры цифрового рубля. Оно призвано снять большое число наболевших вопросов со стороны банков — участников проекта «второй волны».
Спикеров и участников, делегированных регулирующими органами, кредитными учреждениями, вендорами и исследовательскими лабораториями, интересовали не классические русские вопросы «Кто виноват?» и «Что делать?», а вполне конструктивные: «Что встраивать и как встраивать?», «Как оценивать?» и «Как строить соответствующие банковские системы?». В ходе пленарного заседания и сессий активно обсудили различные компоненты платформы ЦР, требования информационной безопасности, проблемы корректного использования сертифицированных средств криптографической защиты информации (СКЗИ), ускорение процедур оценки влияния мобильных банковских приложений на работу данных средств со стороны специализированных организаций и многое другое.
От лица принимающей организации с приветственным словом к гостям обратился Первый проректор МГТУ им. Н. Э. Баумана, профессор Павел Дроговоз, подчеркнув важность создания национальной финансовой инфраструктуры и готовность коллектива вуза внести свой вклад: «Мы активно развиваем научные исследования и уже занимаемся прикладными разработками, а самое важное — мы готовим специалистов в этой сфере, то есть стремимся повысить плотность, концентрацию умных людей, носителей знаний, которые будут дальнейшими проводниками и создателями этих технических решений».
Было символично, что роль модератора пленарного заседания была поручена председателю правления Ассоциации российских банков Олегу Скворцову, охарактеризовавшему мероприятие как очень своевременное: у банков «второй волны» проекта «Цифровой рубль» накопилось немало вопросов, а «правильный состав» приглашенных экспертов позволит их прояснить.
Действуя с учетом безопасности и скорости процесса
Директор Департамента информационной безопасности Банка России Вадим Уваров напомнил присутствующим, что массовое использование цифрового рубля в стране начинается скоро — 1 сентября и рассказал о серьезном пути, который был пройден с системно значимыми кредитными организациями, разработчиками программного модуля Банка России (ПМБР) и лабораториями. Новые требования к информационной безопасности, предусматривающие обязательное использование ПМБР со средствами криптографической защиты информации на стороне клиентов, заложены в Положении Банка России №833-П. Там же содержится норма о наличии у финучреждений двухконтурной системы контроля электронных сообщений и удостоверяющих центров для выпуска клиентских сертификатов.
Со слов Уварова, цифровой рубль представляет собой уникальный для РФ проект, в том числе по масштабности использования отечественных криптографических средств за счет загрузки приложения в телефоны большим числом пользователей. При проведении платежей в контуре обработки и контуре контроля для подтверждения действий используется усиленная неквалифицированная электронная подпись. Внедряя третью форму национальной валюты, ЦБ стремится избавить банковский сектор от избыточной нагрузки и резких изменений регуляторных подходов.
В Стандарте платформы ЦР закреплена возможность проводить контроль изменения приложения, которое используется для работы с клиентом, без направления отчетных материалов на согласование с ФСБ, пояснил спикер. Если в процессе эксплуатации нарушаются установленные требования, то испытательная лаборатория имеет право направить в кредитную организацию уведомление о необходимости прекратить тиражирование текущей версии приложения клиента и инициировать проведение полного цикла работ по оценке влияния. Такой упрощенный порядок позволяет, во-первых, перераспределить часть функций между участниками процесса, и, во-вторых, оптимизировать сроки рассмотрения отчетных материалов по результатам оценки влияния.
От имени другого важного партнера Центробанка в нормативной сфере на пленарке выступил представитель 8 Центра ФСБ Алексей Петров. Он отметил фактор скорости принятия решений в реализации проекта ЦР. Когда банки пожаловались на технические проблемы, связанные с использованием мобильных приложений на своих операционных системах, регулирующий орган проявил понимание и внес поправки в процесс сертификации средств защиты.
Петров считает уместным в некоторых обстоятельствах не оставаться на жестких позициях, а создавать условия для правильного функционирования системы: «Мы нашли, на наш взгляд, оптимальный с точки зрения регуляторики метод, который позволяет, с одной стороны, обеспечить полностью ИБ, и, с другой стороны, — ускорить сам процесс сертификации мобильных приложений». К тому же подходами, выработанными в новаторском проекте, «сейчас уже пытаются пользоваться некоторые другие системы».
Массовая криптография строится по кирпичикам
Технология, используемая массово, должна быть готова к тому, что будет внезапный наплыв пользователей, что они будут ориентироваться на самый простой способ применения, негативно воспринимая любые усложнения со ссылками на безопасность, считает генеральный директор компании «КриптоПро» Станислав Смышляев: «Цифровой рубль стал одним из первых таких примеров. И те уроки, которые мы начали извлекать 1,5–2 года назад, не были тяжелыми, но определенно помогли сделать средства лучше и в диалоге с заказчиками, банками, ЦБ, нашими партнерами, интеграторами научиться находить баланс между удобством и безопасностью не на бумаге, а в реальности».
Эксперт привел пример с биологическим датчиком случайных чисел, применяемым в криптографии: пользователям не нравилось, что в случае с цифровым рублем требовалось несколько вызовов этого датчика. Разработчики пошли навстречу и оптимизировали пользовательский путь. Другой пример: раньше удостоверяющие центры не могли работать с массовым выпуском сертификатов автоматически и без задержек — сейчас такие решения появились. Так, по кирпичикам, создавался «фундамент и массовой криптографии, и нормального внедрения цифрового рубля». Нельзя говорить, что вообще отсутствуют недостатки, но и неразрешимых проблем нигде не видно.
Когда встал вопрос о совершенствовании технологий под нужды проекта ЦР, Центробанк «пошел не очень типовым для государственной структуры путем», заметил заместитель гендиректора «ИнфоТеКС» Дмитрий Гусев. Вместо того, чтобы назначать «одну единственную, самую лучшую» компанию разработчиков сервиса криптографической защиты, он объявил конкурс и выбрал три компании: саму «ИнфоТеКС», «КриптоПро» и «Валидата». Такой подход привел к положительным результатам, так как здоровая конкуренция «хорошо подстегивала и держала в тонусе». Со слов спикера, в итоге получилась полноценная реализация нетривиальных криптографических сервисов, которые действительно работают надежно.
«Реализуя эту конструкцию под названием “Программный модуль Банка России”, мы провели достаточно существенную работу, чтобы для разработчиков банковских приложений и систем превратить наши СКЗИ из достаточно сложных универсальных средств в инструменты, которые с помощью нескольких операций выполняют необходимый функционал», — заявил Гусев.
Реализация проекта ЦР не была «невыполнимой миссией» и не требовала таких титанических ресурсов, как, например, в случае с импортозамещением, отметил начальник Управления по обеспечению ИБ Департамента по обеспечению безопасности Банка ВТБ Дмитрий Самойленко. Драйвером было осознание своей роли первопроходца, желание показать себе и доказать регуляторам, что в рамках этих требований задачу решить можно. Большим плюсом было активное вовлечение в процесс топ-менеджмента. Спикер дал несколько рекомендаций для тех, «кто путь этот только начинает»: убедить руководство в особой важности задачи, подходить с умом в выборе вендоров и «построить прозрачный диалог с регулятором».
Есть решения на любой вкус
В ходе сессий участники имели возможность узнать о многих технических решениях компаний в области криптографии, типовом порядке подключения ИС банков к ЕСИА, архитектуре ИБ цифрового рубля, о контурах контроля и обработки и так далее. С докладами выступили гендиректор АНО «НТЦ ЦК» Игорь Качалин («Криптографические решения АНО НТЦ ЦК для платформы ЦР»), руководитель SDK Systems Алексей Александров («Практический опыт создания правильного окружения СКЗИ в инфраструктуре ЦР»), замдиректора Департамента развития технологий цифровой идентификации Минцифры Александр Смирнов («Работа с сертификатами безопасности в тестовом и продуктивном контурах ЕСИА»), замглавы АО «Современные Системы» Елена Смышляева («Мифы и реальность! Типовые решения по информационной безопасности — это возможно?») и другие.
Как модератор одной из сессий Дмитрий Гусев резюмировал сказанное о проблемах ценообразования и продвижении новаторских идей. Он выразил уверенность, что дальнейшее развитие проекта ЦР приведет к выработке некоторых оптимизационных схем: «Наша конкурентная борьба с коллегами хорошо нас подстегивает двигаться вперед, искать новые решения, объединять ранее разрозненные продукты, конструкции. Возможно, действительно получится уйти от этих десятков серверов, сократить их количество, и тем самым сделать решение более доступным и легким в обслуживании».
Гендиректор компании SDK Systems Алексей Александров, отвечая на вопрос нашего издания,высоко оценил мероприятие за содержательную тематику и представительный состав участников с точки зрения регуляторов. С его слов, SDK Systems завершила более десяти проектов по созданию защищенной инфраструктуры, используя типовой подход и собственные лучшие практики, которые известны и одобрены Департаментом информационной безопасности ЦБ.
«Банк России последние несколько лет последовательно проводит политику, в которой информационная безопасность становится одним из краеугольных камней, а требования в этой сфере все более усиливаются, — добавил эксперт. — Цифровой рубль в этом отношении стал, наверное, сейчас рекордсменом. Во многих выступлениях спикеров, в том числе в моем докладе на схемах было показано, сколько средств защиты применяется в цифровом рубле — они задействованы в беспрецедентно огромном количестве. Не будет преувеличением сказать, что массовая криптография — это настоящий революционный прорыв, технологический скачок. В мобильных приложениях банков, которыми пользуются практически все граждане России, появляется криптография — мощный инструмент для построения системы защиты».
Мы попросили дать комментарий о событии и Анастасию Строкову, коммерческого директора R-Style Softlab. Компания является вендором автоматизированной банковской системы, ДБО, а также адаптера цифрового рубля. Выступая в качестве докладчика, она постаралась представить участникам свой взгляд на оценку влияния в рамках проекта ЦР доходчивым, понятным прежде всего для малых банков языком. Как отметила Строкова, у компании есть несколько готовых архитектурных решений — от базовых до достаточно дорогих, отказоустойчивых, рассчитанных на разные варианты реализации проекта по суммам и срокам. Опровергая ошибочное мнение о наличии на рынке лишь какой-то одной дорогой схемы, вендор готов подобрать решение на любой бюджет, которое будут устраивать и регулятора. Его кредо — поставлять среди прочего и минимальные, доступные конфигурации, которые любой банк сможет реализовать в короткие сроки.
.jpg)
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
