8 (495) 705-99-99

АО «НСПК» - оператор платежной системы «Мир»

8 800 100 54 64

Поддержка держателей карт «Мир»
EN

8 (495) 705-99-99

АО «НСПК» - оператор платежной системы «Мир»

8 800 100 54 64

Поддержка держателей карт «Мир»

Анна Гольдштейн: Система быстрых платежей защищена на различных уровнях

24 Июня 2019

Система быстрых платежей (СБП) имеет целый набор инструментов для обеспечения безопасности всех ее участников. Защита сервиса обеспечивается на различных уровнях. Об этом представитель Национальной системы платежных карт (НСПК) Анна Гольдштейн рассказала на Международном конгрессе по кибербезопасности (ICC). Оператором и расчетным центром СБП выступает Банк России, НСПК является операционным платежным и клиринговым центром (ОПКЦ).

«С самого начала при проработке технологии обработки платежей мы следовали следующему принципу: чем больше рисков закрыто с самого начала, тем надежнее защищен сервис. Это общий подход Банка России в части национальной платежной системы - к ее защите должны быть применены не только меры информационной безопасности и меры защиты антифрода, но и меры технологической безопасности. К ним относятся электронная подпись сообщений, несколько контуров контроля, дополнительные элементы данных, используемые для проверки целостности реквизитов сообщений, контроль дубликатов и так далее - много мер, которые мы в итоге реализовывали. Другим вызовом стало то, что к ОПКЦ СБП предъявляются высочайшие требования по производительности и надежности, которым, очевидно, должны отвечать и реализуемые методы защиты. По параметрам производительности, гибкости архитектуры и надежности было принято решение внедрять средства контроля защищенности информации для подписи и шифрования сообщений на прикладном уровне. Но поскольку у рынка не было на тот момент опыта практической эксплуатации решения круглосуточной поддержки сервиса переводов, которое ранее применялось только в Банке России, необходимо было организовать его поддержку для всего финансового сектора, потому что любая технология в контуре платежа должна поддерживаться в режиме ‪24/7. В целом, пришлось решить много вопросов для реализации необходимого уровня защиты в СБП. Это стало возможным, в первую очередь, благодаря совместной работе Банка России, НСПК и банков-участников ассоциации «ФинТех», которые первыми приступили к тестированию СБП», - поделилась накопленным в НСПК опытом Гольдштейн.

Она отметила, что удалось успешно решить и ряд вопросов в отношении антифрода.

«Большинство из них было связано с производительностью: с выбором мест – где, в каких точках потока сообщений в рамках выполнения операции перевода брать данные для того, чтобы успевать их обрабатывать и давать ответы в нужный период времени, какие для этого средства использовать. В итоге мы решаем эту задачу гибридным способом, то есть используем одновременно модуль собственной разработки и наработки внешнего поставщика», - обратила внимание Гольдштейн.

По ее словам, с точки зрения безопасности, одно из главных отличий межбанковских p2p-переводов от внутрибанковских платежей заключается в том, что банк плательщика даже с самыми развитыми системами антифрода не обладает информацией о получателе перевода.

«Эта задача – общая для всех межбанковских переводов, и она может решаться только путем объединения информации антифродов двух сторон, то есть банка плательщика и банка получателя. Для этого нужна возможность обмена информацией, и мы технологически заложили ее при построении Системы быстрых платежей. Перед НСПК как операционным клиринговым центром не стоит прямой задачи защиты конкретного клиента банка - мы говорим об эшелонированном антифроде, когда каждый участник СБП на своем уровне закрывает свой набор рисков, а ОПКЦ - свой. Например, банк защищает своих клиентов, это его прямая обязанность. Для того, чтобы банк мог это делать эффективно, мы добавили возможность обмена информацией по оценке рисков – таково косвенное участие Банка России и НСПК в этом процессе», - пояснила Гольдштейн.

Она также отметила, что основной задачей в общих процессах антифрода в СБП, поставленной Банком России перед Национальной системой платежных карт в роли ОПКЦ, является защита банков – участников СБП, в том числе противодействие массовым выводам денежных средств и обеспечение безопасности данных их клиентов, использующих СБП.

В ответ на вопрос о возможных рисках, связанных с атаками, направленными на получение информации о счетах клиентов, Анна Гольдштейн отметила: «Такие атаки не являются специфичными именно для сервисов межбанковских переводов. Почти в любом розничном банке, который поддерживает дистанционные каналы обслуживания, есть сервис отправки денег по номеру телефона. Злоумышленники могут пытаться использовать данную возможность для получения информации о наличии в конкретном банке счета клиента с заданным номером телефона. Для противодействия этому в Системе быстрых платежей заложен эшелонированный механизм. Это значит, что банки продолжают в рамках собственных процессов антифрода выявлять попытки сканирования информации своими клиентами о счетах других клиентов вне зависимости от используемого для этого канала - внутрибанк или межбанк, включая СБП. Это первая линия обороны. Вторая линия – это ОПКЦ, где в онлайне работают механизмы, которые выявляют попытки скана, то есть нетипичные операции, целью которых является не перевод денежных средств, а попытка узнать информацию о счете клиента. Такие операции блокируются на некоторое время в соответствии с полномочиями НСПК от Банка России. В целом мы видим, что антифрод-решения банков работают успешно, до нашей линии долетают единичные случаи».