Проекты Положений ЦБ о платформе Цифрового рубля. Что нужно знать?

Алексей Филиппов
Методолог по ИБ AKTIV.CONSULTING

Летом этого года Банк России опубликовал два проекта Положений:

1. О платформе цифрового рубля.
2. О требованиях к обеспечению защиты информации для участников платформы цифрового рубля.

И если первый проект был рассмотрен и широко освещен во многих средствах массовой информации, то второй незаслуженно обошли стороной и редко упоминали в СМИ.

Давайте восполним этот пробел и разберемся в основных моментах этих двух проектов Положений.

Начнем с основного: что представляет собой цифровой рубль?

Цифровой рубль — это цифровое представление российской национальной валюты, которую ЦБ РФ планирует выпускать в дополнение к существующим формам денег. Всего у национальной валюты 3 формы: наличная, безналичная и цифровая — и все они равноценны. В отличие от безналичной формы рубля цифровой рубль будет храниться именно в Банке России, а не у банков-участников.

Платформа цифрового рубля по сути представляет собой систему взаимодействия между ЦБ и пользователями платформы. Она, как и аналогичные платформы, будет представлена в виде удобного для пользователя приложения, доступ и бесперебойное функционирование которого будут обеспечивать посредники между ЦБ и пользователями – банки-участники цифровой платформы.

Для чего нужен цифровой рубль?

Для обычных пользователей (физических и юридических лиц) платформа позволит создать единый счет («кошелек») у оператора платформы (Банка России) через посредника (банка-участника).

Доступ к счету будет возможен через любой банк, участвующий в проекте по цифровому рублю. Такой вариант является несомненным плюсом для конечного пользователя при осуществлении переводов и платежей. Но важно знать, что для открытия такого счета пользователи должны будут пройти идентификацию через ЕСИА «Госуслуги».

На текущий момент, перечень банков-участников пилотного проекта по цифровому рублю включает:

• АО «АЛЬФА-БАНК»;
• АО «Банк ДОМ.РФ»;
• АО Ингосстрах Банк;
• Банк ВТБ (ПАО);
• Банк ГПБ (АО);
• КИВИ Банк (АО);
• ПАО «АК БАРС» БАНК;
• ПАО «МТС-Банк»;
• ПАО «Промсвязьбанк»;
• ПАО «Совкомбанк»;
• ПАО Банк Синара;
• ПАО РОСБАНК;
• ТКБ БАНК ПАО.

Обратим внимание, что в Сбер и Тинькофф не принимают участие в тестировании цифрового рубля, хотя изначально были заявлены в пилотной группе.

В чем плюсы цифрового рубля?

Для государства цифровой рубль является перспективным инструментом, который поможет упростить трансграничные платежи, в том числе минуя международную систему SWIFT.

Преимуществом же для банков-участников платформы станет повышение своей конкурентоспособности на рынке, благодаря созданию инновационных продуктов и новой платежной инфраструктуры.

Как защищать платформу цифрового рубля?

С появлением цифрового рубля возникнут новые требования по обеспечению защиты информации, которые банки-участники должны будут исполнить. И здесь стоит подробнее рассмотреть Положение о требованиях к обеспечению защиты информации для участников платформы цифрового рубля:

1. В проекте Положения говорится о том, что участники цифровой платформы должны размещать свою инфраструктуру, обеспечивающую операции с цифровым рублем, в выделенных сегментах сети. Для защиты инфраструктуры будет необходимо опираться на ГОСТ Р 57580.1. Данный документ знаком участникам рынка, и его требования уже давно выполняются в рамках иных финансовых операций.
2. К инфраструктуре, обеспечивающей операции с цифровым рублем, предъявляются требования стандартного (2) уровня защиты информации. В то же время значимые кредитные организации должны будут применять меры усиленного (1) уровня защиты информации.
3. Участники должны проводить оценку соответствия требованиям к защите информации не реже 1 раза в 2 года, с привлечением лицензиата по технической защите конфиденциальной информации.
4. На данный момент уровень оценки соответствия защиты информации должен быть не ниже 3 для всех участников, а с 1 января 2024 года — не ниже 4.
5. Участники должны обеспечить ежегодный пентест и анализ уязвимостей выделенных сегментов.
6. В рамках проекта предъявляются также требования к защите с использованием средств криптографической защиты информации (СКЗИ).

Из всего вышесказанного можно сделать вывод, что для банков-участников данные предписания уже знакомы, и выполнить их будет несложно. И хотя исполнение таких требований неминуемо приведет к финансовым и временным тратам внутри организаций-участников, реализация платформы цифрового рубля может привлечь банкам много новых клиентов и нивелировать затраты.

Возможные риски с точки зрения кибербезопасности

Даже несмотря на приведенные выше требования ЦБ по обеспечению безопасности информации, нужно понимать, что это не панацея. По мере роста популярности цифрового рубля возможно появление новых схем преступной деятельности. Для этого прежде всего могут использовать низкий уровень осведомленности населения о том, как работает новая форма денег, что в итоге приведет к созданию мошеннических сайтов и возникновению лже-консультантов по вопросам работы с цифровым рублем.

Несмотря на высокий уровень защиты системы, всё ещё невозможно исключить риск социальной инженерии, когда человек сам предоставляет преступникам свои конфиденциальные данные и доступ к счету. И хоть в случае с цифровыми деньгами отследить мошенников будет проще, это их вряд ли остановит. На каждый вариант защиты они придумают несколько новых идей, как эту защиту обойти.

Решение данной проблемы уже давно известно: необходимо повышать уровень грамотности населения в области кибербезопасности. И это касается не только цифрового рубля, но и финансовой системы в целом.