Банк России определил, как кредитные организации должны будут защищать операции с цифровым рублем. По мнению экспертов, для небольших банков без филиалов затраты на организацию инфраструктуры могут достичь 100 млн руб. и вряд ли окупятся. При этом участники рынка отмечают, что предложенные регулятором меры будут малоэффективны против мошенничества, включая главную проблему финансового рынка — социальную инженерию.
Фото: Антон Новодерёжкин, Коммерсантъ
В опубликованном в конце прошлой недели проекте положения ЦБ РФ установил ряд требований для банков по защите информации при операциях с цифровыми рублями.
Участники платформы цифрового рубля (прежде всего кредитные организации) при обеспечении возможности совершения операций с цифровыми рублями должны размещать объекты информационной инфраструктуры в выделенных сегментах вычислительных сетей. Причем для таких объектов у системно значимых кредитных организаций и организаций, значимых на рынке платежных услуг, реализуется усиленный уровень защиты информации, предусмотренный нормативными актами. Для других участников платформы предполагается стандартный уровень защиты информации.
Также проект подробно регламентирует требования к лицам, имеющим доступ к информации, обеспечение защиты передачи сообщений, в том числе к электронным средствам, используемым пользователями платформы, устанавливает ряд других технических требований. Участники платформы цифрового рубля должны хранить входящие и исходящие электронные сообщения не менее пяти лет.
Эльвира Набиуллина, председатель Банка России, об отношении общества к цифровому рублю, 21 июля:
«Да, есть некоторый скепсис, но мы его видели при практически любых новациях на финансовом рынке».
Закон о цифровом рубле был внесен в Госдуму в конце прошлого года. Предполагалось, что пилотный проект банков по использованию реальных цифровых рублей начнется в феврале. Однако в первом чтении закон был принят только в середине марта, а ко второму претерпел серьезные изменения. В частности, цифровые кошельки уступили место цифровым счетам, а банки обязали бороться с мошенничеством при операциях с цифровыми рублями (см. “Ъ” от 28 июня). Финальную версию закона Владимир Путин подписал 24 июля.
Цифровой рубль — форма денег, наравне с наличным и безналичным рублем. Цифровые счета будут открываться в ЦБ, но через приложение любого банка. Цифровые рубли нельзя положить в банк под проценты и в них нельзя получить кредит. Предполагается, что на цифровой счет можно положить до 300 тыс. руб. в месяц, ограничения по снятию цифровых рублей пока не определены. Переводы и платежи для граждан будут бесплатными, а для магазинов комиссия, предположительно, не превысит 0,3%. Пилотный проект использования цифровых рублей ЦБ планирует начать в августе с 13 банками.
Специалисты по информбезопасности (ИБ) считают, что в целом проект ЦБ выглядит «достаточно системным». По мнению управляющего RTM Group Евгения Царева, перестраивать инфраструктуру банкам значительно не придется, но потребуется выделить еще один сегмент информационных систем, оборудования и ресурсов. «Для внедрения новых элементов инфраструктуры, включая сервера, инструменты обеспечения безопасности, а также привлечение новых специалистов, потребуются деньги и время»,— подчеркивает он.
По оценке господина Царева, у средних банков без филиалов расходы могут достичь 100 млн руб., а у крупных (с филиалами, распределенной структурой и т. д.) — превысят эту планку. К расходам добавится и «регулярный обязательный аудит ИБ, который необходимо проводить раз в два года, средняя стоимость его сегодня составляет миллион рублей», уточняет эксперт.
Не для всех банков такие затраты будут оправданны.
Как полагает вице-президент Ассоциации банков России (АБР) Алексей Войлуков, «чем меньше банк, тем больше для него в относительном выражении будут затраты». Он допускает, что для небольших банков такие затраты не окупятся, так как объем операций в цифровых рублях у них будет минимальным.
Вместе с тем эксперты отмечают, что в положении ЦБ мало внимания уделяется вопросам противодействия финансовому мошенничеству. Как обращает внимание специалист компании F.A.С.С.T. по противодействию финансовому мошенничеству Дмитрий Дудков, «в качестве одной из мер назван сбор и контроль цифровых отпечатков на стороне банков—участников платформы». По его словам, «это может затруднить злоумышленникам возможности по перехвату и угону учетных данных клиентов», однако никак «не защищает их от преступлений, связанных с использованием социальной инженерии». Между тем этот вид мошенничества остается преобладающим на финансовом рынке.