Вопросы безопасности электронных платежных систем являются сложной задачей для финансового сектора и регуляторов. Существуют две серьезные проблемы – несанкционированные списания средств с банковских карт или счетов юридических лиц и общая гарантия сохранности платежей, совершаемых через небанковские системы переводы платежей. Принимаемые в последние годы меры смогли сделать электронные переводы более безопасными.

Как работает ЭПС

Под термином «электронная платежная система» (ЭПС) понимается система расчетов, при которой платежи проводятся по интернет-каналам, традиционной обработки платежных поручений не происходит. 

Под это определение попадают:

• расчеты посредством банковских карт традиционных систем Visa, MasterCard, «Мир». Здесь при абсолютной гарантии защиты трансакций возникает проблема несанкционированных списаний в результате перехвата трафика или получения номеров карт;
• программы межбанковских расчетов по электронным каналам связи, в том числе быстрых платежей, осуществляемых банками по номерам телефонов;
• расчеты через электронные кошельки (Яндекс.Деньги и другие);
• расчеты через инфраструктуру мобильных операторов и другие современные решения.

В Банке России организовано несколько моделей платежей по Интернету. Это программа внутрирегиональных расчетов по сети Интернет (ВЭР) и межрегиональных электронных расчетов (МЭР). Для крупных срочных платежей в России в 2007 году создана идеология банковских срочных платежей (БЭСП). Она является аналогом европейской программы RTGS. Подключенные к ней банки переводят друг другу крупные суммы с целью перечисления клиентам в течение одного операционного дня. 

Информационная безопасность электронных платежных систем обеспечивается требованиями, предъявляемыми к банкам-участникам: 

• наличие корреспондентского счета в ЦБ РФ;
• действующая лицензия на осуществление банковской деятельности;
• отсутствие просроченных долгов перед ЦБ РФ;
• обмен сообщениями по установленному механизму коммуникации с Банком России на основе договора;
• соответствие ИС банка техническим требованиям и требованиям по ИБ кредитных организаций, предъявляемым ЦБ РФ.

Требования формулируются в Положениях Банка России и являются обязательными для исполнения. Отказ от выполнения требований может привести к полному или частичному отключению банка от технологии БЭСП.

Общие принципы ИБ механизмов дистанционных переводов

Если говорить об защите от несанкционированных переводов ЭПС в общем, то вне зависимости от уровня каждой конкретной модели к ним действуют единообразные требования. 

Среди наиболее уязвимых мест:

• интернет-трафик между участниками обмена электронными сообщениями о финансовых трансакциях (банками, операторами платежных кошельков, банкоматами, клиентами);
• обработка информации внутри банка или оператора (например, Яндекс.Денег), когда данные могут оказаться доступными сотрудникам;
• постоянная доступность систем платежей для клиентов, отсутствие сбоев в их работе и на линии связи.

Наличие этих уязвимостей вынуждает банки и операторов обеспечивать защиту трафика при пересылке доступными способами (передача по защищенным каналам, шифрование) и разрабатывать модели аутентификации отправителя и получателя средств. 

При этом в работе банка или оператора платежей возникают проблемы:

• определение взаимной подлинности участников трансакции при установлении соединения;
• обеспечение конфиденциальности и подлинности платежных поручений, отправляемых по интернету, и других документов;
• защита процесса отправки, формирование доказательств отправления и получения документов;
• обеспечение исполнения документа (например, постоянное нахождение остатка на корреспондентском счете банка, позволяющее организовать платеж).

Банк и оператор ЭПС обязаны реализовать механизмы защиты клиентов от несанкционированных списаний денежных средств, конкретные требования к которым определяются политиками операторов и регламентами ЦБ РФ:

• управление доступом клиента, сотрудников оператора и получателя, создание механизма аутентификации;
• контроль подлинности и целостности информации в сообщении;
• обеспечение конфиденциальности сведений в процессе передачи;
• невозможность отказаться от авторства поручения на отправку средств или сообщения;
• гарантии доступа к ресурсам и неутраты сообщения в пути, его доставки;
• невозможность оператора или банка отказаться от исполнения поручения на перевод или платеж;
• сохранение данных по поручениям и сообщениям.

Для осуществления платежей посредством банковских карт международные системы переводов применяют собственные меры ИБ межкарточных переводов, корреспондирующие с требованиями Банка России. Для иных операторов безбумажных платежей, совершающих более 6 миллионов переводов в год, работает программа сертификации Qualified Security Assessor (QSA). 

В России работают представительства нескольких организаций, имеющих право на выдачу сертификата, и он будет предоставлен, если оператор соответствует следующим требованиям:

• его деятельность соответствует международному стандарту Payment Card Industry Data Security Standard (PCI DSS);
• оператор сервиса платежей получил сертификат на соответствие международным требованиям к менеджменту ИБ кредитных организаций в сфере разработки, внедрения и сопровождения программных средств ISO/IEC 27001:2005;
• оператор работает с использованием электронно-цифровой подписи (ЭП);
• шифрование осуществляется разрешенными средствами криптографической защиты, разработанными организациями, имеющими лицензии на право осуществления деятельности по предоставлению, техническому обслуживанию криптографических средств.

Стандарт защиты информации в индустрии платежных карт PCI DSS был разработан международными операторами платежных карт Visa и MasterCard. В него входит 12 детально описанных требований, согласно которым должна обеспечиваться защита платежных систем.

Рекомендации ЦБ РФ 

В последние годы ЦБ РФ от рекомендаций организациям финансового сектора по обеспечению защиты денежной системы перешел к непререкаемым требованиям, обязательным для выполнения и сопровождающимся внесением изменений в законы и подзаконные нормативные акты. Теперь информацию о каждой зафиксированной хакерской атаке и о том, что она готовится, он должен получать в течение трех часов. 

Сведения необходимо передавать в FinCERT (Центр мониторинга и реагирования на компьютерные атаки в финансовой сфере, подразделение ЦБР). Передаются все данные, связанные с покушением на совершение несанкционированного перевода денежных средств со счетов компаний и физических лиц. Большинство банков и организаций финансового сектора уже подключены к системе горячего реагирования ФинЦЕРТ, если этого не произошло, сведения направляются по e-mail, без гарантии его своевременного прочтения и регистрации. С этим связаны сложности: такое сообщение обязательно должно быть подписано ЭП, но, если киберпреступникам удалось разрушить важный сектор многоэшелонированной защиты банка, удостоверить сообщение ЭЦП окажется сложно.

В стандарте обеспечения информационной безопасности электронных платежных систем ЦБ РФ закрепил несколько обязательных требований:

• компьютер, подключенный к системе, не должен быть доступен из локальной сети банка (п. 5 Постановления ЦБ РФ №672-П);
• компьютер, отправляющий платежи на корреспондентский счет ЦБ РФ на обработку, должен постоянно мониториться с целью выявления несанкционированного вмешательства в программное обеспечение или подключения к сторонним серверам.

Интересно, что регулятор не требует от банка обязательного информирования о DDoS-атаках и других ситуациях, касающихся защиты системы обработки платежей самого финансового учреждения. Но все рекомендации, связанные с защитой от несанкционированных переводов и вмешательством в работу ЭПС любого уровня, как национального, так и международного, должны выполняться неукоснительно. Банки заявили после выхода рекомендаций о глобальном изменении правил игры, ранее они не сообщали о хакерских атаках по двум причинам:

• из страха репутационных рисков;
• из боязни быть оштрафованными за несоблюдение требований ИБ и правил корпоративного поведения.

Сейчас меры воздействия на банки за отказ от соблюдения требований регулятора более жесткие, чем просто штрафы. Одна из них отключение финансовой организации-нарушителя от системы банковских срочных платежей (БЭСП). Размер штрафа, согласно ст. 74 Закона «О Центральном Банке», может составить до 1 % от уставного капитала банка. Например, размер штрафа для такого финансового учреждения, как Сбербанк, может составить 670 миллионов рублей.

Положение 672-П 

В рамках регулирования деятельности банков по обеспечению безопасности для клиентов электронных платежных систем Банком России в апреле 2019 года издано Положение № 672-П «О требованиях к защите информации в платежной системе Банка России». Основным посылом сообщения стала обязанность банков к середине 2021 года полностью выполнить требования ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций». Проверка выполнения действий этого и предыдущего Постановления № 552-П происходит во время проведения ежегодных аудиторских проверок и проверок ЦБР, а дополнительной гарантией соблюдения требований становится включение их в качестве обязательств кредитной организации в ее договор с Банком России. 

Помимо требований к обеспечению информационной безопасности электронных платежных систем, Стандарт содержит требования по обеспечению защиты данных, пересылаемых в рамках программы передачи финансовых сообщений (СПФС). 

Требования ГОСТа касаются защиты двух механизмов отправления платежей:

• сервиса срочного перевода и сервиса несрочного перевода (ССНП);
• сервиса быстрых платежей (СБП).

Сформулированы требования к размещению объектов информационной инфраструктуры при осуществлении переводов денежных средств. Необходимо использовать разные сегменты сети и АРМ для организации формирования электронных сообщений о переводе средств и для контроля реквизитов этих сообщений. Кроме того, нужно следующее:

• обеспечить использование криптографических средств защиты информации высокого уровня;
• двухсторонняя аутентификация информации должна обеспечиваться на уровне требований ГОСТ Р ИСО/МЭК 7498-1-99;
• организовать регистрацию данных обо всех действиях клиентов со своими средствами с целью своевременного информирования Банка России о случаях несанкционированных списаний;
• для обмена информацией с Банком России о совершении платежей необходимо использовать отдельное рабочее место, оборудованное в соответствии с требованиями Стандарта.

Каждый участник системы переводов в целях обеспечения защиты электронных платежных систем обязан принять пакет внутренней организационно-распорядительной документации, описывающий:

• процесс защиты данных при управлении доступом к ним;
• порядок обеспечения физической и программной защиты ИС любого уровня;
• контроль целостности и защищенности инфраструктуры, сети организации, осуществляющей переводы;
• использование антивирусных средств и способов защиты от внедрения вредоносного кода;
• защиту от утечек данных;
• управление инцидентами информационной безопасности;
• защиту среды виртуализации;
• защиту информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.

Нормы Постановления обязывают банки усилить внимание к собственным пробелам системы защиты, отказаться от самостоятельно разработанного программного обеспечения и перейти на единую системную концепцию безопасности платежей.

Яндекс.Деньги и другие платежные системы

Российские пользователи электронного кошелька Яндекс.Деньги часто интересуются, как именно устроены меры защиты платежей в ней. Платежный сервис использует следующие алгоритмы защиты:

• шифрование передаваемых данных с использованием криптоалгоритма RSA с хэшированием. Шифрование происходит на стороне отправителя средств, длина ключа составляет 1024 бит. Этот же метод шифрования применяют WebMoney и PayPal. Для сравнения, менее известная в России программа E-Port использует шифрование через SSL-протокол версии 3.0., что даже при применении 128-битного ключа оставляет место для уязвимостей;
• заверение трансакций подписью процессингового центра;
• применение сложного механизма аутентификации. Сначала пользователь вводит пароль, затем его подлинность проверяет программа-кошелек, для совершения платежей можно использовать смс-пароли;
• соединение происходит по протоколам HTTPS с использованием защищенного сертификата SSL;
• хранение всей информации организовано на защищенных серверах;
• от записи данные защищаются специальными программными решениями;
• используется программа «Яндекс.Кошелек», повышающая защиту трансакций.

В качестве одного из дополнительных решений введен код протекции, только при знании его получатель может забрать перевод, совершенный через оператора. Это позволяет избежать риска фишинга и отправки платежей неподтвержденным получателям.

Платежные приложения

Отдельным вопросом безопасности электронных платежных систем становится защита платежных приложений, таких как Apple Pay и Samsung Pay. ЦБ РФ, вводя регулирующие правила для иностранных операторов, часто входит в конфликт с уже разработанными и действующими нормами безопасности, чем может затруднить доступ российских граждан к этим ресурсам. Но своевременная реакция профессионального сообщества помогла внести изменения в новые регуляторные требования, и сервисы остались доступными для российских граждан.

Создаваемая система быстрых платежей (СБП), начало действия которой приходится на 28 января 2019 года, позволяющая отправлять деньги по номеру телефона, также имеет свои правила безопасности, утверждаемые регулятором. Для подключения к СБП от кредитных и финансовых организаций требуется:

• установить ПО с максимальной степенью защиты, рекомендуемое регулятором, или доработать собственное ПО в соответствии с требованиями и техническими спецификациями;
• провести тестовые испытания взаимодействия.

Сейчас в СБП уже зарегистрировалось более 30 участников, среди них 10 крупнейших банков страны. За промедление в подключении к СБП Сбербанк был оштрафован на 1 миллион рублей, что стало важным индикатором для других участников рынка. Центробанк предупредил операторов платежей о существовании рисков атаки с целью сбора персональных данных клиентов. В письме, разосланном банкам, сообщается, что основным направлением атаки стал «автоматизированный или ручной процесс сбора информации о клиентах банков – участников СБП. Злоумышленник, используя имеющиеся данные идентификатора клиента (номер его мобильного телефона), теперь может получить дополнительную информацию об этом человеке, например, имя, отчество и первую букву фамилии, а также названия нескольких банков, где у него есть открытые счета». Полученные номера телефонов злоумышленники могут использовать для организации массовых звонков клиентам банков с целью получения паролей от личных кабинетов и других данных.

Центробанк предлагает следующий механизм борьбы с угрозой: Национальная система платежных карт, являющаяся операционно-клиринговым центром СБП, проводит круглосуточный мониторинг операций и блокирует в системе номера подозрительных телефонов, с которых осуществляется массовый перебор. Помимо блокировки номеров ЦБ будет сообщать банкам об IP-адресах, с которых пытался осуществляться массовый перебор.

От принципа работы платежной системы и модели угроз зависят и способы защиты. Реализация рекомендуемых регулятором мер безопасности должна привести к повышению защищенности электронных платежей, снижению количества несанкционированных финансовых трансакций и списаний с банковских карт. Безопасность средств граждан целиком и полностью зависит от готовности банков и операторов выполнять требования регуляторов.

30.01.2020