Безопасность переводов и оплаты товаров через СБП. Часть 1

Безопасность переводов и оплаты товаров через СБП. Часть 1

Руслан Рахметов, Secutiy Vision

Дал для программы «Доброе утро» на Первом канале небольшой комментарий о платежах по QR- коду https://www.1tv.ru/shows/dobroe-utro/pro-dengi/platim-po-qr-kodu-dobroe-utro-fragment-vypuska-ot-25-05-2022. А после решил осветить тематику платежей через СБП более подробно.

В настоящее время у населения и даже у специалистов возникает множество вопросов к переводам и оплате товаров с помощью Системы быстрых платежей Банка России, как к самой механике процесса, так и по поводу обеспечения информационной безопасности.

Изначально СБП была анонсирована в части переводов денежных средств между физическими лицами - клиентами разных банков, с использованием в качестве идентификаторов только номера телефона получателя. Данный сервис обозначается как альтернатива переводам по номеру карты между банками, особенно популярным (до внедрения СБП) в РФ. При этом международные карточные платежные системы в 2020 году поняли угрозу своему бизнесу и стали активно требовать внедрения в течение года возможности перевода по номеру телефона внутри платежной системы. Также вспоминается ряд банков, которые заключили соглашения между собой, провели интеграцию ИТ-систем и предоставляют сервис перевода по номеру телефона, но только своим клиентам. Таким образом, система Банка России, обязательная для подключения, за счет своего масштаба и охвата всех жителей страны обладает безусловными конкурентными преимуществами.

Рис. 1. Объем переводов через СБП

Судя по сопротивлению крупнейших банков и дальнейшим действиям по изменению тарифной политики, данная система сильно ударила по доходам ряда банков с большой клиентской базой. Однако СБП создала единое конкурентное пространство и, по сути, снизило издержки клиентов банков, а также предоставила дополнительные возможности для небольших банков. За счет того, что переводы осуществляются в режиме онлайн между банками и изменения по их корреспондентским счетам отражаются мгновенно – снизились затраты банков на резервирование средств под проведение операций, ускорилось проведение переводов.

Рис. 2. Количество операций и пользователей СБП

Рассмотрим базовый процесс – а именно, перевод между пользователями СБП (C2C перевод).

СБП представляет собой многоуровневую систему:

  • Расчетный центр Платежной системы Банка России

Выполняет роль хранителя денег банков и проводит в режиме онлайн расчеты между банками при переводах денежных средств через СБП. Для банка-участника СБП на уровне ПС БР выделяется отдельный подсчет для обеспечения ликвидности для переводов СБП. Требования к работе определяются подразделами положения Банка России от 24.09.2020 №732-П «О платежной системе Банка России». Фактически, любой перевод на 100 рублей по номеру телефона в СБП порождает моментальное уменьшение на 100 рублей корреспондентского счета банка отправителя и увеличение на эту же сумму счета банка получателя средств. Расчетный центр взаимодействует только с ОПКЦ при проведении перевода в СБП. Но в части управления ликвидностью для СБП банки используют основную инфраструктуру взаимодействия с ПС БР (прием/отправка сообщений через ПК АРМ КБР-Н).

  • Операционный платежный и клиринговый центр

Выполняет роль «посредника» между банками и разгружает Центральный банк, выполняя задачу взаимодействия с банками, их подключения СБП (а это тоже отдельный сложный процесс, в ходе которого выстраивается техническая поддержка, происходит подключение к точке обмена и решение задач обеспечения информационной безопасности), а также обеспечивает накопление и точку обмена информацией о клиентах банков.

  • Банки и их клиенты

Непосредственно участники перевода. Ими используется уже существующий надежный и защищенный канал ДБО. При этом есть так называемый Стандарт ОПКЦ, который на участке ОПКЦ-Банки-Пользователи выставляет требования к взаимодействию, криптографии и т.д., вплоть до требований к дизайну мобильного приложения банка. Также для этого участка взаимодействия действуют общие требования к защите информации, определенные положением Банка России от 04.06.2020 №719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Рис. 3. Упрощенная схема перевода в СБП между физическими лицами.

Для защиты электронных сообщений СБП при передаче от банков до расчетного центра ПС БР применяется целый комплекс мер, в том числе криптография, оценка рисков и т.д., описанные в детализированных стандартах ОПКЦ и в требованиях нормативных документов Банка России. Требования ряда нормативных актов сводятся к обеспечению безопасности инфраструктуры, отсутствию уязвимостей в прикладном ПО, а также к безопасности технологии. Рассмотрим особенности именно безопасности технологии, т.к. требования к инфраструктуре и анализу ПО в принципе единообразны (универсальны) и почти не отличаются от тех требований, которые реализуют банки в своей основной деятельности. Выстраивание безопасности технологии неотрывно от самой технологии и реализации процесса.

Все переводы С2С (процесс перевода «физик-физику») условно можно разделить на 3 вида:

  • С2С push - «традиционный перевод» между клиентами банков

  • Me2Me – перевод сам себе, даже в разных банках

  • C2C pull – по сути, запрос к отправителю об отправке денег (сейчас работает для собственных счетов, позволяет из одного банка собирать средства со своих счетов в других банках).

Отдельно можно упомянуть процесс установки клиентом своего банка в качестве банка по умолчанию. При попытке перевести средства такому клиенту ОПКЦ сразу отвечает банку отправителя, что есть банк получателя, где он готов принять средства.

По сути, механика единая, подробно шаги процесса видны на Рисунке 4.

Рис. 4. Шаги процесса C2C перевода СБП.

Также, в процессе можно выделить 2 этапа – согласование перевода в рамках шагов 1-5 (получение идентификаторов, проверка готовности к переводу) и непосредственно сам перевод с изменением по корреспондентским счетам банков (шаги 6-10).

Не будем подробно рассматривать этот процесс и коснемся только тех моментов, которые касаются безопасности переводов, а также вопросов, часто возникающих у обычных потребителей банковских услуг:

  • Подмена или передача (например, продали красивый номер или мошенники перевыпустили сим карту) номера телефона

  • Поиск тёски для навязывания перевода (например, в Me2Me push и pull) или смена банка по умолчанию

  • Изменения реквизитов при передаче внутри СБП

  • Переборы банков владельцев телефонных номеров

Минимизация рисков обеспечивается:

  • Отображением отправителю PAM фразы (имя, отчество и первая буква фамилии получателя).

  • Строгой идентификацией получателя его банком, т.е. в банке проверяются данные клиента и его владение номером телефона.

  • Использованием для перевода внутри СБП не номера телефона, а номеров счетов отправителя и получателя – даже при перевыпуске сим-карты мошенниками деньги будут переведены на счет получателя, который был заведен в банке в момент владения номером, и мошенники не получат доступ к счету.

  • Применением антифродовых механизмов, в частости, так называемых скор-векторов оценки операции, которые формируются банками и ОПКЦ и которыми обмениваются все участники процесса перевода (например, геолокация отправителя, типична ли сумма перевода для участников операции и т.д.).

  • Множественными сверками на каждом шаге процесса – сверяются полные ФИО, номера счетов, номера телефонов, контролируется платежная сессия и т.д. Также на каждом шаге применяются криптографические методы защиты информации, обеспечивающие целостность и конфиденциальность данных.

  • Механизмами контроля переборов – в случае множественных запросов (даже от 5-7 запросов) без проведения непосредственно операции проводится блокировка определенного отправителя до момента проведения разбирательств.

  • Оповещением/подтверждением от пользователей о смене банка по умолчанию, сообщения отправляются непосредственно от ОПКЦ.

  • Мониторингом аномалий на уровне ОПКЦ, как на инфраструктурном уровне, так и на бизнес-уровне, что позволяет проводить раннее обнаружение деятельности злоумышленников и выявлять нетиповые попытки мошенничества.

  • Подводя итоги, можно выделить следующие механизмы обеспечения информационной безопасности при переводах C2C в СБП:

  • Безопасность инфраструктуры – обеспечивается за счет использования существующих безопасных каналов ДБО Банков и выполнения требований ЦБ к новым участкам взаимодействия (ЦБ – НСПК – Банки). Это и требования ГОСТ Р 57580, отраслевых СТО БР и бизнеса.

  • Безопасность прикладного ПО – оценка прикладного ПО на наличие ошибок и уязвимостей. Она также определяется нормативным актами Банка России (в т.ч. 747-П, 683-П, 719-П). Особое внимание уделяется фронту, доступному для злоумышленников извне.

  • Безопасность технологии – это антифродовые механизмы и применение криптографии, а также общая организация процесса перевода.

Совокупность данных мер позволило реализовать в рамках всей страны общую безопасную систему переводов с применением простых удобных идентификаторов. А на базе этого опорного процесса C2C Банк России развивает другие сервисы – различные комбинации переводов между C (физические лица), B (бизнес) и G (государство). 

Интересные публикации