| Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке |
Руслан Рахметов, Security Vision
Положение Банка России от 23 декабря 2020 г. №747-П «О требованиях к защите информации в платежной системе Банка России» было официально опубликовано 15 февраля 2021 года. Однако, это не полностью новое положение, а по сути, развитие (расширение) положения Банка России 672-П (с таким же названием, опубликованным 26 марта 2019 года и уже утратившим силу). Выпуск нового 747-П потребовался, в том числе, из-за из расширения перечня сущностей участников национальной платежной системы в рамках Федерального закона от 27.06.2011 №161-ФЗ «О национальной платежной системе» (например, введенными Федеральным законом от 02.08.2019 № 264-ФЗ) и развития Системы быстрых платежей (СБП) Банка России, как неотъемлемой части платежной системы Банка России.
Основные новшества связаны с требованиями:
-
к посредникам в СБП – ОУИО СБП, к так называемым операторам услуг информационного обмена или, иначе, процессорам третьей стороны (ТРР - Third Party Processor). Оператор услуг информационного обмена (в терминах 161-ФЗ) – это организация, оказывающая операторам по переводу денежных средств (ОПДС) на основании договоров услуги обмена информацией при осуществлении операций с использованием электронных средств платежа между операторами по переводу денежных средств и их клиентами и (или) между операторами по переводу денежных средств и иностранными поставщиками платежных услуг (далее - услуги информационного обмена).
-
к реализации мер по противодействию осуществлению переводов денежных средств без согласия клиента в рамках СБП, в основном с помощью так называемых индикаторов уровня риска операции (по сути, антифрод в СБП).
Разберем содержание и суть основных новых требований.
Требования к ОУИО СБП
До выделения сущности ОУИО СБП и требований по защите информации в рамках СБП, они, собственно, все равно выполняли требования по защите информации, которые транслировались им через договор с ОПДС (участника СБП). Контроль этих требований, соответственно, полностью лежал на ОПДС. Понятно, что качество реализации и контроля требований сильно разнились в зависимости от участников договорных отношений и тщательности проработки условий договора. Если же ОУИО СБП плохо выполняло или вообще игнорировало требования по защите информации, то вся ответственность ОУИО СБП лежала в плоскости оформленных договорных отношений с ОПДС.
Рисунок «ОУИО СБП и место в СБП»
С внесением изменений в 161-ФЗ и выпуском 747-П требования по защите информации к ОУИО СБП явным образом зафиксированы в нормативных актах Банка России. В частности, основные изменения, в порядке объема изменений и новшества для ОУИО СБП:
-
Пункт 12 747-П, применение с 01.01.2022 в ОУИО СБП аппаратных модулей безопасности (HSM - Hardware Security Module), имеющих подтверждение соответствия требованиям, установленным ФСБ. При этом ключи должны формироваться и сертифицироваться самим клиентом ОУИО СБП – участником СБП. По сути, данное требование значительно минимизирует риски того, что из-за инцидента в ОУИО СБП может быть использована (похищена и/или использована в скомпрометированной инфраструктуре) ключевая информация множества клиентов ОУИО СБП – участников СБП в целях проведения несанкционированных переводов. За счет использования HSM и самостоятельных действий клиентов ОУИО СБП отправить нелегитимное сообщение СБП возможно только при непосредственном использовании конкретного экземпляра HSM, а тут как раз риски минимизируются в том числе путем выполнения требований ГОСТ 57580.1 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». Также стоит обратить внимание на следующий текст: «ОУИО СБП, оказывающим участнику СБП услуги по обеспечению подписания исходящих электронных сообщений и (или) зашифрования на прикладном уровне электронных сообщений, проверки электронной подписи во входящих электронных сообщениях и (или) расшифрования на прикладном уровне входящих электронных сообщений». Требования по использованию HSM применимы только к TPP, которые непосредственно формируют сообщения на прикладном уровне и не касаются тех TPP которые обеспечивают только инфраструктуру и каналы связи до ОПКЦ СБП (операционный центр, платежный клиринговый центр СБП).
-
Пункт 7.3 747-П, определение ОУИО СБП во внутренних документах состава и правил применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности сообщений, содержащих реквизиты и иную информацию, необходимую для последующего формирования электронного сообщения, при осуществлении перевода денежных средств с использованием сервиса быстрых платежей (далее - информационные сообщения) на этапах формирования (подготовки), обработки, передачи и хранения информационных сообщений (при их наличии). Здесь перечислены технологические требования к защите информации на всех этапах жизненного цикла. Особенно интересно понятие «информационные сообщения». В технологии, применяемой в СБП, можно выделить платежный поток (непосредственно распоряжения) и информационный поток (как раз «информационные сообщения»). К последнему относится обмен в рамках получения информации о возможности перевода, о QR коде и его мета данных (в рамках C2B платежей), об имени, отчестве и букве фамилии получателя и прочие «подготовительные» процедуры.
-
Пункт 5 747-П, применение с 01.01.2022 мер защиты информации, реализующих стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». Данное требование, по сути, транслирует аналогичные требования к ОПДС и будет обязывать ОУИО СБП реализовать на должном уровне защиту информации на уровне инфраструктуры. Автоматизировать реализацию и контроль соответствия ГОСТ Р 57580.1-2017, ГОСТ Р 57580.2-2018 можно с применением Security Vision.
Рисунок «Типы ОУИО СБП»
Таким образом, для ОУИО СБП к 01.01.2022 предстоит провести определённых объем работ, которые наверняка (особенно в части применения HSM) приведут к изменению как внутренней инфраструктуры, так и технологии работы с СБП. При этом данные HSM должны будут работать «на встречу» криптографическим средствам защиты информации Банка России, применяемым в его ОПКЦ СБП.
Требования к антифроду в СБП
Основные новшества, посвященные антифроду в СБП, описаны в п.16 и п.17 Положения. Одним из механизмов, должных повысить эффективность противодействия осуществлению переводов денежных средств без согласия клиента в рамках СБП, является обмен информацией об участниках операции. Данная информация должна использоваться в антифроде участника СБП для принятия решения о проведении или отклонении операции с последующим взаимодействием с клиентом – отправителем денежных средств через СБП. С другой стороны, данная информация не должна содержать конкретных данных клиента (например, геолокацию, типовой размер перевода и т.д.) – это небезопасно, и сами ОПДС -участники СБП не стали бы делиться такой информацией.
Противоречие было разрешено путем введения риск-индикаторов, содержащих относительные значения определенных параметров участников перевода, субъективно заполняемых участником СБП. Данный механизм обмена оценками клиентов-участников перевода решает важную задачу «подтягивания» антифрода в небольших банках до уровня антифрод систем в крупнейших участниках СБП. Развитая антифрод система и большая статистическая/аналитическая база данных позволяет наиболее полно оценить риски совершения перевода и за счет предусмотренного в СБП механизма обмена передать данную оценку ОПДС второй стороны – участника перевода.
При этом каждую операцию оценивают как банки плательщика и получателя, так и сам ОПКЦ СБП, обладающий информацией по операциям во всей СБП, где основным идентификатором участников операции выступает номер телефона. При оценке операции участники СБП и ОПКЦ СБП также анализируют полученные риск-индикаторы. При этом за счет дополнительных полей в электронных сообщениях (ФИО, номера счетов и т.д.) ОПКЦ СБП может строить дополнительную аналитику и, например, сообщать банкам об обнаруженном ранее в других операциях фроде с конкретным номером телефона.
Риск-индикаторы отличаются для ОПКЦ СБП, банка получателя и банка отправителя и описаны в соответствующих стандартах ОПКЦ СБП. Для таких риск индикаторов в полях электронных сообщений выделили отдельные так называемые элементы бизнес данных (ЭБД). Например, риск индикатор банка отправителя (ЭБД {107}) содержит много параметров (классов оценки), связанных с устройством отправителя, его поведением, и оценка в рамках одного параметра (класса оценки) может принимать некоторое значение. Например, для оценки аномального поведения пользователя (могут оцениваться характер нажатий, скорость и т.д., некоторый поведенческий почерк клиента), параметр соответствующего класса оценки может принимать от 1 – типовое поведение клиента до 9 – совершенно нетиповое поведение.
Одной из особенностей использования риск-индикаторов является их субъективное заполнение участником СБП. Поэтому антифрод система банка должна поддерживать настройку чувствительности (через машинное обучение) к риск индикаторам, полученным от конкретного участника СБП. Если участник СБП будет постоянно заполнять высокий уровень риска (например, для конкретного класса оценки) для всех операций, то очевидно, что значимость такого параметра будет со временем сведена к нулю и не будет учитываться в оценке рисков для конкретного банка второго участника операции.
Рисунок «Формирование и оценка риск индикторов»
Также в 747-П в явном виде указаны требования по противодействию нашумевшим переборам в СБП по номеру телефона. Такие переборы позволяют злоумышленникам выяснить по номеру телефона, в каких банках у потенциальной жертвы открыты счета, а также узнать ее имя, отчество и первую букву фамилии, с дальнейшим применением данной информации в мошенничествах с использованием социальной инженерии.
Правила обнаружения таких переборов участники СБП и ОПКЦ СБП настраивают самостоятельно, и получается ступенчатая система обнаружения - сначала в банке отправителя, затем в ОПКЦ СБП. В случае обнаружения таких переборов, номер телефона отправителя блокируется для операций СБП, где он применяется в качестве идентификатора отправителя. В 747-П прописана процедура реагирования на такие инциденты как банков, так и ОПКЦ СБП.
Важную роль занимает и обмен информацией о таких клиентах, собирающих информацию о пользователях СБП - в случае блокировки идентификатора отправителя данная информация передается через ФинЦЕРТ Банка России участникам СБП в целях проведения настроек своих антифрод систем. При этом, если ОУИО СБП оказывает ОПДС услуги по формированию сообщений, он должен реализовать вышеуказанные требования и, по сути, реализовать собственную антифрод систему.
Таким образом, Положение 747-П является развитием Положения 672-П и содержит требования, для реализации которых нужна определенная доработка автоматизированных систем и процессов ОПДС и ОУИО СБП. Требования же к участникам обмена при осуществлении переводов денежных средств в платежной системе Банка России с использованием сервиса срочного перевода и сервиса несрочного перевода (это требования к объектам информационной инфраструктуры банков, непосредственно участвующим в обмене электронными сообщениями с Банком России, через ПК АРМ КБР-Н) остались без изменения.