Цифровому рублю нужна доверенная инфраструктура

Как проходит внедрение платформы цифрового рубля

«Пилот» цифрового рубля (ЦР) уже тестируют 13 участников — финансовых организаций. В тестировании участвуют около 600 физлиц и 30 юрлиц в 11 городах России. Совершено примерно 10 тыс. операций. В первом квартале 2024 года рамки «пилота» будут расширены: подключатся еще 15 банков, а количество физлиц достигнет нескольких тысяч.

Вести с полей

Рамочное регулирование инфраструктуры ЦР описано Банком России в Положении 820-П «О платформе цифрового рубля». В частности, предусматривается появление уровня смарт-контрактов, которые позволят осуществлять «расчеты с условиями». Кроме того, должна появиться возможность работы с ЦР без доступа к интернету и иные инновационные сервисы. На этапе «пилота» ЦР пока выполняет исключительно расчетную функцию.

В июле 2023 года бл опубликован проект Положения «О требованиях к обеспечению защиты информации для участников платформы ЦР». Требования к защите распространяются на автоматизированные системы, ПО, средства вычислительной техники, а также на телеком-оборудование.

Согласно проекту, банкам надлежит использовать ЭЦП, подтверждающие документы на которую выданы удостоверяющим центром ЦР Банка России (УЦ). Кроме того, в документе описаны требования к мобильному и интернет-банку клиентадля  операций с новым интсрументом.

Участники пилотного проекта информируют о том, что проект с ЦР является одним из самых сложных в силу высоких затрат как на разработку импортозамещенных прикладных решений, так и на инвестиции в сопутствующую ИБ-инфраструктуру, к которой предъявляются жесткие требования.

ВБА информирует

На форуме ВБА-2023 Алексей Александров, генеральный директор компании SDK Systems, входящей в консорциум iCAM Group, погрузился в конкретику в области защиты информации ЦР в коммерческих банках, исключая зону ответственности Банка России: «Согласно серии национальных стандартов ГОСТ 57580.х “Защита информации финансовых организаций”, подлежат защите персональные данные пользователей ЦР — клиентов банка, данные об операциях, включая связанные с ними, а также ключевая информация средств криптографической защиты информации (СКЗИ) и другая конфиденциальная информация о системе цифрового рубля».

В список технологических сегментов ЦР в банках-участниках входят адаптер цифрового рубля, состоящий из контуров обработки и контроля, подчиненный удостоверяющий центр, пользовательские интерфейсы, включая мобильное и web-приложение, а также каналы передачи данных. По мнению представителя SDK Systems, одним из наиболее серьезных вызовов является построение УЦ.

«Банк — участник пилотного проекта должен развернуть подчиненный Удостоверяющий центр с использованием программно-аппаратного комплекса (ПАК) УЦ, сертифицированный ФСБ по классу КС3. Назначение — выдача сертификатов ключей проверки электронных подписей пользователей ЦР. Мы в своих проектах, внедряя удостоверяющий центр, ориентируемся на продукт компании «КриптоПро», сертифицированный по классу КС3», — пояснил Алексей Александров.

В презентации эксперт разъяснил, что каждый пользователь ЦР должен пройти идентификацию и получить сертификат в удостоверяющем центре банка-участника. Дополнительные проблемы создает и требование к тому, чтобы контуры обработки и контроля имели свои собственные сетевые сегменты с СКЗИ класса КС3, а также обслуживались отдельными сотрудниками.

Роман Карпов, директор по стратегии и развитию технологий Axiom JDK, успокаивает: «Отечественная среда исполнения Java включает готовые конфигурации российских TLS (SSL) сертификатов в дополнение к обновлениям безопасности и критическим патчам (CPU). При установлении защищенных TLS-соединений с цифровыми сервисами, использующими сертификаты Минцифры, подключение Java-приложений произойдет автоматически, если они работают на Axiom JDK Pro, в отличие от приложений, работающих на Oracle Java, других JDK и самосборках OpenJDK».

Станислав Шилов, директор по развитию продуктов Центра цифровых решений для бизнеса компании BSS, комментируя вопрос «Банковского обозрения»: «Насколько будет сложна на следующих этапах “пилота” внедрения ЦР задача построения удостоверяющих центров для средних и малых банков?», ответил: «Задача непростая как в силу необходимости дополнительных инвестиций в построение собственного УЦ, так и в силу необходимости наличия соответствующих кадров, которых в небольшом банке без своего УЦ, скорее всего, нет. Но при этом она вполне решаема».

Вебинар АРБ и опыт Ингосстраха

15 ноября 2023 года Ассоциация российских банков (АРБ) в партнерстве с компанией BSS провела вебинар «Цифровой рубль и реализации в ДБО функционала, необходимого для работы с новой цифровой валютой». Вебинар дал ответы инженеров из BSS по уже наработанным ими практикам трансформации имеющихся в банках систем ДБО для работы с ЦР, согласно требованиям регулятора. В частности, реализована типовая web-версия ДБО для юрлиц с платежным функционалом, а также полным набором операций для открытия кошелька и регистрации сертификата ключа, а также обмена безналичных средств банка на ЦР.

Андрей Тужилин, технический директор банка «Ингосстрах», в режиме рассказал о полученном опыте. ИБ-специалистам стало интересно то, что он опроверг расхожее мнение о возможности аутсорсинга: «Никакой облачной подписи не предусмотрено. Сейчас ключи хранятся надежным образом у клиента в мобильном приложении Банка России или на неизвлекаемых носителях, если это web».

Что будет дальше? И Андрей Тужилин, и представители BSS говорят об офлайн-режиме использования ЦР, а также о крайне полезном инструменте — смарт-контрактах. Станислав Шилов добавил: «Компания BSS очень чутко относится ко всем инновационным инициативам и стремится максимально их поддерживать. Поскольку мы видим существенную синергию между дистанционными каналами банка и инфраструктурой цифрового рубля, включая возможность его использования в смарт-контрактах, планируем работать в данном направлении».

По материалам «Банковского обозрения».