Контакты
Подписка 2025

Кибербезопасность ЦВЦБ – цифровой валюты центрального банка

Александр Подобных, 20/01/23

Все начиналось с цветных монет и мечты энтузиастов о дешевых и быстрых финансовых транзакциях. Коронавирус и тотальный переход на дистанционный режим работы во многом предопределил и переход на цифровые, виртуальные валюты. Пандемия стимулировала переход клиентов от традиционных банковских отделений на цифровые каналы. Согласно данным BCG, за время пандемии использование онлайн-банкинга выросло на 23%, а мобильного – на 30%. В то же время число тех, кто пользуется услугами отделений, снизилось на 12%. Эти тенденции повлияли и на российский банковский сектор.

Автор: Александр Подобных, руководитель Санкт-Петербургского РО АРСИБ, руководитель Комитета по безопасности цифровых активов и противодействию мошенничеству, судебный эксперт

Сегодня бизнес хочет привлекать финансирование, с одной стороны, быстро и дешево, с другой стороны – прозрачно и безопасно. Конечно же, в зоне внимания оказались и криптовалюты, в частности стейблкойны.

Стейблкойны – это общее название криптовалют, обменный курс которых стараются стабилизировать, например привязывая котировки к обычным валютам или биржевым товарам (золото, нефть и пр.). Объем рынка стейблкойнов весьма значителен – порядка 80% от общего суточного объема криптовалютного рынка.

На фоне успеха криптовалют властям разных стран мира пришла идея официальных стейблкойнов, эмитируемых центральными банками и привязанных к национальной валюте. Такой вид платежных средств называют цифровой валютой центрального банка (Central bank digital currency, CBDC, ЦВЦБ).

Идея прижилась во многих странах, и вот уже глобальные игроки платежного рынка, такие как SWIFT, Visa и Mastercard, планируют быть в центре новых разработок, касающихся цифровых активов, в том числе ЦВЦБ и стейблкойнов.

В настоящее время крупные блокчейн-компании, технологические гиганты и национальные банки различных стран создают платежные платформы, публикуют проекты и инструкции, унифицируют API, не за горами экосистемы. Многие идут по пути трансграничных ЦВЦБ.

Ряд стран создают рабочие группы для проведения исследований и анализа, с привлечением регуляторов, ведомств и отраслевых компаний, для выработки оптимального пути с минимизацией рисков для финансовых систем.

Не криптовалюта, но цифровой рубль

Банк России не поддерживает создание в стране частных стейблкойнов как законного платежного средства, однако активно работает над проектом ЦВЦБ [1], цифровым рублем, – дополнительной формой российской национальной валюты, которая будет эмитироваться Банком России в цифровом виде и сочетать свойства наличных и безналичных рублей. В основе цифрового рубля будет использоваться технология распределенного реестра, то есть блокчейн.

Как и безналичные деньги, цифровой рубль позволит проводить дистанционные платежи и онлайн-расчеты. С другой стороны, как и наличные деньги, цифровой рубль может использоваться в офлайн-режиме при отсутствии доступа к Интернету. Подобно банкнотам, каждая из которых имеет свой номер, экземпляры цифрового рубля будут подкрашиваться уникальным цифровым кодом.

Цифровой рубль будет принципиально отличаться от обычных биткойна или эфириума как раз тем, что у криптовалют отсутствует единый эмитент, гарантии защиты прав потребителей, а их стоимость подвержена серьезным колебаниям. В большинстве стран криптовалюты нельзя законно использовать для оплаты товаров и услуг, и, как правило, они не имеют единого института, который обеспечивал бы сохранность средств в кошельках пользователей.

Банк России подчеркивает, что цифровой рубль является обязательством центрального банка, реализуемым посредством цифровых технологий, и не имеет никакого отношения к криптовалютам. Это фиатная валюта, то есть валюта, устойчивость функционирования которой обеспечивается государством в лице центрального банка.

Вопросы информационной безопасности и конфиденциальности

В ходе пилотного проекта цифрового рубля, проходящего в 2022 г., для обеспечения информационной безопасности и киберустойчивости прототипа платформы цифрового рубля используются следующие подходы.

В части организации доступа пользователей к платформе цифрового рубля:

  • взаимодействие клиента с платформой цифрового рубля осуществляется по защищенным каналам через приложение банка, установленное на мобильное устройство пользователя;
  • доступ пользователя к кошельку, на котором хранятся его цифровые рубли, а также все операции пользователя с цифровым рублем осуществляются с использованием специализированного программного модуля Банка России, интегрированного с мобильными приложениями кредитных организаций.
  • программный модуль БР разрабатывается Банком России и будет предоставлять API для разработчиков приложений кредитных организаций и использоваться для обеспечения безопасного взаимодействия пользователя с банком, генерации и хранения криптографического ключа доступа клиента кредитной организации к цифровому кошельку, подписания распоряжений по операциям с цифровыми рублями клиента;
  • криптографическая защита каналов взаимодействия пользователей с инфраструктурой кредитной организации (шифрование) при использовании мобильного приложения кредитной организации осуществляется с применением СКЗИ, сертифицированных ФСБ России.

В части организации доступа кредитной организации к платформе цифрового рубля:

  • при доступе к платформе цифрового рубля осуществляется "строгая" двухсторонняя аутентификация прямых участников с использованием ключей, сертифицированных УЦ БР, по защищенным каналам взаимодействия, реализованным с применением сертифицированных ФСБ России СКЗИ.

В части обеспечения защиты данных на платформе цифрового рубля:

  • применение СКЗИ, сертифицированных ФСБ России, для обеспечения целостности и достоверности данных на платформе Банка России при подписании транзакций с цифровым рублем;
  • создание цифровых рублей исключительно с применением эмиссионного ключа Банка России. Эмиссионный ключ Банка России регистрируется в специально выделенном УЦ БР для эмиссии;
  • применение комплекса технологических мер защиты информации: логический контроль, структурный контроль, контроль дублирования, контроль авторства и т.д.;
  • на участках, где невозможно применение сертифицированных СКЗИ, предусмотрено применение специальных технологических мер, обеспечивающих целостность данных для операций с цифровым рублем;
  • организация контроля целостности смарт-контрактов и прав доступа к возможности их запуска.

При развитии платформы цифрового рубля особое внимание в части информационной безопасности будет уделено обеспечению операционной надежности и киберустойчивости на всех стадиях жизненного цикла цифрового рубля.

В схеме на рис. 1 отражены процессы взаимодействия участников в соответствии с вышеизложенными подходами к обеспечению информационной безопасности.


Рис. 1. Подходы к информационной безопасности и конфиденциальности. Источник: Банк России

Но, как писал "Коммерсант" [2], серьезным препятствием для финансовых организаций становится отсутствие четких требований к уровню защиты информации в отношении цифрового рубля. Сейчас инфраструктура, поддерживающая обслуживание ЦВЦБ, строится по классу КС2 СКЗИ, но вполне вероятно, что уровень будет повышен до КС3 или КВ и КА, и тогда затраты банков могут стать несоразмерно большими.

В технологическом аспекте эксперты видят риск недостаточной производительности технологии распределенных реестров, осложняющийся дефицитом микроэлектронных компонентов, а также риск сложности реализации решения по обеспечению конфиденциальности в распределенных реестрах.

Стоит отметить, что на платформе цифрового рубля будет обеспечена конфиденциальность информации об операциях клиентов и защита их персональных данных, но при этом расчеты в цифровом рубле не предполагают анонимности платежей. Со стороны финансовых организаций, обеспечивающих проведение клиентских операций в цифровом рубле, будут выполняться процедуры, предусмотренные законодательством в сфере ПОД/ФТ/ФРОМУ. В этом смысле степень конфиденциальности операций на платформе цифрового рубля будет обеспечена на уровне не ниже, чем при существующем механизме безналичных платежей.

Если все планы реализуются, то с 1 апреля 2023 г. цифровой рубль должен появиться в экономическом пространстве [3].

Опыт пилотирования ЦВЦБ в Казахстане

В Казахстане недавно завершился [4] пилотный проект введения своей ЦВЦБ – цифрового тенге. В целом финансовой инфраструктуре удалось поддержать вполне комфортный для пользователей уровень производительности при совершении транзакций, хотя и частично за счет организационных мер и ограничений.

Оптимизация производительности не являлась главным фокусом пилотного проекта, но в рамках нагрузочного тестирования разработанной платформы проводились замеры пропускной способности и времени ответа. Результаты пилотного проекта показали, что производительность платформы на уровне показателей платежных систем является одним из ключевых вызовов на будущее. На следующем этапе платформа ЦВЦБ Казахстана потребует глубокой проработки вопросов производительности: повышения пропускной способности, сокращения длительности обработки транзакции, решения вопроса увеличения длительности обработки транзакции при увеличении истории и т.п.

В силу незрелости технологии и отсутствия значительного количества промышленных внедрений существует риск того, что платформа не позволит обеспечить производительность, сопоставимую с существующими решениями национального уровня, например с карточными системами. На текущий момент технологические платформы демонстрируют допустимые результаты по производительности, сопоставимые с существующими системами (например, системами быстрых платежей), но их приемлемость для продуктивного решения пока не тестировалась в условиях, приближенных к реальным.

В части информационной безопасности в отчете по пилотному проекту внедрения ЦВЦБ отмечено, что пока отсутствует полное понимание относительно наиболее безопасной реализации систем защиты на уровне платформы цифровой валюты. В качестве возможных мер предлагаются алгоритмическая криптозащита, безопасность на основе аппаратного или программного обеспечения и их комбинация. Каждый вариант несет определенные риски с точки зрения достигаемого уровня защиты, сложности реализации и поддержки ввиду "гонки вооружений" между атаками и защитой. Безопасность на уровне пользователя эксперты отнесли к "последней миле" – мобильным приложениям, смарт-картам и прочим пользовательским устройствам и технологиям.


  1. https://www.cbr.ru/Content/Document/File/120075/concept_08042021.pdf 
  2. https://www.kommersant.ru/doc/5736579 
  3. https://www.interfax.ru/business/878411 
  4. https://digital-tenge.payfintech.kz/digital-tenge 
Темы:КриптографияЦифровая трансформацияБанки и финансыБлокчейн и криптовалютаЖурнал "Информационная безопасность" №6, 2022ЦВЦБ

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Уязвимости и недостатки протоколов выпуска токенов в сети Биткоин
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    С 2023 г. в сеть Биткоин стали внедряться новые протоколы, и текущий год ознаменовался их активным использованием: Runes, BRC320, ARC320, Ordinals NFT. Эти нововведения не просто носят технический характер, они повлияли на всю экосистему первой криптовалюты, причем не только с точки зрения возможностей и удобства, но и с точки зрения информационной безопасности. Все началось с протокола Ordinals.
  • Secret Disk для Linux: прозрачное шифрование дисков на рабочих станциях
    Денис Суховей, руководитель департамента развития технологий компании Аладдин
    Secret Disk для Linux обеспечивает предотвращение утечек конфиденциальной информации с помощью шифрования на рабочих станциях с отечественными ОС семейства Linux.
  • "Крипто БД" – сертифицированная система предотвращения утечек информации из СУБД
    Денис Суховей, руководитель департамента развития технологий компании Аладдин
    Система “Крипто БД” позволяет осуществлять выборочное динамическое шифрование информации, хранящейся в таблицах базы данных.
  • Как соответствовать требованиям ЦБ РФ при защите мобильных приложений
    Юрий Шабалин, Ведущий архитектор Swordfish Security
    Профиль защиты прикладного программного обеспечения – это методический документ Банка России, согласно которому приложения должны проходить оценку на соответствие госстандарту в специальных лабораториях.
  • Ключевые индикаторы риска: как ими правильно пользоваться
    Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group
    Ключевые индикаторы риска (КИР) необходимо корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы.
  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...