О внедрении цифрового рубля говорят на самом высоком уровне уже достаточно давно, и, похоже, в скором времени он станет новой реальностью для финансового сектора России. Его введение потребует от кредитных организаций существенной перестройки и усиления ИТ-инфраструктуры, особенно в сфере информационной безопасности. Этой теме был посвящен вебинар компании «ИнфоТеКС», который состоялся 19 августа. Основные темы коснулись защиты ИТ-инфраструктуры кредитных организаций в свете внедрения цифрового рубля и новых регуляторных требований.
Сергей Дурягин, вице-президент «ИнфоТеКС», рассказал, что прототип платформы цифрового рубля был создан в декабре 2021 г. В течение 2022 г. была разработана необходимая законодательная база, заложившая правовой фундамент для обращения новой валюты. Практическим воплощением этих наработок стал старт пилотирования операций с реальными цифровыми рублями в августе 2023 г., в котором изначально приняли участие несколько клиентов из 13 банков. Масштабы эксперимента значительно расширились в сентябре 2024 г., когда к пилотному проекту получили возможность подключиться примерно 9 тыс. человек и 1200 компаний, что позволило протестировать систему под более серьезной нагрузкой. Важнейшим нормативным актом, утвердившим обязательный порядок внедрения, стал закон, принятый Госдумой в июле 2025 г., который установил поэтапный запуск для банков и торговых компаний обязанности обеспечить возможность оплаты цифровым рублем. Согласно этому закону с 1 сентября 2026 г. к работе с цифровой валютой должны приступить 18 крупнейших банков и торговые компании, подключенные к этим банкам с выручкой за прошлый год свыше 120 млн руб. Следующая волна подключения начнется с 1 сентября 2027 г. и затронет банки с универсальной лицензией и торговые компании с годовой выручкой более 30 млн руб. Финальный этап намечен на 1 сентября 2028 г., когда к системе присоединятся все остальные банки и продавцы с выручкой менее 30 млн руб. в год. Важно отметить, что обязанность принимать оплату цифровыми рублями не будет распространяться на торговые точки, чья выручка за год составляет менее 5 млн руб.
Архитектура инфраструктуры цифрового рубля включает несколько критически важных сегментов. Начинается все с сегмента пользователя, где физические и юридические лица используют мобильные устройства или автоматизированные рабочие места со встроенными средствами криптографической защиты информации (СКЗИ) для подписи и шифрования сообщений. Центральным элементом здесь выступает программный модуль Банка России (ПМ БР), в ядре которого лежит сертифицированное СКЗИ. Следует отметить, что для ввода в эксплуатацию требуется обязательное проведение длительной и затратной процедуры оценки влияния мобильного приложения банка в связке с ПМ БР на данное СКЗИ. ViPNet OSSL позиционируется как универсальная криптобиблиотека, которую можно использовать не только для операций с цифровым рублем, но и для защиты финансовых операций в соответствии с новым положением Банка России 851-П, а также для работы с биометрией. Основные функции библиотеки включают создание запросов на сертификат, организацию TLS-соединений, подпись сообщений, а также их шифрование и расшифрование.
Связь между пользователем и банком защищается через доверенный канал передачи с использованием межсетевых экранов и специализированных шлюзов безопасности. В качестве примера последнего в рамках вебинара был приведен ViPNet TLS Gateway. Он обеспечивает расшифровку TLS-сессий, поддерживает как отечественные ГОСТ, так и зарубежные алгоритмы шифрования и способен легитимно работать с любым сертифицированным СКЗИ на стороне клиента. При выборе решений регулятор настоятельно рекомендует обращать внимание на реестр Минпромторга и выбирать программно-аппаратные комплексы (ПАК) исходя из перспективной, а не тестовой нагрузки, предусматривая возможности кластеризации и геораспределенного резервирования.
Сердцем инфраструктуры являются контур обработки и контур контроля, где осуществляются проверка и простановка электронных подписей (ЭП), а также шифрование и расшифрование транзакций. Для этих задач требуется использование сертифицированных ФСБ России средств ЭП и СКЗИ класса не ниже КС3. Здесь компания «ИнфоТеКС» предлагает свое решение ViPNet PKI Service – сервер подписи и шифрования, разработанный на базе собственного аппаратного модуля безопасности ViPNet HSM. Его ключевые преимущества заключаются в хранении ключей в неизвлекаемом виде, отсутствии необходимости в получении ДСДР от ФСБ и реализации всех функций в едином ПАК, что упрощает внедрение и оценку влияния по сравнению с разрозненными программными решениями, без необходимости интеграции дополнительных средств защиты и постоянной синхронизации версий и сертификатов всех компонентов. Отдельный скепсис был высказан относительно использования облачных сервисов для развертывания критически важных компонентов инфраструктуры цифрового рубля. В качестве примеров приводились международные компании Dropbox, Google, Microsoft, которые, по мнению спикера, не всегда сдерживают свои обещания и имеют неоднозначную репутацию в вопросах надежности. Особо подчеркивалось, что, несмотря на заявления некоторых игроков рынка о наличии у них облачных криптографических решений, детали их корректности и возможности легитимного использования, включая согласование с Банком России и ФСБ России, широкой публике на данный момент не представлены.
Не менее важным элементом инфраструктуры являются удостоверяющие центры (УЦ). Согласно требованиям кредитной организации необходимо развернуть два УЦ: первый будет подчинен УЦ Банка России для выпуска сертификатов электронной подписи, а второй необходим для выпуска сертификатов безопасности (TLS). Для их функционирования опционально, но крайне рекомендуется использование HSM с целью безопасного хранения ключей, а также систем обнаружения вторжений и межсетевых экранов.
Отдельным и крайне актуальным вызовом для банков стало введение нового положения Банка России № 851-П, которое пришло на смену 683-П и ужесточило требования к использованию СКЗИ. В частности, пункт 5.1 предписывает с 1 октября 2025 г. использовать для обеспечения целостности электронных сообщений с применением УНЭП только сертифицированные ФСБ средства ЭП и удостоверяющие центры. Кроме того, положение обязывает соблюдать требования защиты информации при работе с ЕСИА и СМЭВ, а также напоминает о необходимости соблюдения всего спектра нормативных актов: 152-ФЗ «О персональных данных», Постановления Правительства № 1119, Положения ПКЗ-2005 и Приказа ФСБ № 378. Особый акцент регулятор делает на обязательном проведении оценки влияния среды на СКЗИ, как того всегда требовала техническая документация на средства криптографии, но что зачастую игнорировалось на практике.
Без преувеличения, полноценное внедрение цифрового рубля – новая веха цифровизации банковской сферы. К этому этапу нужно готовиться основательно и начинать пилотирование нужно уже сейчас, чтобы к жестким срокам, установленным регулятором, быть полностью готовыми к безопасной и легитимной эксплуатации новой финансовой инфраструктуры.
