Журнал "Information Security/ Информационная безопасность" #6, 2022

l при доступе к платформе цифрового рубля осуществляется "строгая" двух- сторонняя аутентификация прямых участников с использованием ключей, сертифицированных УЦ БР, по защи- щенным каналам взаимодействия, реа- лизованным с применением сертифи- цированных ФСБ России СКЗИ. В части обеспечения защиты данных на платформе цифрового рубля: l применение СКЗИ, сертифицирован- ных ФСБ России, для обеспечения целостности и достоверности данных на платформе Банка России при подписа- нии транзакций с цифровым рублем; l создание цифровых рублей исключи- тельно с применением эмиссионного ключа Банка России. Эмиссионный ключ Банка России регистрируется в специ- ально выделенном УЦ БР для эмиссии; l применение комплекса технологиче- ских мер защиты информации: логиче- ский контроль, структурный контроль, контроль дублирования, контроль автор- ства и т.д.; l на участках, где невозможно приме- нение сертифицированных СКЗИ, пред- усмотрено применение специальных тех- нологических мер, обеспечивающих целостность данных для операций с циф- ровым рублем; l организация контроля целостности смарт-контрактов и прав доступа к воз- можности их запуска. При развитии платформы цифрового рубля особое внимание в части инфор- мационной безопасности будет уделено обеспечению операционной надежности и киберустойчивости на всех стадиях жизненного цикла цифрового рубля. В схеме на рис. 1 отражены процессы взаимодействия участников в соответствии с вышеизложенными подходами к обес- печению информационной безопасности. Но, как писал "Коммерсант" 2 , серьез- ным препятствием для финансовых орга- низаций становится отсутствие четких требований к уровню защиты информа- ции в отношении цифрового рубля. Сей- час инфраструктура, поддерживающая обслуживание ЦВЦБ, строится по классу КС2 СКЗИ, но вполне вероятно, что уровень будет повышен до КС3 или КВ и КА, и тогда затраты банков могут стать несоразмерно большими. В технологическом аспекте эксперты видят риск недостаточной производи- тельности технологии распределенных реестров, осложняющийся дефицитом микроэлектронных компонентов, а также риск сложности реализации решения по обеспечению конфиденциальности в рас- пределенных реестрах. Стоит отметить, что на платформе циф- рового рубля будет обеспечена конфи- денциальность информации об операциях клиентов и защита их персональных дан- ных, но при этом расчеты в цифровом рубле не предполагают анонимности пла- тежей. Со стороны финансовых органи- заций, обеспечивающих проведение кли- ентских операций в цифровом рубле, будут выполняться процедуры, предусмот- ренные законодательством в сфере ПОД/ФТ/ФРОМУ. В этом смысле степень конфиденциальности операций на плат- форме цифрового рубля будет обеспечена на уровне не ниже, чем при существую- щем механизме безналичных платежей. Если все планы реализуются, то с 1 апре- ля 2023 г. цифровой рубль должен появить- ся в экономическом пространстве 3 . Опыт пилотирования ЦВЦБ в Казахстане В Казахстане недавно завершился 4 пилотный проект введения своей ЦВЦБ – цифрового тенге. В целом финансовой инфраструктуре удалось поддержать впол- не комфортный для пользователей уро- вень производительности при совершении транзакций, хотя и частично за счет орга- низационных мер и ограничений. Оптимизация производительности не являлась главным фокусом пилотного проекта, но в рамках нагрузочного тести- рования разработанной платформы про- водились замеры пропускной способно- сти и времени ответа. Результаты пилот- ного проекта показали, что производи- тельность платформы на уровне пока- зателей платежных систем является одним из ключевых вызовов на будущее. На следующем этапе платформа ЦВЦБ Казахстана потребует глубокой прора- ботки вопросов производительности: повышения пропускной способности, сокращения длительности обработки транзакции, решения вопроса увеличе- ния длительности обработки транзакции при увеличении истории и т.п. В силу незрелости технологии и отсут- ствия значительного количества про- мышленных внедрений существует риск того, что платформа не позволит обес- печить производительность, сопостави- мую с существующими решениями национального уровня, например с кар- точными системами. На текущий момент технологические платформы демонстри- руют допустимые результаты по про- изводительности, сопоставимые с суще- ствующими системами (например, систе- мами быстрых платежей), но их при- емлемость для продуктивного решения пока не тестировалась в условиях, при- ближенных к реальным. В части информационной безопасно- сти в отчете по пилотному проекту внед- рения ЦВЦБ отмечено, что пока отсут- ствует полное понимание относительно наиболее безопасной реализации систем защиты на уровне платформы цифровой валюты. В качестве возможных мер предлагаются алгоритмическая крипто- защита, безопасность на основе аппа- ратного или программного обеспечения и их комбинация. Каждый вариант несет определенные риски с точки зрения достигаемого уровня защиты, сложности реализации и поддержки ввиду "гонки вооружений" между атаками и защитой. Безопасность на уровне пользователя эксперты отнесли к "последней миле" – мобильным приложениям, смарт-картам и прочим пользовательским устройствам и технологиям. l • 43 КРИПТОГРАФИЯ www.itsec.ru Рис. 1. Подходы к информационной безопасности и конфиденциальности. Источник: Банк России Ваше мнение и вопросы присылайте по адресу is@groteck.ru 2 https://www.kommersant.ru/doc/5736579 3 https://www.interfax.ru/business/878411 4 https://digital-tenge.payfintech.kz/digital-tenge