Цифровой рубль не спасёт от методов социальной инженерии
31/07/2023
Банк России определил, как кредитные организации должны будут защищать операции с цифровым рублем. В опубликованном в конце прошлой недели проекте положения Банк России установил ряд требований для банков по защите информации при операциях с цифровыми рублями, пишет «Коммерсант».
Участники платформы цифрового рубля (прежде всего кредитные организации) при обеспечении возможности совершения операций с цифровыми рублями должны размещать объекты информационной инфраструктуры в выделенных сегментах вычислительных сетей. Для таких объектов у системно значимых кредитных организаций и организаций реализуется усиленный уровень защиты информации, предусмотренный нормативными актами. Для других участников платформы предполагается стандартный уровень защиты информации.
Проект также регламентирует требования к лицам, имеющим доступ к информации, обеспечение защиты передачи сообщений, в том числе к электронным средствам, используемым пользователями платформы, устанавливает ряд других технических требований. Участники платформы цифрового рубля должны хранить входящие и исходящие электронные сообщения не менее пяти лет.
В целом проект ЦБ РФ выглядит «достаточно системным», полагают ИБ-специалисты, опрошенные изданием. Банкам не придётся значительно перестраивать инфраструктуру, но потребуется выделить дополнительный сегмент информационных систем, оборудования, финансовых и человеческих ресурсов. Расходы средних банков без филиалов расходы могут достичь 100 млн руб., а у крупных финансовых организаций в распределённой структурой — превысят эту планку. Добавится и регулярный обязательный аудит ИБ (его средняя стоимость сегодня составляет миллион рублей). Не для всех банков такие расходы будут оправданны, считают эксперты. Для небольших банков эти затраты не окупятся, так как объём операций в цифровых рублях у них будет минимальным.
Эксперты отмечают, что в положении Центробанка мало внимания уделяется вопросам противодействия финансовому мошенничеству. Сбор и контроль цифровых отпечатков на стороне банков — участников платформы, заложенный в проекте, может затруднить возможности злоумышленников по перехвату и угону учётных данных клиентов, однако, не защищает граждан от преступлений, связанных с использованием социальной инженерии.