В интервью Национальному банковскому журналу вице-президент компании «ИнфоТеКС» Сергей ДУРЯГИН и руководитель проектов компании «БИФИТ» Руслан АРТЕМЬЕВ рассказали о создании совместного готового комплексного решения для банков – участников платформы цифрового рубля. Эксперты поделились нюансами совместной работы над проектом, обозначали свои зоны ответственности, объяснили, почему пришли к необходимости технологического партнёрства, и какие преимущества дал совместный труд. Оценили ситуацию на банковском рынке в контексте изменения сроков введения цифрового рубля и дали рекомендации финансовым организациям.

NBJ: Расскажите, пожалуйста, как сложилось партнёрство между вашими компаниями. Каким образом вы начали совместную работу, какие ставили перед собой цели и задачи?

С. ДУРЯГИН: Компания «ИнфоТеКС» достаточно давно сотрудничает с разработчиками различных прикладных информационных систем, в том числе с компаниями, которые занимаются разработкой автоматизированных банковских систем и систем дистанционного банковского обслуживания. Компания «БИФИТ» – один из лидеров рынка и наш технологический партнёр. Поэтому, когда начался проект по цифровому рублю, мы с коллегами консолидировали усилия по созданию комплексного решения для участников платформы цифрового рубля.

Участие ИнфоТеКС в проекте по цифровому рублю началось несколько лет назад с разработки по заданию Банка России версии программного модуля Банка России с сертифицированным СКЗИ. Мы разработали сам модуль и реализовали в нём функцию шифрования и формирования электронной подписи, функцию защиты канала передачи данных путем организации TLS-соединений с использованием алгоритмов ГОСТ. Финальную версию для встраивания мы передали в конце 2024 года.

Основная наша задача, как ведущего разработчика и производителя высокотехнологичных программных и программно-аппаратных средств защиты информации, заключалась в обеспечении необходимого уровня защищённости при доступе к платформе цифрового рубля. С помощью наших сертифицированных СКЗИ, встроенных в ядро программного модуля Банка России, обеспечивается криптографическая защита передаваемых данных от мобильного приложения пользователя до системы дистанционного обслуживания в банках.

Р. АРТЕМЬЕВ: В 2023 году, когда стало известно о старте пилотирования проекта по цифровому рублю на ограниченном круге банков, нам стало понятно, что БИФИТ должен будет обеспечить своих клиентов готовым решением. Около 40% банков России используют нашу систему дистанционного банковского обслуживания «iBank» и привыкли к тому, что БИФИТ предлагает не только технологичные решения бизнес-задач, но и полностью поддерживает инициативы регулятора в рамках цифровой трансформации экономики. СБП, ЕСИА, ЕБС, СМЭВ и множество других систем и финтех-сервисов давно функционируют в том или ином виде в нашем продукте.

Начать реализацию проекта «Цифровой рубль» мы решили с мобильных приложений ввиду однозначной трактовки требований регулятора в части информационной безопасности для данного канала взаимодействия с клиентом. Все банки обязаны встроить в свои мобильные приложения программный модуль Банка России, который будет обеспечивать взаимодействие пользователя с платформой цифрового рубля.

Мы проанализировали все три решения, которые регулятор предложил банкам, и пришли к выводу, что программный модуль Банка России, разработанный ИнфоТеКС, имеет наиболее проработанный и хорошо документированный программный интерфейс, который лучше всего вписывается в архитектуру нативных мобильных приложений.

В процессе взаимодействия между нашими компаниями и полного анализа требований родилась идея реализовать целостный продукт. Многие вендоры пошли по пути масштабирования реализованной части функциональности в рамках пилота, мы же не были зажаты сроками или виденьем конкретного заказчика. Выбрать правильный подход к реализации проекта в таких условиях было гораздо проще.

Мы задались целью создать решение, которое позволит банкам удобно и безопасно подключиться к платформе цифрового рубля. При этом оно будет полностью соответствовать требованиям ИБ и решать поставленные перед банками задачи. И не без оснований считаем, что нам это удалось.

NBJ: Какое совместное решение вы предлагаете банкам, в чём заключается его суть, какие задачи оно решает?

С. ДУРЯГИН: Работая над совместным решением, мы пошли исторически проверенным путём, который сложился в результате многолетнего опыта технологического партнёрства в ИБ-отрасли. ИнфоТеКС предоставляет средства криптографической защиты информации и свою экспертизу в этой области, БИФИТ интегрирует наши СКЗИ в собственную систему дистанционного банковского обслуживания «iBank». Благодаря успешному партнёрству, коммерческие банки получают готовое комплексное решение для платформы цифрового рубля.

Если говорить о продуктах ViPNet, на стороне ИТ-инфраструктуры банка для организации TLS-соединений мы рекомендуем использовать шлюз безопасности ViPNet TLS Gateway. Для формирования/проверки ЭП, а также шифрования/расшифровки сообщений у нас есть шлюз ViPNet PKI Service на базе сертифицированной платформы ViPNet HSM. Для реализации функций УЦ предлагаем ViPNet Удостоверяющий центр 4, который может работать совместно с ViPNet HSM для хранения ключей ЭП УЦ.

Для автоматизации выпуска сертификатов из мобильного приложения банка с аутентификацией через ЕСИА мы разработали сервис автоматизации выпуска сертификатов ViPNet САВС – комплекс технических и программных средств, предназначенный для выпуска сертификатов пользователей платформы цифрового рубля. ViPNet САВС обеспечивает автоматизированный процесс выпуска сертификатов безопасности и сертификатов ЭП. В его состав входит криптошлюз ViPNet EDI Soap Gate 3, предназначенный для осуществления обмена электронными сведениями по каналам СМЭВ и взаимодействия с ЕСИА с применением ЭП. Криптошлюз сертифицирован по классу КС3, что соответствует требованиям Банка России.

В составе программного модуля Банка России используется сертифицированное СКЗИ ViPNet OSSL, которое обеспечивает безопасную передачу электронных сообщений пользователя. На стороне банка продукт может применяться как альтернатива ViPNet PKI Service в контуре контроля и контуре обработки. И это далеко не полный перечень наших продуктов. Дополнительно для защиты инфраструктуры цифрового рубля мы предлагаем систему обнаружения компьютерных атак ViPNet IDS NS, межсетевой экран следующего поколения (NGFW) ViPNet xFirewall 5 для разделения или выделения сегментов цифрового рубля внутри инфраструктуры банка, шлюзы безопасности ViPNet Coordinator HW для защиты трафика.

NBJ: Обеспечивая защиту инфраструктуры цифрового рубля, банки не только должны встроить отечественные СКЗИ, но и провести оценку отсутствия деструктивного влияния на них со стороны использующих их программ. Кто может подтвердить корректность встраивания СКЗИ в прикладные платформы?

С. ДУРЯГИН: Участвуя в пилоте проекта по цифровому рублю, мы много внимания уделяем именно этому аспекту. Рассказываем коллегам из финансового сектора, как проводить оценку влияния, про аккредитованные испытательные лаборатории, которые имеют право и опыт проведения соответствующих работ, необходимых ресурсах, в том числе и временных, которые следует закладывать на эти работы. Стоит учитывать, что соответствующие работы должна проводить аккредитованная испытательная лаборатория, имеющая право и опыт проведения тематических исследований программных и программно-аппаратных средств на соответствие требованиям ФСБ России. Такая испытательная лаборатория есть в составе ГК «ИнфоТеКС» – это СФБ Лаб.

NBJ: Поделитесь вашими мыслями про облачные решения в контексте цифрового рубля. Есть ли у них будущее, по вашему мнению?

Р. АРТЕМЬЕВ: На текущий момент никаких облачных решений для цифрового рубля в принципе на рынке не существует. Нет такого понятия и в нормативной документации. Хостинг – это наиболее близкий, по существу, термин, описывающий подобные решения. Под облачностью сервиса обычно понимают экономию за счёт деления ресурса на некоторое количество пользователей. В случае с архитектурой проекта по интеграции с платформой цифрового рубля такое деление невозможно ввиду требований регулятора. Удостоверяющий центр у каждого банка должен быть свой собственный, контур контроля и контур обработки – тоже. Без дорогостоящей интеграции с системой ДБО такой проект не запустить. 

24 марта 2025 года состоялось первое совещание Банка России и представителей разработчиков решений для цифрового рубля. На совещании позиция Банка России по данному вопросу тоже была однозначна: никаких типовых или облачных решений для цифрового рубля не будет. Опыт работы с ЕБС через типовые решения вызвал нарекания многих участников рынка. Представитель Департамента информационной безопасности Банка России сообщил, что в случае использования «коробочного» продукта банк в любом случае должен будет представить доказательства отсутствия изменений в работе таких решений. Позиция регулятора обязывает банки в любом случае получить в лаборатории ФСБ России заключение для своего экземпляра.

Подводя итог, могу сказать, что понятие «облачного» решения удобно с точки зрения маркетинга и продвижения только для тех, кто его предлагает. Никакой существенной экономии нет. При этом все риски подобных решений банк берёт на себя.

С. ДУРЯГИН: На рынке мы встречали решения, которые предполагают возможность создания облачной инфраструктуры для цифрового рубля. Для нас, как производителя средств криптографической защиты информации, само существование данных решений не совсем понятно, так как размещение СКЗИ в облачной инфраструктуре имеет достаточно серьёзные ограничения, особенно когда мы говорим про высокие классы криптографической защиты, в частности класс КС3.

Облачное решение в основном пытаются реализовать там, где хотят сэкономить на инфраструктуре, на закупке дополнительных серверов и дополнительных средств защиты информации. Такой подход несёт серьёзные риски с точки зрения информационной безопасности и не позволяет выполнить требования регулятора к высоким классам криптографической защиты информации.

NBJ: Оцените ситуацию, которая в настоящее время сложилась на банковском рынке в связи с переносом массового запуска проекта по цифровому рублю. К чему нужно готовиться банкам, и какие шаги следует предпринимать уже сейчас?

Р. АРТЕМЬЕВ: В конце 2024 – начале 2025 года на рынке царила некоторая паника. Обязанность банков быстро внедрить абсолютно новый и сложный продукт перевешивала очевидную необходимость взвесить все «за» и «против». После решения о переносе сроков массового внедрения цифрового рубля те банки, которые уже определились с поставщиками в этом проекте, чуть выдохнули и спокойно продолжили внедрение на своей стороне. Большая же часть банков переключилась на другие задачи.

На совещании Банка России в рамках обсуждений была получена информация, что функциональность платформы цифрового рубля будет продолжать увеличиваться, а запланированные обновления будут появляться в сроки, обозначенные регулятором. В ближайшие 2–3 года нам предстоит активная работа. Сроки запуска не будут отложены на длительный период.

В скором времени ожидаем появления даты подведения черты, которая разделит банки на тех, кто смог или не смог воспользоваться смещением сроков массового запуска платформы цифрового рубля. Объём задач будет только увеличиваться, преимущество есть у тех, кто уже начал работы. Сейчас оптимальное время для того, чтобы принять взвешенное решение и спокойно двигаться в заданном направлении.

С. ДУРЯГИН: Получая от участников пилотного проекта вопросы о необходимых доработках и запросы о сдвиге сроков широкого внедрения цифрового рубля, Банк России принял решение о переносе сроков, подчеркнув при этом, что проект продолжается и будет расширяться как по количеству участников, так и по набору операций.

Мы на себе пока перенос сроков не ощущаем. Банк России начал проект по цифровому рублю с несколькими крупнейшими банками первой волны, со временем, в ходе второй и третьей волны, к проекту присоединятся другие участники. Сейчас продолжается стадия пилота, но многие банки уже приобрели средства защиты информации ViPNet. Особенно это касается банков первой волны. С банками второй и третьей волны мы проводим работы по подготовке внедрения системы защиты инфраструктуры цифрового рубля, отрабатываем все детали, проводим консультации по техническим вопросам и наиболее привлекательной экономической модели.

Понимая необходимые сроки внедрения СКЗИ и проведения оценки влияния, мы рекомендуем всем банкам не затягивать с выбором имеющихся на рынке решений и уже сегодня планировать бюджеты, необходимые для участия в проекте по цифровому рублю.

Грамотно используя отсрочку, предоставленную Банком России до массового старта проекта, банки могут сейчас доработать свои информационные системы, чтобы обеспечить решение задач информационной безопасности, для чего мы готовы предоставить инструменты, которые позволяют оперативно решить все эти задачи и своевременно присоединиться к запуску проекта цифрового рубля.

Со своей стороны, мы предоставляем банкам на бесплатное тестирование любые наши продукты, эксперты ИнфоТеКС совместно с банковскими специалистами готовы участвовать в анализе имеющийся инфраструктуры, давать рекомендации по корректному использованию СКЗИ непосредственно для их информационных систем. Уверен, что сейчас самое подходящее время, чтобы полноценно подготовиться к масштабному запуску проекта по цифровому рублю и позволить банкам, имеющим необходимый функционал, сохранить лидерские позиции и привлечь новых клиентов.

Отдельно отмечу, что для банковской сферы мы создали официальный телеграм-канал ИнфоТеКС – Криптография в финтехе. Здесь мы делимся экспертизой, обсуждаем новейшие технологии защиты информации, рассказываем, какое ПО подходит для банков, и как его лучше интегрировать. Канал полезен для работников финансового сектора: топ-менеджеров, руководителей ИТ и ИБ подразделений, специалистов по кибербезопасности, разработчиков и других заинтересованных лиц. Присоединяйтесь к нашему сообществу, и мы будем вместе обеспечивать безопасность современного финтеха.

Беседовала Оксана Дяченко

Фото: Станислав Кравченко

Материал также опубликован в печатной версии Национального банковского журнала (май 2025)