Накануне, 20 июня, произошла кибератака на Национальную систему платежных карт (НСПК) — самая масштабная на финансовые структуры РФ за последние годы, считают эксперты. В течение нескольких часов не проходили или проходили не с первого раза некоторые платежи в интернете и переводы через СБП. Серьёзного ущерба инцидент не причинил, но для предотвращения таких кибератак в дальнейшем потребуются дополнительные меры защиты.

Источник изображения: WELC0MEИ0 / pixabay.com

Сбои в работе некоторых сервисов НСПК начали проявляться 20 июня около 10:00 мск. Не проходили некоторые платежи через банковские карты и СБП — последняя заработала в штатном режиме к обеду, а восстановление службы 3D Secure для подтверждения платежей через интернет заняло более продолжительное время. В НСПК факт инцидента подтвердили и уточнили, что это была инфраструктурная DDoS-атака — специалисты платформы были готовы к ней, поэтому её эффект оказался «кратковременным», а затронуты оказались лишь некоторые службы. Днём ранее та же группа киберпреступников атаковала несколько крупных российских банков, но особого эффекта это не возымело — возможно, это была репетиция, предположили источники «Коммерсанта».

Для атаки на НСПК злоумышленники выбрали метод ковровой атаки, при котором нападение осуществляется на все ресурсы жертвы одновременно — из-за этого перегрузке подвергается всё пограничное сетевое оборудование, и нарушается связанность сетей. Защититься от атаки этого типа сложнее, потому что обычное в таких случаях перенаправление запроса по несуществующему сетевому маршруту влечёт полную недоступность службы. Есть мнение, что реакция специалистов НСПК была неверной — они должны были запустить резервные серверы, но этого не случилось. Возможно, проблема в том, что организаторы атаки были осведомлены об особенностях работы системы платежей, знали, как обойти системы мониторинга, поэтому резервные мощности не подключились.

В последний раз настолько масштабная атака на российские финансовые службы была зафиксирована в сентябре 2021 года — её жертвой оказался провайдер Orange Business Services, который обрабатывал значительную часть банковского трафика по картам. В результате платежи по картам и СБП шли с перебоями в течение трёх часов. Тогда атака, по мнению экспертов, была «значительно мощнее» — она затронула не только интернет-платежи и СБП, но также банкоматы и магазины. На этот раз НСПК оказалась лишь самой заметной целью — инцидент затронул и другие российские организации, включая банки, а также «Ростелеком» и МТС, но заметного ущерба злоумышленники причинить не смогли. Тем не менее, атака оказалась успешной, и причины этого необходимо будет установить, чтобы не допускать таких инцидентов впредь.

В ближайшем будущем многие кредитные организации позволят жителям России оплачивать налоги, штрафы и другие выплаты государственным органам с помощью Системы быстрых платежей (СБП). По данным СМИ, это позволит немедленно зачислять средства в государственный бюджет и, главное, значительно снизит число ошибок при заполнении платёжных реквизитов, оплата по которым в перспективе может быть полностью вытеснена из финансового сектора.

Источник изображения: Jenny Ueberberg/unsplash.com

Как сообщают «Известия», СБП предоставляет возможность кредитным организациям интегрировать систему оплаты (Consumer-to-Government — C2G) для перечислений средств государству. Это обеспечит быструю и удобную уплату налогов, штрафов и других отчислений без сложных бюрократических процедур и, конечно, походов в банки. Помимо того, что деньги поступают в бюджет немедленно, заметно уменьшается возможность ошибок на этапе оформления платежей — необходимо будет только указать уникальный идентификатор начисления и завершить оплату без ручного ввода дополнительных данных — подобного решения многие россияне ждали десятилетиями.

В июле подобный метод оплаты протестировал банк «Синара», готовятся к участию в проекте реализации C2G-технологий банки «Хоум Кредит», крымский РНКБ, Газпромбанк, ПСБ, «Абсолют» и МКБ, соответствующую возможность рассматривают и Росбанке, «Зените» и «Открытии». Ожидается, что главным преимуществом станет значительное снижения числа «потерявшихся» платежей, поскольку система позволит исключить человеческий фактор при вводе реквизитов. В банках не исключают, что в долгосрочной перспективе подобная система может стать универсальным методом для всех кредитных организаций.

Эксперты отмечают, что сегодня при уплате штрафов и других платежей зачастую взимается комиссия, причём платежи по реквизитам иногда идут до трёх дней, не позволяя уложиться в льготный период. Хотя позже сроки платежа можно оспорить, это создаёт дополнительные проблемы.

Как сообщают «Известия», всего по налогам, пошлинам и штрафам в прошлом году было совершено порядка 85 млн платежей, поэтому новый сервис СБП обещает быть крайне востребованным среди населения.

В скором будущем в России у пользователей гаджетов с NFC могут появиться дополнительные возможности. С уходом платёжных систем вроде Apple Pay и Google Pay альтернативой способен стать вариант «СБПэй», разрабатываемый НСПК в рамках Системы быстрых платежей (СБП). Помимо привычных платёжных функций будут и дополнительные — например, возможность превратить классический смартфон в платёжный терминал.

Источник изображения: НСПК

По данным «Известий», соответствующая функциональность «пропилотирована» Делобанком, в дальнейшем её намерены внедрить ВТБ и РНКБ. Примечательно, что добавить новую возможность обещают как в Android, так и в iOS. Такой метод приёма платежей, как ожидается, будет популярен среди представителей и/или сотрудников малого бизнеса вроде курьеров или работников салонов красоты.

Предполагается, что для приёма платежей будет применяться смартфон продавца с технологией SoftPOS, а у клиента должно будет быть установлено приложение «СБПэй». Система совместима с Android от шестой версии и с iOS от тринадцатой. По данным издания, Делобанк успешно протестировал технологию и «готов к её промышленному использованию». Аналогичное решение для малого и среднего бизнеса намерены в ближайшее время внедрять и в ВТБ, а также крымском РНКБ, перспективным его считают и в других крупных банках.

Технология SoftPOS, способная превратить обычный смартфон с NFC в платёжный терминал, развивалась при участии Visa и Mastercard, а также системы «Мир». По словам представителя банка «Русский стандарт», технология актуальна для представителей ресторанного бизнеса, служб курьерской доставки и даже благотворительности. Известно, что систему «СБПэй» поддерживают 114 банков, включая крупнейшие. По мнению экспертов, благодаря технологии использования смартфона в качестве терминала бизнес сможет существенно сократить затраты на оборудование и самообслуживание. В отличие от традиционного эквайринга, комиссия за транзакции не будет превышать 0,7 %.

На днях сообщалось, что для повсеместного внедрения поддержки «СБПэй» потребуется доработка программного обеспечения.

Ещё в феврале Apple представила функцию со схожей функциональностью для iOS. Tap to Pay позволяет использовать в качестве POS-терминалов iPhone, но в России соответствующая возможность не поддерживается, как и Apple Pay в целом.