Banki.ru
© ComNews
09.07.2014

Компания "КиберПлат" предложила амбициозный проект — отечественный аналог сети обмена финансовой информацией SWIFT, призванный обезопасить российскую банковскую систему от международных санкций. Портал Банки.ру разбирался, зачем понадобилось менять SWIFT и чем именно его собираются заменить.

Напомним, SWIFT (Society for Worldwide Interbank Financial Telecommunications) — сеть, связывающая более 9 тыс. финансовых институтов мира и предназначенная для обмена финансовой информацией между банками и участниками фондового рынка.

Каждый участник системы имеет уникальный SWIFT-код, позволяющий адресовать ему сообщения. Чтобы выполнить денежный перевод через SWIFT, достаточно знать SWIFT-код банка и IBAN-код счета получателя. Большая часть трафика сети SWIFT — платежные поручения, именно эта система проводит основную долю международных денежных переводов.

"Отлучение" российских банков от SWIFT стало бы серьезным ударом по финансовой системе и нанесло существенный урон международной торговле. И это отнюдь не является невероятным событием: так, в 2012 году банки Ирана в рамках международных санкций были отключены от SWIFT, и до сих пор вся внешняя экономическая деятельность этой страны сопровождается банками соседних стран.

Нашумевшие поправки к федеральному закону "О национальной платежной системе", призванные защитить российские банки от санкций по линии международных платежных систем, в данном случае не работают: SWIFT не является платежной системой, так как ни клиринга, ни расчетов не производит, а лишь предоставляет транспорт для финансовых документов. При этом весь обмен информацией в системе проходит через два операционных центра, расположенные в США и Нидерландах.

Отечественная компания "КиберПлат", известная своей системой электронных платежей, решила продвинуть проект замены SWIFT отечественным, причем более технологически совершенным аналогом, работающим параллельно международной системе. Если CyberSWIFT, как будет называться новая система, получит распространение хотя бы на территории нашей страны, отечественные банки в условиях санкций по линии SWIFT смогут проводить платежи между собой и с теми иностранными банками, которые подключатся к CyberSWIFT.

Основная идея CyberSWIFT очень проста — дублирование и постепенное замещение SWIFT. Расчет на то, что простое и бесплатное подключение, низкая ставка комиссии за трансакцию и более гибкие протоколы побудят банки и компании массово подключаться к новой системе, а это позволит ей в перспективе полностью заместить SWIFT, обезопасив российскую банковскую систему от утечек финансовой информации за рубеж. И в определенной степени — от политического давления через SWIFT.

Правда, уже после того как проект был представлен на заседании Национального платежного совета, стало известно, что SWIFT планирует создать операционный центр в России. Это до некоторой степени снижает необходимость в новой системе. Тем не менее за душой у CyberSWIFT есть немало преимуществ в силу отсутствия балласта устаревших технологий.

Технологически CyberSWIFT отличается от SWIFT как 2000-е годы от 1980-х. Там, где у SWIFT аппаратура, у CyberSWIFT — программное обеспечение, а где у SWIFT узкая специализация, у CyberSWIFT — универсальность. Разработчики CyberSWIFT делают акцент на мультихабовости, совместимости, доступности, универсальности и расширяемости системы.

Мультихабовость означает, что сообщения идут не через один — два операционных центра, как в SWIFT, а по наиболее оптимальному маршруту — через локальные узлы. Скажем, сообщение от одного московского банка другому московскому банку идет через нидерландский операционный центр SWIFT, что неоптимально и небезопасно. В CyberSWIFT в такой ситуации сообщение пойдет через московский региональный узел или даже через узел банковской группы, если оба банка-корреспондента принадлежат одной группе.

Совместимость позволяет не зависеть от разветвленности сети CyberSWIFT: если, например, получатель сообщения не подключен к этой системе или требуется отправить сообщение не поддерживаемого CyberSWIFT типа, оно отправится традиционным путем, через SWIFT, незаметно для отправителя (только комиссия будет выше, согласно расценкам SWIFT).

Доступность обеспечивается простотой и дешевизной подключения к CyberSWIFT. В отличие от SWIFT, не нужно устанавливать специальные сертифицированные терминалы и организовывать выделенные каналы. Подойдет любой компьютер, имеющий доступ к Интернету. А стоимость передачи сообщения составляет 50% от стоимости аналогичной трансакции, переданной через SWIFT.

Универсальность CyberSWIFT означает, что сеть может использоваться не только для обмена платежными поручениями между банками, но и для связи между клиентом и банком. Это позволяет компаниям, работающим с несколькими банками, использовать лишь один программный продукт вместо того, чтобы разводить "зоопарк" разнообразных приложений "банк — клиент".

Расширяемость — последнее по порядку, но не по значению преимущество CyberSWIFT. В силу жесткой архитектуры внедрение новых возможностей в SWIFT затягивается на годы, CyberSWIFT же рассчитан на то, чтобы быстро реагировать на постоянно меняющиеся требования рынка. Карточные банкоматные трансакции, автоплатежи, е-инвойсинг(возможность обмена юрлиц счетами-фактурами без применения бумажных носителей), прямое дебетование — все это будет поддерживаться CyberSWIFT. И нет особых сложностей в добавлении чего-либо нового, что появится на рынке.

Безусловно, крайне важным является вопрос безопасности новой системы. При использовании обычных компьютеров и общедоступных каналов связи существует множество рисков компрометации одного или нескольких элементов цепочки передачи трансакций. В целом средства аппаратного шифрования и выделенные каналы связи обеспечивают больший уровень безопасности. Но следует учитывать, что наличие "закладок" в аппаратуре и физическое подключение к линии могут свести к нулю все преимущества такого подхода. И никакая сертификация не обеспечит 100% защиты.

В то же время программный продукт гораздо более удобен для аудита на предмет уязвимостей, а в случае обнаружения таковых его легко можно обновить, повысив уровень защищенности. И, наконец, представители "КиберПлат" ссылаются на свой солидный опыт работы на рынке. За 16 лет работы передано 10 млрд трансакций, при этом не было зафиксировано ни одного взлома системы, что вселяет определенную уверенность в оправданности подхода компании к информационной безопасности.

Управляющий директор Optima Infosecurity (Группа Optima) Неманья Никитович не считает программное шифрование уязвимым местом системы: "В том, что касается шифрования, замена аппаратного шифрования на программное может и не оказаться критической, так как эффективность их в сущности одинакова. Хотя аппаратное шифрование — более быстрое. Думаю, внедрение системы будет происходить вместе с внедрением местных требований к шифрованию, которые, судя по всему, будут отличны от требований, принятых сегодня во всем мире и применяемых при любой финансовой операции. Нет сомнений, что качественную систему шифрования удастся создать, но вопрос ее интеграции с другими системами, а также простоты и скорости работы остается открытым".

Использование открытых каналов связи подвергает систему угрозам еще одного типа — так называемым DoS-атакам (от англ. Denial of Service, отказ в обслуживании). Суть их заключается в отправке специально генерируемого мусорного сетевого трафика. Такие атаки, проводимые через Интернет, позволяют парализовать работу какого-либо онлайн-сервиса. Целью может являться и узел CyberSWIFT. Методов DoS-атак множество, некоторые основаны на использовании уязвимостей сервера, другие атакуют сетевое оборудование провайдера, третьи полностью забивают каналы связи вплоть до магистральных.

"КиберПлат" утверждает, что их серверы крайне устойчивы к DoS-атакам — так, им удалось устоять в недавней атаке мощностью 10 Гбит/с. Но не секрет, что киберпреступники уже освоили атаки значительно большей мощности (до 100 Гбит/с), да и защитить собственно серверы недостаточно — "обрушение" сетевой инфраструктуры вызовет тот же эффект. Такие прецеденты известны, и даже при активном противодействии со стороны провайдеров и служб информационной безопасности атака может иметь эффект на протяжении многих часов и даже дней. Для меньшей уязвимости перед такими угрозами организации могут подключаться и по выделенному каналу — такую возможность предоставляет "КиберПлат".

По мнению Никитовича, проект имеет право на существование. "Это весьма амбициозная задача, выполнение которой отразится на всей системе расчетов в России. Есть примеры успешного решения такой задачи: к примеру, в США существует собственная система расчетов, действующая только внутри страны. Основной проблемой будет интеграция с международными расчетными системами", — заключает эксперт.