Особенности информационной безопасности децентрализованных и гибридных технологий реализации

При реализации решений с использованием технологии распределенных реестров возникают задачи, которые в силу их специфики предполагается классифицировать на следующих уровнях: технологическом (безопасность применяемых протоколов и уровня данных), уровне прикладного программного обеспечения и техническом уровне (уровень инфраструктуры).

Для успешной реализации ЦВЦБ в каждом конкретном случае требуется индивидуальный анализ безопасности, криптографических функций, функциональных аспектов, а также формирование группы защитных мер по следующим направлениям:

- взаимодействие ЦВЦБ со сторонними системами, реализованными в том числе с применением иностранных криптографических алгоритмов, при осуществлении трансграничных платежей;

- реализация офлайн-платежей, включая разработку соответствующих математических и физических моделей (аппаратно-программных прототипов);

- подтверждение формальной платежеспособности ЦВЦБ, в том числе при расчетах в офлайн-режиме, подтверждение законности владения предъявляемой ЦВЦБ и исключения неавторизованного использования ЦВЦБ третьими лицами без согласия владельца ЦВЦБ;

- обеспечение доверия к процессу разработки смарт-контрактов, документальной базы для сертификации смарт-контрактов и процессов их разработки.

Вне зависимости от технологической платформы следует отметить, что организация трансграничного взаимодействия требует создания так называемой среды доверия, учитывающей различия национального регулирования операторов экосистем. Ограничения на применение средств криптографической защиты информации, отсутствие единых стандартов обеспечения информационной безопасности (в том числе криптографических) и единой системы сертификации для международных процедур проведения оценки соответствия (аудита), с одной стороны, являются причиной, обусловливающей потребность в единых распределенных или гибридных системах, с другой, - в силу обязательности этих требований - диктуют необходимость разработки юридических конструкций, позволяющих избежать противоречия с действующими нормами.

Примером, иллюстрирующим сложность подобной задачи, является организация кросс-платформенного взаимодействия в пределах юрисдикции Российской Федерации. Для того чтобы функционирование структуры ЦВЦБ было безопасным, необходимо обеспечить мониторинг информационной безопасности кросс-платформенных операций, а также конфиденциальность и целостность информации при передаче между разнородными платформами. Помимо этого, система должна позволять вести корректный учет и контроль действий и статусов операций, а также отслеживать доступность сервисов и скорость передачи информации. Обязательным условием является возможность встраивания и интеграции протоколов взаимодействия, форматов передачи информации, включая взаимное признание применяемых криптографических протоколов.

В целом независимо от того, какая технологическая платформа будет выбрана, задачами обеспечения информационной безопасности ЦВЦБ остаются обеспечение целостности, доступности, конфиденциальности информации, подтверждение авторства, минимизация рисков технологической зависимости реализуемой инфраструктуры от поставщиков ИТ-услуг, продуктов и сервисов, обеспечение применения доверенных программных и аппаратных компонентов как в узлах экосистемы, так и в рамках розничного применения, а также противодействие социальной инженерии.

Для борьбы с угрозами информационной безопасности, связанными с социальной инженерией в отношении конечных потребителей, необходимо активно развивать и наращивать объем аудитории программ повышения финансовой грамотности, кибергигиены и осведомленности потребителей услуг ЦВЦБ о рисках нарушения информационной безопасности и способах противодействия мошенникам.