«Главный риск — низкая популярность»: что известно о кибербезопасности Цифрового рубля

Что такое цифровой рубль: новый выход на зарубежных контрагентов — или «пятое колесо» к сложившейся системе

Наличные деньги рвутся и теряются, а безнал подвержен комиссиям и лимитам от банков. Цифровой рубль (ЦР) позиционировался как третий вариант рубля, лишённый этих (и других) недостатков. Счета цифрового рубля будут открываться на платформе ЦБ, операции по этой валюте будут проходить там же, но обещают доступ и через банковские приложения.

Одним из ключевых преимуществ цифрового рубля в ЦБ называют перспективу для создания новых механизмов для трансграничных расчетов. Из отчета банка следует, что потенциально цифровой рубль «устранит многие барьеры, характерные для традиционных международных платежей». Контрагенты из разных стран смогут проводить операции без посредников — а значит, деньги будут проходить быстрее, плюс с меньшей комиссией.

Цифровой рубль в разработке с 2020 года. Идея Центробанка России о создании собственной цифровой валюты не была авангардной: по оценке Банка международных расчётов, в том же году более 80% банков всего мира вели аналогичные разработки. Платформа строилась с расчетом на возможную интеграцию с зарубежными платформами центральных валют центробанков (ЦВЦБ) для трансграничных расчетов.

Тестировать ЦР начали уже в январе 2022 года, а пилот запустили в 2023 году — к обкатке проекта допустили 12 банков, среди которых были «Альфа-Банк», «Дом.РФ», «ВТБ» и другие. По данным сайта ЦБ РФ, на 2025 год в пилоте участвуют уже 20 банков, еще 28 намерены подключиться.

Внедрить цифровой рубль планировали еще в июне 2025 года, но планы сдвинулись на середину 2026 года. Перенос объясняли сложностями, с которыми столкнулись банки: как писал Frank Media, были вопросы по работе банков с базами данных в автоматизированных банковских системах (не все успешно мигрировали с решений Oracle), вызывали беспокойство и вопросы по обеспечению энергобезопасности.

Пока же бизнес с трудом понимает, с чем ему предстоит столкнуться, когда дело дойдёт до работы с цифровым рублём, отмечает председатель Российско-азиатского союза промышленников и предпринимателей (РАСПП) Виталий Манкевич. Это же касается условий и правил использования цифрового рубля во внешнеторговых сделках. Но Манкевич не видит в этом большого препятствия — проект проходит пилотную «обкатку», его дорабатывают на основе отзывов. Сырой продукт не нужен ни российскому рынку, ни иностранным партнёрам. «Еще до запуска цифрового рубля нужно заложить в проект практически 100-процентную вероятность его попадания под санкции, как это уже произошло с СПФС (Система передачи финансовых сообщений Банка России), «МИР», СБП», — отмечает эксперт.

Манкевич обращает внимание на другую проблему, касающуюся внедрения цифрового рубля в трансграничные расчеты, — в чём будет ключевое преимущество этого способа расчетов сравнительно с другими схемами? «Ведь бизнес уже работает сейчас по устоявшимся схемам и с Китаем, и с Индией, со странами Юго-Восточной Азии. Более того, это же самое придется объяснить и иностранным участникам ВЭД – почему они должны переходить с проверенных способов платежей на что-то принципиально новое? В этом и суть – для такого перехода должны быть веские основания и полная прозрачность», — подчеркивает председатель РАСПП.

Если проект не будут продвигать за границей, считает эксперт, то он рискует стать «пятым колесом» в уже состоявшейся системе взаимодействия между контрагентами. И более того: ключевые партнёры в лице Китая и Индии тоже реализуют свои проекты цифрового юаня и цифровой рупии. Как отмечает Манкевич, они достигли уже куда более продвинутой стадии — и этот опыт необходимо учитывать.

По итогу цифровой рубль с самого начала своей работы будет рискованной опцией для иностранных партнёров. И как будет устроена безопасность зарубежных фирм, работающих с ЦР, тоже остаётся открытым вопросом, говорит эксперт.

Позиция ЦБ о безопасности цифрового рубля

За безопасность цифрового рубля отвечают как Центробанк, как держатель платформы, на которой хранятся счета, так и банки, заявили SecPost в пресс-службе Банка России. Но, отвечая на вопрос об устройстве безопасности платформы, ЦБ не углубляется в подробности. Представитель ЦБ отмечает, что подход банка предполагает «использование лучших практик защиты безналичных платежей, отечественных стандартов информационной безопасности финансовой сферы, требований федеральных органов исполнительной власти, включая применение сертифицированных средств криптографической защиты информации.

Уже разработаны правила, которые следует соблюдать кредитным организациям и банкам, участвующим в проекте. Так, согласно Положению Банка России от 7.12.2023 № 833-П участники платформы должны проходить оценку по ГОСТу о Защите информации финансовых организаций не реже чем раз в два года, уровень соответствия при этом должен быть не ниже четвертого. 

Согласно национальному стандарту о Безопасности финансовых (банковских) операций, четвертый уровень соответствия подразумевает, что «организационные и технические меры процесса системы защиты информации (ЗИ) реализуются в полном объеме на постоянной основе», а совершенствование системы ЗИ «в основном» ведется. Для сравнения, при третьем уровне соответствия, организационные меры процесса системы защиты информации «реализуются в значительном количестве на постоянной основе». Другое отличие — контроль и совершенствование системы защиты информации «осуществляются бессистемно и/или эпизодически». 

Также участники платформы должны ежегодно проходить тесты на проникновение и анализ уязвимостей в ИБ объектов информационной инфраструктуры.

«Банки, которые являются участниками платформы цифрового рубля, обязаны проводить мероприятия по противодействию переводам денежных средств без добровольного согласия клиента, в том числе при приеме к исполнению распоряжений клиентов об операциях с цифровыми рублями», — поясняет Центробанк в ответ на запрос SecPost.

Чуть больше подробностей о защищенности цифрового рубля содержится в отчете Центробанка о статусе проекта за июнь 2025 года. В нём отмечается, что важный аспект обеспечения ИБ — «минимизация рисков технологической зависимости реализуемой инфраструктуры от поставщиков ИТ-услуг и решений». К опыту коллег из ИБ в Центробанке, очевидно, обращались — по итогу реализовали решение в виде специализированного программного модуля, который выстраивается в мобильные приложения участников проекта цифрового рубля.

«В соответствии с требованиями Банка России ведущие специалисты по средствам криптографической защиты информации (СКЗИ) разных компаний разработали три программных модуля, содержащих сертифицированные СКЗИ, готовые к встраиванию в мобильные приложения участников платформы», — сказано в отчёте.

К сожалению, в отчете Центробанка не сказано, какие компании разрабатывали программные модули для банков. Но о собственных разработках заявляли, как минимум, R-Style Softlab, «ИнфоТекС», «Код Безопасности», BSS и SimbirSoft (совместно с Синара Лаб).

Уникальных уязвимостей не ждут, но риски остаются

Внедрение цифрового рубля, скорее всего, обойдётся без возникновения уникальных технических уязвимостей, считает коммерческий директор компании «Код Безопасности» Фёдор Дбар. Ведущий менеджер отдела продаж «ИнфоТекС» Александр Самыловский также считает, что решения для защиты традиционных платёжных систем во многом схожи. И финансовый сектор уже показывает достаточно зрелый подход к кибербезу, как правило — защита выстроена на высоком уровне.

«Применяемые в секторе решения остаются релевантными, поскольку задача заключается в защите от конкретных векторов атак, а не в обеспечении безопасности отдельной бизнес-технологии», — подчеркивает Дбар.

Самыловский отмечает, что, пускай решения для цифровых валют схожи, но в качестве дополнительных мер для обеспечения безопасности для CBDC (Central bank digital currency, цифровой валюты центрального банка) можно отметить усиленные механизмы защиты пользовательских ключей. Также для безопасности имеют смысл выделение инфраструктуры CBDC в отдельные защищаемые контуры, и, конечно, применение устройств шифрования и цифровых подписей более высокого класса защиты.

«Решения ИнфоТеКС защищают участников платформы цифрового рубля от различных сценариев кибератак, например, перехвата и переиспользования легитимной транзакции цифрового рубля в мошеннических и нелегитимных операциях, попытки получения ключа пользователя, получения несанкционированного доступа в инфраструктуру цифрового рубля финансовых посредников», — говорит о разработках своей компании Самыловский.

Говоря о возможных сценариях кибератак на кошелёк, хранимый на платформе цифрового рубля, Дбар приводит в пример атаку по пользовательскому кошельку. В таком случае целью злоумышленников становится получение доступа к учётным данным владельца кошелька, включая двухфакторную аутентификацию.

«Наиболее вероятные векторы атак включают использование слабых или ранее скомпрометированных паролей, методы социальной инженерии, такие как фишинговые рассылки и ложные звонки с целью получения СМС-кодов подтверждения, а также эксплуатацию уязвимостей в стандартном программном окружении и сетевом оборудовании», — отмечает представитель «Кода Безопасности».

Дбар считает, что внедрение цифрового рубля вряд ли создаст необходимость в каких-то новых компетенциях и специализациях в ИБ. Но он же отмечает, что специалистам придётся углубленно изучить технологические аспекты реализации ЦР, в частности вопросы распределённых вычислений и архитектуру распределенных реестров. Самыловский тоже видит перспективу в защите распределенных систем, в частности системы квантового распределения ключей.

Способ полностью обезопасить цифровой рубль — отрезать от других валют

Опрошенные специалисты из IT-сектора, не заявлявшие об участии в разработке цифрового рубля, видят сразу несколько направлений, представляющих угрозу для проекта. Ведущий бизнес-архитектор департамента «Банки и финансы» компании «Рексофт» Мария Мееревич отмечает, что главный риск для цифровой валюты — системная киберустойчивость и зависимость от единого контура ЦБ РФ.

«При централизации эмиссии и обращения цифрового рубля возможен эффект «единой точки отказа»: успешная атака способна парализовать национальные расчеты и платежи, а число кибератак только продолжает расти», — отмечает Мееревич.

Проблемы могут возникнуть и в «стыках» платформы ЦБ РФ с другими ресурсами — например, интеграции с госуслугами и банковскими приложениями, считает Мееревич. Всё это создаёт большую поверхность атаки.

По мнению эксперта «Рексофт», актуальными остаются риски, связанные с социальной инженерией — в финтехе, по словам Мареевич, на них приходится до половины атак. С ней сходится во мнении архитектор информационной безопасности и vCISO UserGate Дмитрий Овчинников.

«В части расчетов и использования цифрового рубля, стоит больше опасаться действия мошенников посредством методов социальной инженерии, а не последствий взломов или недостаточной надежности критический ИТ-инфраструктуры», — считает Овчинников.

Главный системный риск для цифрового рубля, отмечает Овчинников, это систематические и глобальные сбои в работе интернета. Это может сильно затруднить использование цифрового рубля — впрочем, как и безналичные расчеты банковскими картами.

Единственный способ для цифрового рубля стать безопасной альтернативой другим валютам — если он будет обращаться только в России, и при этом его нельзя будет конвертировать в наличные или безналичные деньги.

«Только при таком сценарии можно будет гарантировать возврат средств в случае мошеннических операций», — подчеркивает Овчинников.

Руководитель аналитического центра компании Zecurion Владимир Ульянов обращает внимание на другой существенный риск для цифрового рубля: он может оказаться попросту ненужным.

«Пока люди не понимают, что это такое, зачем оно нужно, не знают его преимуществ. Не значит, что их нет, но люди пока не в курсе либо не видят выгод для себя», — говорит Ульянов.

Цифровой рубль еще не запустили, но его уже используют мошенники

SecPost направил запросы в ведущие банки России, учавствующие в программе Цифрового рубля: «Сбер, «Центр-Инвест», «Альфа-Банк», «Синара» и «Газпромбанк». Ответ поступил только от последнего.

Полной ясности о том, как юридически и технически будет распределена ответственность между банками и платформой ЦБ, пока нет, отмечает заместитель начальника Департамента защиты информации «Газпромбанка» Алексей Плешков. Граница ответственности сейчас прорабатывается ЦБ РФ — в работе юридические аспекты этого вопроса.

Отвечая на вопрос о том, какие дополнительные меры аутентификации и защиты будут встроены в мобильные банковские приложения, Плешков отмечает, что они будут аналогичны тем, которые уже используются. «Не исключено, что для сложных (нестандартных) банковских операций, в которых могут быть задействованы компоненты цифрового рубля, могут быть внедрены усиленные меры аутентификации и защиты», — отмечает эксперт. Разумеется, эти дополнительные меры будут согласованы и одобрены ЦБ РФ.

По словам Плешкова, если от ЦБ РФ поступят дополнительные письменные указания и рекомендации по внедрению дополнительных средств защиты в приложение, то «Газпромбанк» выполнит их в «минимально возможные сроки».

Отвечая на вопрос о том, какие сценарии социальной инженерии и мошенничества, специфичные для цифрового рубля, предусматривают в банке, Плешков подчеркивает: пока ещё инструменты для совершения операций с ЦР только начинают свой путь, так что на текущем этапе они ограничены. Но ЦР уже используется мошенниками как способ манипуляции людьми — злоумышленники эксплуатируют тему внедрения цифрового рубля, вводя пострадавших в заблуждение.

В качестве примера Плешков приводит четыре сценария:

1. Мошенники звонят от имени работников ЦБ РФ или кредитно-финансовых организаций и предлагают «защитить накопленные безналичные деньги от автоматической конвертации в цифровой рубль» — и рекомендуют перевести деньги на их «безопасные счета».
2. Рассылки через SMS и мессенджеры, в которых мошенники предлагают «подтвердить факт отказа от начисления заработной платы в цифровых рублях». В этом сценарии мошенники пытаются получить одноразовый код от портала «Госуслуги» или перевести пострадавшего по ссылке.
3. SCAM-приложения для подростков в социальных сетях, где детям предлагают поучаствовать в конкурсах с розыгрышем «цифровых рублей». Так мошенники пытаются получить доступ к электронным реквизитам и вывести человека на фишинговое письмо.
4. Злоумышленники используют тему цифрового рубля и в офлайне. Представляясь сотрудниками социальных служб, они предлагают пожилым людям оформить письменный отказ от получения пенсии в цифровых рублях.