Влияние рисков кибербезопасности на эффективность работы цифровой валюты: мировой опыт

За последние десятилетия во всем мире обозначился четкий тренд на внедрение цифровых технологий в экономику. Цифровизация происходит практически во всех сферах: в образовании, здравоохранении, государственном управлении, финансах и банковском деле, бизнесе, промышленности и т.д. Для Казахстана это относительно новый тренд, так как курс на цифровизацию и программа «Цифровой Казахстан» начали реализовываться лишь в 2018 году. Тем не менее, за 4 года Казахстан добился результатов в области цифровизации: на сегодняшний день страна входит в топ-30 самых оцифрованных государств ООН. Казахстан является одной из немногих стран, полноценно внедривших цифровые документы, население имеет возможность получать более 90% всех государственных услуг в электронном формате. 

Естественным следствием цифровой модернизации в области финансов и банковского сектора стал процесс создания Национальным Банком (НБ РК) цифровой валюты центральных банков (ЦВЦБ или CBCD), который начался в 2021 году. Цифровой тенге (ЦТ) – третий вид фиатных денег, который является обязательством НБ РК и обладает всеми теми же свойствами формы оплаты, как наличные и безналичные средства. Пилотный проект использования ЦТ планируют запустить уже в конце 2023 года, а в 2025 году полностью реализовать его функционал. 

Одновременно с ростом количества успешно внедренных проектов в области цифровизации в Казахстане повышаются риски, связанные с киберпреступлениями. 

Киберпреступления — это преступные действия, совершаемые с использованием компьютерных сетей, цифровых технологий или интернета. Они включают широкий спектр преступлений, которые могут быть направлены на компьютерные системы, данные или людей, использующих электронные устройства. 

Учитывая, что сам процесс цифровизации в Казахстане запустился лишь в 2018 году, статистика киберпреступлений также начала вестись только с данного года, и за указанный период было выявлено всего 517 случаев. Однако с течением времени данный показатель все больше повышался, и в 2022 году Комитет по правовой статистике и спецучетам Генпрокуратуры РК (КПСиСУ) зарегистрировал уже 20,4 тыс. киберпреступлений.  За первый квартал 2023 года было зафиксировано  более 4 тыс. киберпреступлений, что выше показателя аналогичного квартала 2022 года на 12%. На данный момент, по данным международной конференции Kaspersky Cyber Security Weekend, Казахстан занимает 7 место в мире по количеству киберпреступлений. 

В свете данной статистики естественно возникают вопросы: угрожают ли киберриски функционированию ЦТ в казахстанской экономике? С какими киберрисками может столкнуться НБ РК после введения ЦТ? 

НБ РК опубликовал исследование, в котором предоставил оценку потенциально возможных киберрисков, которые могут грозить ЦТ. В данном исследовании отмечается, что реализация проекта обеспечивает, как минимум, базовый уровень защищенности, что минимизирует возникновение инцидентов информационной безопасности или ущерба конфиденциальности и каких-либо данных. При этом отмечается, что для уменьшения вероятности возникновения киберрисков потребуются дальнейшие исследования и/или некоторый объем ресурсов. Таким образом, актуальной темой для Казахстана является влияние киберрисков на мировые экономики. Насколько риски кибербезопасности изучены в других странах?

Кибербезопасность определяется как набор инструментов, политик, концепций и мер безопасности, подходов по управлению рисками, действий, гарантий и технологий, которые ЦБ использует для защиты киберсреды. Такое широкое понятие позволяет каждой стране самостоятельно определять меры по борьбе с киберпреступлениями и вести собственную политику, направленную на обеспечение кибербезопасности. 

На основе данных глобальных кибератак, которые произошли в период с мая 2016 года по май 2022 года Shu Tian, Bo Zhao, Resi Ong Olivares в своем исследовании (2023) постарались оценить киберриски, которые стоят перед центральными банками (ЦБ) при внедрении ЦВЦБ. 

Риск кибербезопасности является важным фактором, определяющим решение ЦБ о введении ЦВЦБ. В зависимости от влияния киберрисков на ЦБ к ЦВЦБ авторы выделяют два вида киберрисков – киберриски частного сектора и систематические риски финансовой системы. 

Первый вид киберриска представляет собой совокупность ситуаций, в которых в результате мошеннических действий происходят кибератаки на частные кошельки криптоактивов, ввиду чего потребители несут убытки. Несмотря на то, что такие киберриски создают проблемы для защиты потребителей, киберриски частного сектора не несут опасности для национальной финансовой системы. Их возникновение положительно влияет на отношение ЦБ к ЦВЦБ, так как они являются стимулом для ЦБ на создание более надежной электронной валюты, в результате которой уменьшится количество финансовых потерь населения, утечка личных данных и проблема безопасности активов. 

Второй вид киберриска – результаты действий кибератак, нанесение которых представляет угрозу для всей национальной финансовой системы в целом. ЦВЦБ представляет собой форму фиатных денег, а значит, любой сбой в системе данной валюты может повлиять на финансовую стабильность или эффективность работы инфраструктуры оптовых и розничных платежей, вызвав финансовые потрясения, включая дефицит ликвидности или дефолт коммерческих банков. ЦБ стремятся к созданию ЦВЦБ для увеличения защиты населения и снижения рисков кибербезопасности. Однако нет никаких доказательств того, что ЦВЦБ является устойчивой к кибератакам, особенно к тем, которые наносятся по причинам, выходящими за рамки денежных целей. Такие глобальные кибератаки называются «кибервойнами» и создаются с целью нанесения ущерба государственной и гражданской инфраструктуре и нарушения работы важнейших систем страны. 

Таким образом, чтобы сохранить устойчивость национальной финансовой системы страны, НБ РК должен опережать события и предотвращать потенциально возможные риски, решая вопросы кибербезопасности и укрепляя международное сотрудничество в области регулирования. Действенным решением является обмен знаниями и опытом между НБ РК и ЦБ других стран для укрепления защиты и установления международных стандартов предотвращения рисков кибербезопасности. 

Mahardika, Permana, Maulisaa в статье (2023) изучали перспективы кибербезопасности после внедрения цифровой рупии в экономику Индонезии. Согласно авторам, конечная цель ЦБ при внедрении ЦВЦБ состоит в обеспечении устойчивости финансового рынка посредством определения и снижения (так как их невозможно полностью устранить) любых рисков. При тесной взаимосвязи между финансами и технологиями в цифровом обществе кибератака на какое-либо финансовое учреждение может быстро распространиться на всю финансовую систему и вызвать массовые нарушения и потерю доверия. Внедрение ЦВЦБ создает потенциальные проблемы кибербезопасности, которые отличаются от проблем в текущей цифровой финансовой системе. Авторы выделяют следующие риски, связанные с кибербезопасностью:

1) Вероятность возникновения большой централизации финансовых данных: внедрение ЦВЦБ может привести к созданию централизованного реестра, которая собирает и хранит информацию о финансовых операциях, под управлением ЦБ;

2) Уменьшение доступности данных для регулирующих органов: при внедрении ЦВЦБ реализуется технология блокчейн, которая может затруднить доступ регулирующих органов к данным о финансовых транзакциях, чем в случае использования традиционных финансовых систем;

3) Зависимость безопасности от целостности сторонних валидаторов, которые проверяют и подтверждают правильность транзакций и состояния сети;

4) Осложнение в хранении клиентских ключей; 

5) Зависимость безопасности от надежности производителей оборудования ЦВЦБ (серверы, узлы блокчейна, криптографические модули, аппаратные кошельки и другие компоненты); 

6) Осложненный отзыв транзакции; 

7) Возможность увеличения объема и масштаба ошибок ввиду программируемых транзакций. 

Авторы работы разработали две модели, которые рекомендуют использовать ЦБ для снижения риска кибербезопасности. В рамках первой модели ЦБ может делегировать свои полномочия по защите киберсреды сторонней организации, которая будет управлять системой от имени ЦБ. Вторая модель – это гибридный доступ через третьих лиц с использованием механизма лицензирования. При реализации этой модели ЦБ будет предоставлять лицензии операторам ЦВЦБ с положениями, применяемыми в технических регламентах, таких как обеспечение безопасности электронных систем, обеспечение надежности используемой платежной системы, включая критерии для юридических лиц для операторов ЦВЦБ. Гибридные модели распределения, позволяющие третьим сторонам или посредникам (таким как банки или оператор платежной системы) предлагать продукты и выполнять операционные функции, в то время как ЦБ сохраняет функции выпуска и распределения. Учитывая статус и правовую основу деятельности, по нашим предположениям, НБ РК больше располагает к использованию гибридной модели.

Одной из первых стран, выпустивших ЦВЦБ стали Багамы. В рабочем документе Мирового Валютного Фонда (МВФ) за февраль 2023 года представлен анализ опыта внедрения ЦВЦБ Латинской Америки и стран Карибского бассейна. Цифровая валюта Багамских островов получила название «песочный доллар» (sand dollar), была официально выпущена в октябре 2020 года и стала первой в мире цифровой валютой, которую поддерживает государство. Основными предпосылками для создания ЦВЦБ в этой стране стали желание расширить доступ к финансовым услугам населения отдаленных островов, повышение устойчивости платежной системы к внешним воздействиям и высокая стоимость наличных платежей граждан, у которых отсутствуют банковские счета, для государственных учреждений. Однако, по состоянию на конец января 2022 года, песочный доллар составлял менее 0,1% валюты в обращении и широкой денежной массы. Тем не менее, опыт внедрения ЦВЦБ в экономику Багам является весьма полезным для Казахстана, так как Багамские острова – это одни из нескольких стран, где ЦВЦБ уже полностью находится в работе. 

ЦБ Багам провел отдельную оценку киберрисков песочного доллара, отметив, что ЦВЦБ подвержена операционным и репутационным рискам, которые возникают в результате кибератак и различных сбоев. Для обеспечения кибербезопасности песочного доллара ЦБ организовал отдельное подразделение, которому поручено отслеживать киберриски. ЦБ модернизирует свои информационные и мониторинговые системы. В обязанности всех уполномоченных финансовых учреждений входит прохождение тщательной оценки кибербезопасности независимой международной фирмой, прежде чем получить разрешение на интеграцию платформы песочного доллара со своими пользовательскими приложениями. 

Также авторы представили оценку киберрисков ЦВЦБ Организации Восточно-Карибских государств, которые первыми представили цифровую валюту валютного союза под названием DCash (DXCD). На данный момент DXCD находится на стадии пилотного проекта, но Организация уже оценила некоторые киберриски ее внедрения и провела соответствующие меры по их снижению. Для минимизации рисков кибербезопасности пилотный проект ограничен объемом системной интеграции. Систему DXCD не планируется связывать с основными платежными системами ЦБ, например, такими как система быстрых денежных переводов (RTGS), банковскими операционными системами  или палатой автоматизированных расчетов (ACH), когда деньги перемещаются между банками без использования бумажных чеков, денежных переводов, сетей кредитных карт или наличных денег. Такой подход, основанный на высокой степени неопределенности киберрисков, одобряется МВФ. Однако при этом подчеркивается, что после пилотной версии ЦБ будет необходимо провести дополнительные тестирования для оценки рисков и уязвимостей после подключения системы ЦВЦБ к другим платежным и операционным системам ЦБ и финансовых учреждений.

Таким образом, можно заключить, что внедрение ЦВЦБ является абсолютно новым проектом для экономик всего мира. Только слаженная работа всех подразделений ЦБ сможет ввести данную систему с максимальной эффективностью. На сегодняшний день, при оценке киберрисков, НБ РК следует придерживаться общих правил. К ним относится обмен опытом между ЦБ, разработка дополнительной организации для оценки, анализа и предотвращения рисков кибербезопасности, тщательное тестирование ЦВЦБ на этапе пилотного проекта.