Банки по-разному оценивают готовность к переходу на цифровой рубль

Яков Шпунт 09 Января 2025 - 13:22

...

Банки по-разному оценивают готовность к переходу на цифровой рубль

Мнения банков относительно масштабного запуска цифрового рубля, намеченного на середину 2025 года, заметно разошлись. Большинство крупных организаций заявили о готовности к старту в июле, тогда как Сбербанк и малые банки считают более целесообразным перенести это на 2026 год.

Представители Сбербанка отметили, что запуск цифрового рубля в 2026 году выглядит более реалистичным.

Основной причиной являются значительные расходы, связанные с интеграцией новых функций в ИТ-системы не только кредитных учреждений, но и торговых организаций.

«Разработка и тестирование функционала цифрового рубля продолжаются, и многие банки считают, что запуск стоит отложить на более поздний срок — не раньше 2026 года. Платформа цифрового рубля находится в стадии разработки, и в нее регулярно вносятся принципиальные изменения», — сообщил представитель Сбербанка в интервью РБК.

Малые банки, как указал источник РБК, ожидают появления готовых модулей для работы с цифровым рублем. По данным экспертов, затраты на адаптацию ИТ-инфраструктуры для малых банков в несколько раз превышают их годовые бюджеты на информационные технологии.

При этом рентабельность таких инвестиций остается сомнительной даже для средних кредитных организаций. В 2025 году подключение к инфраструктуре цифрового рубля, вероятно, станет основной статьей расходов в ИТ-бюджетах российских банков.

В то же время 12 из 13 системно значимых банков, за исключением Сбербанка, заявили РБК о полной готовности к запуску операций с цифровым рублем в установленные регулятором сроки — 1 июля 2025 года. ВТБ даже сообщил, что готов приступить к операциям раньше, уже в первом квартале нового года.

Председатель Национального совета финансового рынка (НСФР) Андрей Емелин подтвердил РБК, что крупнейшие банки завершили большую часть подготовки для запуска цифрового рубля.

Однако директор группы «Цифровые финансы» компании Kept Анастасия Калугина подчеркнула необходимость доработки регуляторных мер, связанных с защитой данных и борьбой с отмыванием денег. По ее словам, на это может потребоваться до двух лет.

Кроме того, законопроект, регулирующий сроки перехода к цифровому рублю, пока не внесен в Государственную думу. Тем не менее глава думского комитета по финансовым рынкам Анатолий Аксаков заявил РБК, что документ будет принят сразу в трех чтениях уже в первом квартале 2025 года.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 04 Февраля 2026 - 21:18

Уязвимости программ Домашние пользователи Корпорации

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий: