Безопасный интернет-банк: миф и реальность

22 августа 2011, 19:28
Павел Есаков, заместитель директора по продажам в финансовом секторе, CompuTel
 
Последние полтора–два года наблюдается определенный рост спроса на системы интернет-банка для розничных клиентов.За этим явлением стоит ряд объективных причин, среди которых можно отметить и влияние финансового кризиса. Сокращение издержек – один из способов улучшить положение банка, а ни для кого не секрет, что стоимость операции в Интернете более чем на порядок ниже, чем та же операция, проводимая в отделении банка.Если добавить к сокращению издержек и другие положительные моменты, связанные с проведением операций в Интернете, такие как доступность услуг практически в режиме 24х7, отсутствие необходимости посещения офиса банка (и отсутствие очереди к окошку операциониста), то заинтересованность банка в предоставлении услуг в дистанционном режиме становится вполне понятной.Да что говорить – даже Сбербанк при его филиальной сети предпринимает решительные меры по выдавливанию розничных клиентов из отделений, что легко достигается введением комиссии в 2,9% за обслуживание в отделении.
 
При наличии банков с государственным участием для остальных участников розничного банковского сектора развитие систем дистанционного банковского обслуживания – один из немногих шансов скомпенсировать отсутствие обширной филиальной сети и составить конкуренцию за счет расширения спектра услуг, предлагаемых в дистанционном режиме.
 
Что же является решающим при выборе интернет-решения для банка?Тут мнения расходятся.Очень часто на первое место выдвигается требование удобства для пользователя, иногда основным требованием является предоставление большого количества возможностей по управления счетами клиента, иногда выбор диктуется уровнем защищенности решения.Как всегда, имеют значение и цена решения и общая стоимость владения.Опросы банкиров тем не менее ставят безопасность как фактор номер два, влияющий на выбор.
 
Нельзя не отметить, что удобство для пользователя, безопасность и общая стоимость владения находятся в определенном противоречии, и поиск нужного компромисса и есть та самая задача, которую необходимо решить банку для успешного вывода решения на рынок.
 
Чем же обеспечивается безопасность в интернет-банке для розничных клиентов?Тут первым и одним из основных моментов является аутентификация клиента – банк должен быть уверен, что клиент тот, за кого он себя выдает.
 
Помимо аутентификации безопасность обеспечивается шифрованием передаваемых в банк данных (ни банк, ни клиент не желают раскрытия информации, передаваемой между клиентом и банком).Еще одним компонентом обеспечения безопасности является безотзывность – банк должен быть уверен, что впоследствии клиент не сможет отказаться от транзакции под каким-либо предлогом.
 
Заметим, что если с шифрованием данных все более или менее ясно, то вопрос аутентификации для российского рынка на протяжении последних 10 лет является камнем преткновения. Исторически сложилось так, что решения дистанционного обслуживания для корпоративных клиентов появились на рынке раньше и послужили основой для создания систем для обслуживания розничных клиентов.В середине девяностых годов прошлого века многие банки предлагали своим корпоративным клиентам соответствующее программное обеспечение, которое могло подключаться к модемному пулу банка и позволяло отправлять платежные поручения в банк. Для аутентификации клиента использовались иногда пароль, иногда элемент touch memory фирмы Dallas. По мере роста проникновения Интернета в России от модемных пулов в банках удалось отказаться, но все остальное осталось в первозданном виде.
 
Когда банки стали более-менее целенаправленно работать с розницей, то поставщики решений для дистанционного обслуживания немного урезали функции интернет-банка для корпоративного сектора, и это было представлено как нормальное решение для розницы. К этому моменту в банковских интернет-решениях произошла настоящая революция: появилась законодательная база для дистанционного обслуживания клиентов – вступил в действие закон об электронной цифровой подписи (ФЗ-1). Все поставщики решений взяли под козырек, и в кратчайшие сроки все интернет-банки стали использовать электронную цифровую подпись как единственный законный механизм аутентификации, на чем, впрочем, при внимательном прочтении закон и не настаивал.При этом легальность использования ЭЦП в банках, строго говоря, не соблюдалась – уполномоченные удостоверяющие центры появились много позже, чем банки начали использовать эту технологию.Так и по настоящее время банки сами заверяют электронные цифровые подписи своих клиентов.
 
Таким образом, розничный клиент получил в свое распоряжение надежный (на тот момент времени) механизм аутентификации, правда, несколько тяжеловесный и не всегда удобный в использовании.Достаточно сказать, что для того чтобы начать работать с этими решениями, нужно было несколько раз посетить банк, быть неплохим специалистом по компьютеру, с тем чтобы правильно провести все настройки для нормального функционирования ЭЦП, и впоследствии работать с банком было возможно только с данного компьютера.Заметим, что и банкам это решение обходилось в копеечку – поддержка розничного, а значит, массового клиента стоит денег, а вопросов у клиентов много, и для ответа на них нужны изрядный штат и call-центр.Все это вынуждало банки настаивать на каких-либо решениях для розницы, которые позволили бы клиенту пользоваться любым компьютером, не требовали каких-либо установок дополнительного программного обеспечения на компьютер и обеспечивали приемлемый уровень безопасности.Такие решения появились, и здесь разработчикам пришлось проститься с ЭЦП – она решительно не вписывалась в требования банков. (Кстати, невозможно найти крупный интернет-банк для розницы на базе ЭЦП, а практика – критерий истины…)
 
Тем не менее и по сей день ЭЦП правит бал в корпоративном сегменте, и нередки случаи использования его для розницы.Тут стоит взглянуть по ту сторону границы, ведь там банковской рознице уже немало лет, и кто мешал нам перенять все то, что уже было наработано в западных банках?Как ни парадоксально, мешал этому процессу именно ФЗ-1, а если точнее, не сам закон, а его трактовка регуляторами, и в первую очередь тандемом ЦБ-ФСБ.Закон ФЗ-1 не запрещал использование других аналогов собственноручной подписи (помимо ЭЦП), но большинство банков предпочитало не связываться с «сомнительными западными технологиями», ведь в отчетных документах для ЦБ и по сей день имеется графа, в которой надобно указать интернет-решения, использующие «чуждые нам» криптографические алгоритмы.
 
В результате на системы аутентификации, широко используемые в западных банках, спрос был крайне невелик.Еще в 2004 году международная платежная система MasterCard предложила весьма защищенный механизм аутентификации EMV CAP, основанный на использовании платежных карт стандарта EMV.В мире миллионы пользователей используют эту технологию, у нас в России пионером внедрения явился НОМОС банк. Заметим, это было в середине 2007 года, но и сегодня данной технологией аутентификации пользуется не более 30 тысяч розничных клиентов во всех российских банках вместе взятых, хотя объем эмиссии карт стандарта EMV существенно больше 10 миллионов штук.
 
Широкое распространение, помимо технологии EMV CAP, в Европе получили различные виды токенов.Среди них присутствовали как простейшие однокнопочные токены – генераторы одноразовых паролей, так и токены, позволяющие создавать пароль в режиме «запрос-ответ» и контрольную сумму транзакций (Message Authentication Code).Такие устройства не только позволяют аутентифицировать пользователя, но и защищают транзакцию, отправленную в банк, от искажения в процессе прохождения по каналам связи.На сегодняшний день это единственное средство защиты от атаки «человек в середине», хотя при этом снижается удобство пользователя.
 
Чем же предпочитают аутентифицировать своих клиентов российские банки? Если расположить используемые технологии (без ЭЦП) в порядке популярности, то получим следующую картину:
 
          Одноразовый пароль, передаваемый пользователю на мобильный телефон в виде SMS
          Таблица одноразовых паролей в виде скретч-карты или чека, распечатанного в банкомате
          Разнообразные генераторы одноразовых паролей (однокнопочные)
 
Для уменьшения популярности ЭЦП на розничном рынке имеется и более веская причина, чем неудобство использования и невозможность создания интернет-банка в виде тонкого клиента.Увы, программная реализация ЭЦП – а именно такой вариант получил у нас в стране самое широкое распространение – оказалась настолько легко взламываемым решением, что говорить о его безопасности не представляется возможным.На смену программной реализации ЭЦП пришла аппаратная реализация в виде USB-устройств, где формирование ЭЦП осуществлялось на микросхеме, но и этот механизм не смог обеспечить защиту от атаки «человек в середине».
 
Совсем недавно, в апреле сего года, произошло довольно заметное событие, которое может оказать благотворное влияние на развитие каналов дистанционного обслуживания в стране, – был принят закон «Об электронных подписях» ФЗ-63.Цель данного закона – приблизить российское законодательство к европейскому.Может быть, именно по этой причине разработчики законопроекта использовали перевод аналогичной европейской директивы.
 
Как это отразится на новых разработках интернет-банков в России?Очевидно, что в рамках нового закона и технология EMV CAP, и различные виды токенов получают прописку как легальные средства многофакторной аутентификации в системах для розничных клиентов. Говоря строго, только токены с PIN-клавиатурой полностью соответствуют требованиям, которые предъявляет новый закон к средствам формирования электронной подписи:
 
          позволяют установить факт изменения подписанного электронного документа после момента его подписания;
          обеспечивают практическую невозможность вычисления ключа электронной подписи из электронной подписи или из ключа ее проверки;
          показывают лицу, подписывающему электронный документ, содержание информации, которую он подписывает;
          создают электронную подпись только после подтверждения лицом, подписывающим электронный документ, операции по созданию электронной подписи;
          однозначно показывают, что электронная подпись создана;
          позволяют однозначно связать подпись и ее владельца.
 
На сегодняшний день Альфа-Банк готовит к переводу в промышленную эксплуатацию аутентификационный центр, который станет ядром аутентификации для всех систем дистанционного обслуживания розничных клиентов.Основой решения служит сервер SafeSign Authentication Server компании Thales e-security, одного из лидеров на рынке систем безопасности.Среди достоинств продукта – поддержка всех имеющихся на сегодняшний день технологий и средств аутентификации различных вендоров, хорошая масштабируемость и высокая доступность сервисов за счет кластеризации системы.
 
Интерес к подобным решениям проявляют и другие крупные банки, заинтересованные в расширении возможностей своих каналов дистанционного обслуживания.Замечательной особенностью токенов является то, что их можно применить для любого канала дистанционного обслуживания, например в call-центрах, мобильном банке и т.д.
 
Таким образом, российские банки получают в свое распоряжение огромный набор инструментов, обеспечивающих безопасность клиента при работе в среде Интернет, причем можно проводить операции с банком с любого компьютера, при отсутствии доверенной среды без всякого риска для денежных средств клиента.
 
Хотелось бы закончить статью на этой оптимистической ноте, если бы не одно обстоятельство.Увы, самые современные средства защиты не гарантируют банк от потерь, связанных с человеческой глупостью, ибо именно человек был и остается самым слабым звеном в системе безопасности.Среди мошенников немало людей, в совершенстве владеющих социальной инженерией, что позволяет им убедить клиента практически отдать свои деньги в чужие руки.К сожалению, потери неизбежны, но и здесь риски можно значительно уменьшить, повышая уровень компетентности ваших клиентов.
Источник: RFinance

Материал просмотрен: 2624 раз
Комментарии (0)добавить комментарий
Ваш комментарий
Автор
Введите число на картинке

  • курсы
Знач. Изм.
USD ЦБ РФ 17/12 58.9 0.1905
EUR ЦБ РФ 17/12 69.43 0.025