Псевдобезопасность: Центробанк может обрушить онлайн-банкинг
Иногда погоня за безопасностью и непрозрачные правила могут рынку даже навредить. В новой редакции правил и поправках о требованиях к информационной безопасности банков оказалось, что теперь вне закона может быть весь мобильный банкинг. Как получилось, что один из самых прогрессивных технологических сервисов оказался под угрозой?
Пункт 2.10.5. Здесь начались проблемы. Вводится новое требование. "Когда кредитная организация не может обеспечить непосредственный контроль защиты информации от воздействия вредоносного кода по платежам клиентов", предлагается вводить "раздельные технологии при подготовке платежа клиентом, а также при его подтверждении".
Исходя из того, как написано, понятно, что непонятно. В теории это должны быть меры, которые позволяют использовать две разные программные среды для формирования платёжного поручения. И для подтверждения. И теперь будет нужно сверять реквизиты платежа как в момент формирования, так и в момент идентификации.
Приготовьте побыстрее: Интернет пришел в food-стартапы
Что будет, если этого не сделать? Нужно будет ограничить клиента по сумме платежа, числу получателей, времени на транзакцию. И ещё по устройствам, на которых будет работать мобильный банк. И, конечно, геолокация, куда же без неё.
Но теперь к обычной, бытовой логике. Смартфон — это одно устройство. Как и планшет. То есть, судя по этой логике, в руках у пользователя для совершения платежа должно быть ещё что-то, что позволит ему получить "вторую среду". Что это может быть? Специальный брелок с bluetooth? Резервный смартфон? Программный генератор паролей в устройстве? Звонок в call-центр? Флешка с электронной цифровой подписью?
Фото: www.globallookpress.com
Всё это создаёт или необоснованные траты денег, или времени. Дело в том, что брелки банки просто так раздавать не будут, а переложат эти затраты на пользователей. Выходом мог бы стать софт для генерирования временных паролей, который бы устанавливался на устройствах пользователей. Но и тут существует проблема. Это всё равно удлиняет сессию на один платёж.
К тому же было бы логичнее, если бы регулятор обязал банки сделать интерфейс и настройки гибкими. Под разные категории пользователей. И отделить технически продвинутую аудиторию от тех, кто не всегда видит и понимает, что он делает в интерфейсе компьютерных систем.
Тем более что ограничение мобильного банкинга в случае неисполнения этих требований — это серьёзный удар по удобству финансовых услуг в стране. С точки зрения безопасности есть более очевидные истории на проработку, которые дадут мгновенный мультипликативный эффект.
Например, оказалось, что по данным Avast, только половина наших сограждан поменяла пароль, установленный в роутере по умолчанию. А 2/3 россиян не меняли прошивку роутера вообще никогда. При этом треть пользователей никогда не заходила в веб-интерфейс роутера и не меняла учётные данные. 2/3 пользователей обновляют прошивку раз в год или реже. Треть вообще не знала, что прошивку надо обновлять. А четверть не подозревала, что у роутера есть прошивка как класс.
Фото: mama_mia/shutterstock.com
И только в прошлом месяце оказалось, что не менее 700 тысяч домохозяйств подвержены атакам через уязвимости в протоколе SSL. То есть фактически "ворота в дом", роутер, открыты настежь. А дома пользователи, как правило, используют сегодня не столько мобильную версию банкинга, а веб-версию на десктопах, которая обладает не меньшей, а зачастую и большей функциональностью, чем сегодняшние мобильные банки. И работает на той же SMS-авторизации. Что же, после этого десктопные версии закрывать или ограничивать?
То же касается и смартфонов. Буквально на днях Совет Федерации одобрил концепцию, в которой смартфоны будут контролировать с помощью IMEI. Планируется, что операторы будут блокировать телефоны с серийными номерами из чёрного списка, куда их будут заносить компетентные органы и салоны связи. Заодно, кстати, планируется, что в базу будут заноситься все импортируемые модели и аппараты.
Альтернативный интернет: Что делать, если нам «выключат рубильник»?
В салоне же связи с паспортом можно будет заблокировать украденный аппарат. Что опять же, может решить вопрос с приложениями, генерирующими коды безопасности для банкинга. А неучтённые телефоны будут блокироваться через 3 года в базе, что должно позволить получить как раз среднее время жизни аппарата и не навредить тем, кто купил аппарат, например, из серой поставки. Сам объём регулирования будет только расти.
По итогам этого года в России планируется, по данным экспертов из Telecom Daily, продать более 30 млн смартфонов. А объём краж оценивается в 250 тыс. аппаратов в год, что составляет 1% от продаваемых телефонов и целую треть всех краж в России.
Поэтому работа регулятора по очередным искусственным ограничениям — это возможный провал и поход не туда. Лучше заняться ростом рынка мобильных платежей и образованием пользователей. Это точно дало бы большую пользу экономике, как и борьба с кражами и противоправными действиями. А тут очередные "запретить, ограничить, закрыть".