Безопасность как двигатель дистанционных сервисов. Новый уровень удобства и мобильности при снижении рисков клиентов

Публикации экспертов

Денис Калемберг, генеральный директор SafeTech
Bis Journal #1, 2017

Развитие дистанционных банковских сервисов — сложный и многогранный процесс, в который одинаково глубоко вовлечены и бизнес-подразделения банков, и департаменты, отвечающие за информационные технологии (ИТ) и информационную безопасность (ИБ). С одной стороны, бизнес-подразделения формулируют свои предпочтения и ставят техническим экспертам задачи, которые затем сообща решаются проектной командой. С другой стороны, департаменты ИТ и ИБ зачастую находят и предлагают к внедрению новые решения, способные снять ранее существовавшие «стопоры» и кардинальным образом улучшить банковские сервисы, сделать их более удобными для клиентов и прибыльными для банка.

Какие технологии являются приоритетными в настоящее время? Какие преимущества эксперты в области ИТ и ИБ могут предложить своим бизнес-подразделениям сейчас?

Удобство, простота, безопасность. Чего хочет бизнес?

Довольно естественно, что бизнес-подразделения, инициируя проекты развития дистанционных банковских сервисов, обычно оперируют терминами количества клиентских транзакций и прибыли, которую банк от них получает. Тем не менее, безопасность информационных технологий зачастую становится ключевым фактором при реализации задуманного. Судите сами:

  1. Высокий процентный доход по удаленным сервисам. Как правило, это ожидание бизнес-подразделения можно реализовать, снизив риски клиентов и, как следствие, увеличив лимиты на оплату и переводы денежных средств.
  2. Возможность для клиента совершать как можно большее число транзакций. Логичное пожелание бизнес-подразделения. Чем больше оборот клиента в дистанционном банкинге, тем более эффективными и экономически выгодными становятся сервисы. И в этом отношении подразделения ИТ и ИБ также способны помочь: возможность работы клиента и на стационарном рабочем месте, и на мобильном устройстве, а также удобное подтверждение операций позволят в хорошем смысле «приручить» его к дистанционным сервисам и способствовать повышению числа операций.
  3. Общение с клиентами только на «приятные» и простые для их понимания темы. Конечно, бизнес-подразделения хотели бы упростить общение с пользователями и по возможности исключить такие вопросы, как установка и использование СКЗИ, драйверов, сторонних приложений и прочее-прочее. В данном случае департаменты ИТ и ИБ должны выбрать такие решения, которые не потребуют от клиентов специфических знаний и навыков. Чем проще и понятнее будут дистанционные сервисы, тем больше клиентов их выберут.
  4. Сохранность денег Банка. Это краеугольное ожидание бизнес-подразделения банка. В этом отношении бизнес ожидает, что, с одной стороны, сама система ДБО будет устойчивой к атакам злоумышленников, а с другой, в случае возникновения инцидентов банк не проигрывал бы судебные иски и не терял собственные деньги. Таким образом, для сохранности денег банка дистанционные сервисы должны соответствовать требованиям законодательства в области информационной безопасности.
  5. Дополнительный непроцентный доход. Как правило, бизнес банка ожидает, что безопасность станет не «затратной» статьей в обслуживании клиентов, а наоборот — ее можно будет продать пользователю и получить дополнительный доход. В этом смысле эксперты ИТ и ИБ в банке могут создать самостоятельные продукты «продвинутой» безопасности, которые заинтересуют клиентов, окажутся востребованными и будут активно продаваться вместе с самими дистанционными сервисами.

Перечисленные ожидания бизнес-подразделений и возможности департаментов ИБ и ИТ вполне логичные и реальные. Главное — остановить свой выбор на тех решениях и технологиях, которые позволят эти требования выполнить.

Современные риски интернет-банкинга и мобильного банкинга

В настоящее время риски в общем и целом остаются прежними — это возможность кражи денег со счетов пользователей. Она существовала и в Интернет-банкинге, но за счет активного использования клиентами смартфонов и планшетов, объединения на мобильном устройстве каналов создания и подтверждения документов эта операция для мошенников существенно упростилась.

Кроме того, много нареканий вызывает уже традиционное подтверждение операций с помощью SMS. С чем это связано? Дело в том, что SMS-канал изначально не был предназначен для передачи конфиденциальной информации. Сообщение может быть перехвачено как в канале оператора связи, так и в самом смартфоне. И мошенники отлично научились это делать! Долгое время SMS были самым дешевым «транспортом» до клиента, и банки этим активно пользовались. Теперь необходимо реализовать в дистанционных сервисах удобную и безопасную альтернативу.

Чтобы в настоящее время кардинально снизить риски кражи денег со счетов пользователей, необходимо соблюсти два главных условия:

  • не передавать коды подтверждения транзакций по незащищенным каналам связи, а генерировать их на стороне клиента;
  • коды подтверждения должны формироваться в привязке к реквизитам каждой транзакции: то есть если мошенники как-то и перехватят пароль, то его нельзя будет использовать для подтверждения другого документа.

Эти условия можно выполнить при помощи аппаратных средств (MAC-калькуляторов), но этот вариант довольно затратный и требует сложной логистики. Второй способ — использовать программные средства подписи банковских транзакций, которые могут быть установлены на смартфон или вообще интегрированы в приложение мобильного банкинга. В идеале, это должна быть усиленная неквалифицированная подпись и даже квалифицированная электронная подпись.

«Классики» и «Современники» в дистанционном банкинге. Что им предоставить?

Среди пользователей дистанционного банкинга с определенными упрощениями можно выделить «классиков» — относительно консервативных клиентов, много лет использующих традиционные сервисы и средства их защиты, а также «современников» — клиентов, стремящихся использовать самые передовые технологии и сервисы на вновь выпускаемых устройствах. Бизнес-подразделения банков, как инициаторы развития дистанционных банковских сервисов, заинтересованы в охвате и «классиков», и «современников».

Для клиентов-«классиков» хорошо подходит технология «доверенный экран», используемая при подтверждении транзакции (в частности, отлично зарекомендовавшее себя решение SafeTouch от компании SafeTech). Данная технология защищает от всех известных на сегодняшний день удаленных атак, так как обеспечивает визуальный контроль данных, передаваемых в токен, и операции подписи блокируются до момента нажатия кнопки подтверждения.

Клиентам-«современникам» наилучшим образом подойдут решения для безопасной и удобной замены SMS-паролей, обеспечивающие аутентификацию, визуализацию реквизитов платежа и подтверждение транзакций на мобильных устройствах (в частности, решение PayControl от компании SafeTech). Решение совмещает в себе удобство смартфона и безопасность MAC-калькулятора: реквизиты платежа (или даже PDF-документ) загружаются в смартфон автоматически, детали совершаемой операции удобно просматриваются на экране, а транзакция подтверждается усиленной неквалифицированной подписью.

Назад в будущее. Криптосервисы в облаках и в мобильных устройствах

По нашему мнению, новый импульс развитию дистанционных банковских (да и не только банковских) сервисов может придать синергия, возникающая от сочетания мобильных и «облачных» технологий аутентификации и подписи транзакций. Хорошим примером может служить комплексное решение на основе PayControl и облачного сервиса электронной подписи «Крипто-Про DSS».

Совместное решение позволит подтверждать платежные документы квалифицированной электронной подписью прямо на смартфоне. Решение уже передано на сертификацию в ФСБ России и, с нашей точки зрения, идеально подходит системам мобильного банкинга для юридических лиц. Теперь банки с минимальными затратами могут реализовать подтверждение платежных документов на мобильных устройствах квалифицированной подписью. С появлением интегрированного комплексного решения PayControl и «КриптоПро DSS» это стало реальностью. Для клиентов решение будет означать кардинальное снижение порога использования квалифицированной электронной подписи, существенное снижение затрат за счет отсутствия аппаратных носителей ключей, а также так желанную «полную мобильность» при сохранении юридической значимости электронного документооборота.

Скачать в формате PDF