Безопасность цифровых каналов для юридических и физических лиц - SafeTech

Проблемы

Безопасность систем дистанционного банковского обслуживания остается серьезной проблемой для российского рынка. Согласно данным ФинЦЕРТ, количество попыток банковского мошенничества растет из года в год. При этом в банкинге продолжают использовать системы подтверждения, которые небезопасны изначально.

По данным ЦБ, в 2023 году объем операций без согласия клиентов увеличился по сравнению с 2022 годом на 11,48%. Всего в прошлом году было совершено 1,7 тыс подобных операций со списанием средств со счетов организаций и более 1 млн – со списанием средств со счетов физлиц. Средний чек одной операции без согласия клиента-физлица по итогам 2023 года составил 13 тыс. руб. При этом около половины всех кибератак на граждан совершается с использованием социальной инженерии. Практически всегда в подобных атаках фигурирует код из СМС или push-сообщения.

Всплеск банковского мошенничества с применением социальной инженерии и вредоносного ПО

Технологии подтверждения транзакций СМС и push-кодами устарели и не обеспечивают безопасность

В случае инцидента сложно обеспечить защиту интересов банка в суде

Невыполнение требований Положения ЦБ РФ № 683-П

Долгий клиентский путь

Задачи бизнеса

В настоящее время коды, передаваемые в СМС-сообщениях и push-уведомлениях, уже неспособны защитить клиентов дистанционного обслуживания от наиболее распространенных атак: не только от подмены реквизитов платежа, перехвата СМС и злонамеренного ПО, но и от социальной инженерии. Одним из основных «слабых звеньев» в цифровых каналах обслуживания при использовании одноразовых паролей является сам клиент и его неготовность в одиночку противостоять мошенникам.

Да и сами сценарии использования кодов подтверждения в СМС и push уже не воспринимаются «удобными» — пользователи хотят подтверждать документы в цифровых каналах «в одно касание». Получается, что для защиты клиентов необходимы такие способы подтверждения транзакций, которые принципиально исключают передачу пользователям необходимой для этого информации.

Одним из способов обеспечения безопасности операций клиентов является использование для подтверждения транзакций технологий электронной подписи, а в условиях широкого распространения среди пользователей ДБО смартфонов — мобильной электронной подписи.

Замена устаревших средств подтверждения транзакций, основанных на СМС и push-кодах, на технологии электронной подписи, «прозрачно» интегрированные непосредственно в приложение мобильного банкинга позволит:

снизить количество инцидентов социальной инженерии
уменьшить издержки финансовых организаций на отправку СМС-кодов
сократить клиентский путь
выполнить требования регулятора в соответствии с требованиями 63-ФЗ РФ и Положению № 683-П ЦБ РФ к подтверждению волеизъявления пользователей в ДБО

Решение

PayControl ГОСТ
MyDSS 2.0

Мобильная подпись транзакций и документов с использованием платформы PayControl ГОСТ

Создается путем криптографических преобразований, что позволяет обеспечить контроль целостности и авторства
Позволяет выполнить требования Положения № 683-П ЦБ РФ к подтверждению волеизъявления пользователей в ДБО.
Заменяет устаревшие и небезопасные методы подтверждения финансовых операций (коды в СМС и push)
Время подтверждения транзакций сокращается до 3,5 секунда

Технология реализации

Платформа PayControl ГОСТ включает в себя модули:

Новое поколение мобильной квалифицированной электронной подписи myDSS 2.0

Каждая операция подписи подтверждается с контролем авторства и целостности, ключами аутентификации, хранящимися в мобильном приложении в защищенном виде
Пользователь myDSS 2.0 контролирует содержание подписываемого документа на экране смартфона и ни одна операция не может быть подписана без его согласия
Технология myDSS 2.0 сертифицирована по классу КС1 как средство электронной подписи
Работает с сертифицированными ФСБ Rutoken NFC

Технология реализации