28/09/2018
Проблема во многом заключается в действующих требованиях к уровню криптографической защиты. В ряде случаев их выполнить настолько трудно, что приходится искать компромисс в ущерб информбезопасности.
Серьезной проблемой предоставления услуг гражданам на основании ранее сданных биометрических данных стала ограниченная возможность использования мобильных устройств для верификации клиента. В первую очередь — из-за необходимости применения средств криптографической защиты.
Мобильное приложение, которое будет устанавливать клиент на своих гаджетах для верификации и получения дистанционных банковских услуг, сейчас разрабатывает «Ростелеком». Его представление предварительно планируется на середину октября. Однако с размещением этого приложения в PlayMarket и AppStore возникли проблемы.
Впрочем, остаются и другие сложности с использованием биометрии. По словам консультанта по интернет-безопасности компании Cisco Алексея Лукацкого, срок сертификации средств шифрования в ФСБ обычно длиннее времени жизни пользовательского и банковского ПО. Такое несовпадение по времени приводит либо к использованию несертифицированной, но самой последней версии ПО, либо к работе с устаревшим, но обладающим сертификатом программным обеспечением. В данном случае обновление версий операционных систем потребует оперативной пересертификации программы в ФСБ. Артем Сычев заверил “Ъ”, что проблемы не возникнет. Однако сейчас сертификация занимает не менее года.
Проблемы порождают и разночтения в нормативных документах. По словам Алексея Лукацкого, есть установленные нормативными документами требования ФСБ для средств криптографической защиты (СКЗИ), которые непросто выполнить на платформах Macbook, iOS и т. п. «В соответствии с действующими документами ФСБ при наличии доступа нарушителя к исходным кодам операционной системы (а такая возможность есть для Linux и Android), на которой будет запускаться биометрическое ПО, сертификация возможно только по классу КА, что невозможно выполнить»,— отмечает господин Лукацкий. Однако Банк России в указании 4859-У, определяя перечень угроз при работе с биометрическими данными, счел достаточным более низкий уровень защищенности — КС1. Еще один нормативный документ ФСБ, по словам экспертов, требует поэкземплярного учета СКЗИ. «Однако при скачивании приложения для верификации с мобильных телефонов обеспечить поэкземплярный учет невозможно, как и невозможно обеспечить СКЗИ класса выше КС1 на мобильном устройстве»,— отметил директор по управлению рисками Почта-банка Святослав Емельянов.
По словам правозащитников, подобный подход явно ущемляет права банковских клиентов. «Когда человек сдает биометрию, он рассчитывает с ее помощью оперативно получать доступ к банковским услугам,— рассуждает руководитель проекта ОНФ "За права заемщиков" Виктор Климов.— И о том, что приложение не будет функционировать на его телефоне, он должен быть проинформирован в момент сдачи биометрии, а не постфактум». Так же как он должен быть заранее и подробно проинформирован о рисках, в том числе — получения доступа злоумышленников к его биометрическим данным, резюмировал он.
18/09/2018
С 18 сентября «ВымпелКом» будет отправлять SMS на короткие сервисные номера банков по 2,5 руб. за каждое сообщение.
В качестве иного варианта оператор предлагает бесплатно пользоваться мобильными приложениями банков.
В августе ФАС возбудила дела против операторов из-за цен на SMS для госбанков. Двумя месяцами ведомство установило, что условия договоров с организациями без государственного денежного участия отличаются от условий договоров организаций с госфинансированием. В частности, цены на SMS для государственных банков «большой четверки» ниже, чем для частных. Компании должны были устранить дискриминационные положения контрактов в течение 14 дней со дня получения предупреждения, но они, по мнению ведомства, этого не сделали.
В Сбербанке рассказали, что в месяц отправляют SMS-запросы банку 23 млн человек. Сообщения связаны с выписками по карте, оплатой мобильного телефона и переводами клиентам Сбербанка. На SMS-информирование от Сбербанка подписаны 76 млн клиентов организации.
19/07/2018
ВТБ намерен открыть в Москве первый полностью автоматизированный офис, который не будет обслуживаться сотрудниками-людьми. Об этом сообщил на Московском урбанистическом форуме глава банка Андрей Костин, передает информационное агентство "Интерфакс".
Костин охарактеризовал будущий офис без людей как «честно говоря, не очень практичный». Цель проекта он сформулировал следующим образом: «Просто чтобы показать людям, что такое можно — без людей. Попробовать, посмотреть, что это такое».
Костин полагает, что по мере развития технологий традиционная схема обслуживания человека человеком в банках все же сохранится. Автоматизированное обслуживание и встречу клиентов с сотрудниками-людьми он сравнил с просмотром футбольного матча на смартфоне и походом непосредственно на стадион, «где эмоции, где люди».
Также он высказался на тему прогнозов, что в будущем технологические компании примут на себя в том числе функции банковских учреждений, а как таковых банков больше не будет. По его мнению, такой замены не случится.
В октябре 2016 г. о внедрении технологий автоматизации обслуживания клиентов сообщил Сбербанк. Суть пилотного проекта заключалась в том, что при обслуживании физлиц банкомат будет выполнять функции кассы. Реализация этой схемы дала бы банку возможность сэкономить на содержании офисов.
Однако при таком подходе требовалось решить проблему сдачи, которую банкомат, в отличие от кассы, выдать не может. Необходимость выдачи сдачи возникает, например, если клиент оплачивает коммунальные услуги. Предполагалось, что сдача будет автоматически поступать на счет клиента. В этом случае для перехода на автономное обслуживание требуется согласие клиента на получение сдачи таким образом.
13/07/2018
Компания Digital Security, специализирующаяся на кибербезопасности, опубликовала результаты исследования взаимодействия 16 крупнейших банков России с операторами сотовой связи, а именно с «большой четверкой» — «Вымпелкомом» (торговая марка «Билайн»), МТС, «Мегафоном»
62% российских банков полагаются исключительно на номер телефона, с которого абонент звонит в колл-центр, для первичного подтверждения личности клиента. Таким образом, зная номер телефона жертвы, злоумышленник может получить у банка приватные данные клиента или даже заблокировать счета без подтверждения личности.
Для этого достаточно с помощью SIP-оператора подделать номер телефона (Caller ID), отображающийся во время приема входящего звонка в колл-центре. При этом 68% банков не отслеживает, была ли недавно перевыпущена SIM-карта клиента. Это дает хакеру еще одну возможность — инициировать перевыпуск карты жертвы, номер телефона которой он знает, и реализовать с помощью этой карты преступную схему по выводу средств, поскольку снятие средств после перевыпуска, как и вход в аккаунт, по-прежнему возможно.
Что касается состава данных, которые сотрудники российских банков могут сообщать по телефону, то в 18% банков у злоумышленника есть возможность узнать баланс счета и сведения о транзакциях, что может пригодиться ему для вывода средств с этого счета.
Исследование также затрагивает вопросы защищенности мобильных банковских приложений для iOS и Android. При отборе приложений Digital Security опиралась не только на «Топ 100 российских банков» от издания banki.ru, но и на рейтинги самых популярных банковских приложений в App Store и Google Play.
Исследование показало, что 18% приложений рассмотренных 16 банков не имеет второго фактора защиты для входа на платформах iOS и Android — двухфакторная аутентификация отсутствует в трех из 16 случаев для обеих платформ, хотя это требование уже несколько лет входит в перечень ключевых норм безопасности банковских приложений. Хотя оптимальной длиной SMS-кода, который используется в качестве второго фактора аутентификации, на сегодняшний день считается шесть символов, два приложения для Android используют пять символов, еще четыре приложения — четыре символа.
Точно такие же показатели продемонстрировали приложения для iOS. Кроме того, семь из 16 приложений для iOS раскрывают координаты пользователя — широту и долготу с точностью до метра. В случае Android это делают четыре приложения.