Лента новостей / Банки и финансы

Серьезной проблемой предоставления услуг гражданам на основании ранее сданных биометрических данных стала ограниченная возможность использования мобильных устройств для верификации клиента. В первую очередь — из-за необходимости применения средств криптографической защиты.

Мобильное приложение, которое будет устанавливать клиент на своих гаджетах для верификации и получения дистанционных банковских услуг, сейчас разрабатывает «Ростелеком». Его представление предварительно планируется на середину октября. Однако с размещением этого приложения в PlayMarket и AppStore возникли проблемы.

Впрочем, остаются и другие сложности с использованием биометрии. По словам консультанта по интернет-безопасности компании Cisco Алексея Лукацкого, срок сертификации средств шифрования в ФСБ обычно длиннее времени жизни пользовательского и банковского ПО. Такое несовпадение по времени приводит либо к использованию несертифицированной, но самой последней версии ПО, либо к работе с устаревшим, но обладающим сертификатом программным обеспечением. В данном случае обновление версий операционных систем потребует оперативной пересертификации программы в ФСБ. Артем Сычев заверил “Ъ”, что проблемы не возникнет. Однако сейчас сертификация занимает не менее года.

Проблемы порождают и разночтения в нормативных документах. По словам Алексея Лукацкого, есть установленные нормативными документами требования ФСБ для средств криптографической защиты (СКЗИ), которые непросто выполнить на платформах Macbook, iOS и т. п. «В соответствии с действующими документами ФСБ при наличии доступа нарушителя к исходным кодам операционной системы (а такая возможность есть для Linux и Android), на которой будет запускаться биометрическое ПО, сертификация возможно только по классу КА, что невозможно выполнить»,— отмечает господин Лукацкий. Однако Банк России в указании 4859-У, определяя перечень угроз при работе с биометрическими данными, счел достаточным более низкий уровень защищенности — КС1. Еще один нормативный документ ФСБ, по словам экспертов, требует поэкземплярного учета СКЗИ. «Однако при скачивании приложения для верификации с мобильных телефонов обеспечить поэкземплярный учет невозможно, как и невозможно обеспечить СКЗИ класса выше КС1 на мобильном устройстве»,— отметил директор по управлению рисками Почта-банка Святослав Емельянов.

По словам правозащитников, подобный подход явно ущемляет права банковских клиентов. «Когда человек сдает биометрию, он рассчитывает с ее помощью оперативно получать доступ к банковским услугам,— рассуждает руководитель проекта ОНФ "За права заемщиков" Виктор Климов.— И о том, что приложение не будет функционировать на его телефоне, он должен быть проинформирован в момент сдачи биометрии, а не постфактум». Так же как он должен быть заранее и подробно проинформирован о рисках, в том числе — получения доступа злоумышленников к его биометрическим данным, резюмировал он.

В качестве иного варианта оператор предлагает бесплатно пользоваться мобильными приложениями банков.

В августе ФАС возбудила дела против операторов из-за цен на SMS для госбанков. Двумя месяцами ведомство установило, что условия договоров с организациями без государственного денежного участия отличаются от условий договоров организаций с госфинансированием. В частности, цены на SMS для государственных банков «большой четверки» ниже, чем для частных. Компании должны были устранить дискриминационные положения контрактов в течение 14 дней со дня получения предупреждения, но они, по мнению ведомства, этого не сделали.

В Сбербанке рассказали, что в месяц отправляют SMS-запросы банку 23 млн человек. Сообщения связаны с выписками по карте, оплатой мобильного телефона и переводами клиентам Сбербанка. На SMS-информирование от Сбербанка подписаны 76 млн клиентов организации.

Костин охарактеризовал будущий офис без людей как «честно говоря, не очень практичный». Цель проекта он сформулировал следующим образом: «Просто чтобы показать людям, что такое можно — без людей. Попробовать, посмотреть, что это такое».

Костин полагает, что по мере развития технологий традиционная схема обслуживания человека человеком в банках все же сохранится. Автоматизированное обслуживание и встречу клиентов с сотрудниками-людьми он сравнил с просмотром футбольного матча на смартфоне и походом непосредственно на стадион, «где эмоции, где люди».

Также он высказался на тему прогнозов, что в будущем технологические компании примут на себя в том числе функции банковских учреждений, а как таковых банков больше не будет. По его мнению, такой замены не случится.

В октябре 2016 г. о внедрении технологий автоматизации обслуживания клиентов сообщил Сбербанк. Суть пилотного проекта заключалась в том, что при обслуживании физлиц банкомат будет выполнять функции кассы. Реализация этой схемы дала бы банку возможность сэкономить на содержании офисов.

Однако при таком подходе требовалось решить проблему сдачи, которую банкомат, в отличие от кассы, выдать не может. Необходимость выдачи сдачи возникает, например, если клиент оплачивает коммунальные услуги. Предполагалось, что сдача будет автоматически поступать на счет клиента. В этом случае для перехода на автономное обслуживание требуется согласие клиента на получение сдачи таким образом.

62% российских банков полагаются исключительно на номер телефона, с которого абонент звонит в колл-центр, для первичного подтверждения личности клиента. Таким образом, зная номер телефона жертвы, злоумышленник может получить у банка приватные данные клиента или даже заблокировать счета без подтверждения личности.

Для этого достаточно с помощью SIP-оператора подделать номер телефона (Caller ID), отображающийся во время приема входящего звонка в колл-центре. При этом 68% банков не отслеживает, была ли недавно перевыпущена SIM-карта клиента. Это дает хакеру еще одну возможность — инициировать перевыпуск карты жертвы, номер телефона которой он знает, и реализовать с помощью этой карты преступную схему по выводу средств, поскольку снятие средств после перевыпуска, как и вход в аккаунт, по-прежнему возможно.

Что касается состава данных, которые сотрудники российских банков могут сообщать по телефону, то в 18% банков у злоумышленника есть возможность узнать баланс счета и сведения о транзакциях, что может пригодиться ему для вывода средств с этого счета.

Исследование также затрагивает вопросы защищенности мобильных банковских приложений для iOS и Android. При отборе приложений Digital Security опиралась не только на «Топ 100 российских банков» от издания banki.ru, но и на рейтинги самых популярных банковских приложений в App Store и Google Play.

Исследование показало, что 18% приложений рассмотренных 16 банков не имеет второго фактора защиты для входа на платформах iOS и Android — двухфакторная аутентификация отсутствует в трех из 16 случаев для обеих платформ, хотя это требование уже несколько лет входит в перечень ключевых норм безопасности банковских приложений. Хотя оптимальной длиной SMS-кода, который используется в качестве второго фактора аутентификации, на сегодняшний день считается шесть символов, два приложения для Android используют пять символов, еще четыре приложения — четыре символа.

Точно такие же показатели продемонстрировали приложения для iOS. Кроме того, семь из 16 приложений для iOS раскрывают координаты пользователя — широту и долготу с точностью до метра. В случае Android это делают четыре приложения.