Интернет-счета клиентов банков будут привязаны к их гаджетам

Четверг, 19 марта 2015 г.

Следите за нами в ВКонтакте, Телеграм'e и Twitter'e

Новые требования ЦБ РФ по борьбе с мошенничеством при дистанционном обслуживании граждан обязывают все банковские организации регистрировать устройства, с которых их клиенты будут заходить в интернет- или мобильный банк. Изменения уже вступили в силу, хотя конкретной договоренности в вопросах обеспечения безопасности данных таким образом достичь пока не удалось.



«Банк на основании заявления клиента определяет параметры операций, которые могут осуществляться через интернет- и мобильный банкинг. В том числе банк устанавливает перечень устройств, с использованием которых может осуществляться доступ к системам дистанционного банковского обслуживания (ДБО) с целью переводов денег на основе идентификаторов данных устройств. Также банк устанавливает максимальную сумму перевода клиента через ДБО за одну операцию и (или) за определенный период времени (один день/один месяц)», — говорится в документе, вступившем в силу, как выяснили «Известия», 16 марта 2015 года. 

Пояснения, что подразумевает Центральный Банк под «идентификатором», в тексте отсутствует. С наибольшей долей вероятности, речь идет о MAC-адресе, предполагают в компании Digital Security, которая является одним из лидеров в направлении анализа защищенности банковских систем. Именно эта информация является сколько-нибудь уникальной, однако не стоит забывать о возможности клонирования такого идентификатора или даже заведения вручную любого валидного значения.

Еще одним предположением является идентификация пользователей по IP-адресу, что вообще лишено смысла со стороны обеспечения безопасности в силу возможности использования одного такого идентификатора группой пользователей, например, в корпоративной сети и повсеместным распространением динамических IP. Наиболее интересным предположением является брать сведения о конфигурации устройства и преобразовать это всё в некое число, уникальное для каждой железки, однако тогда непонятно, как быть тем пользователям, которые проводят систематическое обновление комплектующих в компьютерах.

Получить вразумительный ответ на данный вопрос в самом ЦБ «Известиям» не удалось. Из-за отсутствия четкой формулировки, банки выполняют требование по своему усмотрению. Так, СМП банк, по словам начальника управления безопасности информационных технологий Павла Головлева, использует IP-адреса: «Чтобы зарегистрировать устройство, через которое клиент планирует заходить в интернет-банк, ему необходимо прийти в офис банка и написать соответствующее заявление. Если клиент меняет устройство, то ему необходимо обратиться в банк и обновить информацию об идентификаторе устройства. Если теряет — то алгоритм действий в данном случае должен быть таким же, как и при потере банковской карты: сообщить в банк об утрате устройства и о блокировке операций, которые будут совершаться с данного IP-адреса. Банк, конечно, будет учитывать идентификаторы, так как без этого невозможно реализовать блокировку по этому признаку».



Бинбанк решает вопрос безопасности при помощи Push-уведомлений, которые приходят пользователям на их мобильные устройства и являются более безопасными, чем SMS, так как попадают к клиентам напрямую. ВТБ24, как рассказала начальник управления дистанционного банковского обслуживания Елена Дегтева, в свою очередь, принял решение собирать у клиентов пакеты данных об устройствах: «Оптимальным способом идентификации устройства клиента при работе через интернет является определение отпечатка системы — набора параметров, являющихся уникальными для конкретного устройства (device fingerprint). При несовпадении device fingerprint банк может запросить дополнительное подтверждение по операции, связавшись, например, с клиентом по телефону, или отказать в ее проведении, если дополнительная идентификация не прошла успешно. Таким же образом может обновляться и база устройств, если клиент устройство сменил». 

На данном этапе нововведение вызывает больше вопросов, чем ответом, так как увеличивает бюрократический аппарат и финансовую нагрузку на банки, а клиенты, на чьи плечи лягут эти расходы, получают непонятный и запутанный процесс, который в случае минимальных изменений в домашнем технопарке верифицированных устройств сделает мобильный банкинг неудобным, хотя изначально его задачей было упрощение работы со своими счетами.

Возможно, вас заинтересует:

В России создают новую систему противодействия киберугрозам

Обнаружен вирус, шпионящий за пользователем даже после отключения смартфона

В России создан антишпионский смартфон

Выбирайте, сравнивайте и покупайте технику по хорошим ценам в нашем каталоге

Александр Городников, ht_news@corp.mail.ru

Источник:  Известия

Следите за нами в ВКонтакте, Телеграм'e и Twitter'e


Просмотров: 6624
Рубрика: Hi-Tech


Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003

Декабрь 2008: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31