Продолжается сессия XII Уральского форума «Информационная безопасность финансовой сферы», посвященная идентификации и аутентификации пользователя в банковских системах.
Сергей Горленко, заместитель начальника департамента защиты информации АО «Газпромбанк», поделился опытом применения в своем банке аутентификации и электронной подписи. По его словам, сегодня в нашу жизнь плотно входит электронная подпись: появились госуслуги, которые можно получить с ее помощью, трудовое законодательство подстраивается под цифровые механизмы, во многих внутренних банковских технологиях так или иначе применяются ЭП. «Однако опыт применения электронной подписи в системах дистанционного банковского обслуживания показывает, что там, где встречаются цифровые технологии и деньги, появляется большое количество мошенников, которым нужно противодействовать», – заметил спикер.
«Газпромбанк» сегодня переводит ряд своих сервисов на поддержку облачной электронной подписи. При ее применении отсутствует фактор потери ключа пользователем, нет проблем с вывозом СКЗИ за границу.
Заместитель генерального директора компании «Аладдин Р.Д.» Алексей Сабанов представил аутентификацию как основу доверия online-транзакциям. Хотя он начал с утверждения о том, что доверие к процессу выстроить практически невозможно, а вот оценить риски и принять правильное решение для конкретной транзакции гораздо проще.
По мнению спикера, перед тем, как предоставить пользователю доступ к какому-то информационному ресурсу, нужно оценить риски этого доступа и его необходимость, а также убедиться в том, что выполнена правильно идентификация и аутентификация, авторизация прошла успешно. «Цель идентификации, особенно первичной, которая проходит при регистрации, – в том, чтобы убедиться в том, что субъект является тем, за кого себя выдает. Поэтому без личной явки здесь обойтись невозможно. Вопрос в том, кому можно доверить первичную регистрацию? Ведь у МФЦ, к примеру, нет оборудования для проверки на подлинность паспортов. Все эти вопросы должны решаться на законодательном и нормативно-правовом уровне», – сказал он.
На самом деле, процесс аутентификации гораздо проще, чем процесс идентификации при регистрации. Когда пользователь уже зарегистрирован в системе, ему нужно просто предъявить нужный идентификатор и подтвердить свою личность. Как же можно получить доверие к результатам первичной идентификации? Нужно убедиться, что предоставленные данные уникальны: проверить на подлинность бумажные документы и проверить присутствие предъявленных документов (номер паспорта, ИНН, СНИЛС и др.) в государственных реестрах, а также проверить, как эти электронные данные связаны с конкретной личностью. «Если все требования к первичной идентификации соблюдены, то уровень доверия легко вычисляется», – резюмировал Алексей Сабанов.