BIS Journal №1(36)/2020

13 апреля, 2020

Подпись в смартфоне – для безопасности и для бизнеса

В последние годы экспертное сообщество непрерывно говорит о бурном развитии цифровых каналов банковского обслуживания, а также о связанных с ними проблемах: увеличением активности мошенников, использующих социальную инженерию, небезопасности кодов подтверждения операций, передаваемых в SMS и Push, непреодолимых ограничениях на реализацию сервисов для мобильных пользователей. О том, как решить актуальные проблемы безопасности Интернет- и мобильного банкинга, а также создать необходимые условия для самых инновационных и востребованных сервисов мы побеседовали с Дарьей Верестниковой, коммерческим директором компании SafeTech.

 

Дарья, расскажите, пожалуйста, какие вопросы, связанные с информационной безопасностью, являются сейчас наиболее актуальными в области цифровых каналов обслуживания?

На наш взгляд, самым актуальным вопросом на сегодняшний день является проблема социальной инженерии. В частности, по информации ФинЦЕРТ Банка России, в 2018 году с использованием приёмов социальной инженерии было совершено более 97% хищений со счетов физических лиц. А в прошедшем 2019 году ситуация усугубилась ещё больше — у мошенников появилась возможность подмены исходящего телефонного номера на «реальные» номера колл-центров банков. Вы же помните, как прошедшей осенью новостные ленты пестрили сообщениями об успешных попытках злоумышленников получить данные пользователей, представившись «сотрудниками банков»? Мы в компании SafeTech уверены, что решение этой проблемы останется актуальным и в наступившем году.

Вторым важным вопросом и направлением активной деятельности экспертного сообщества в финансовых институтах является обеспечение соответствия требованиям Положения Банка России № 683-П от 17.04.2019г. Очевидно, что в условиях увеличения числа преступлений в финансовой сфере регулятор продолжает задавать основные направления борьбы с ними. По информации МВД России в течение девяти месяцев 2019 года был зафиксирован 70%-й рост количества преступлений в сфере IT, в том числе с использованием банковских карт и мобильных устройств. И выполнение требований Банка России, какими бы сложными в реализации они ни казались, является в полном смысле слова, велением времени.

Третьим актуальным вопросом, связанным с информационной безопасностью, является уязвимость распространённых, но уже устаревших методов авторизации пользователей ДБО и подтверждения проводимых ими операций по одноразовому SMS-коду. Показательным является международный опыт: за последние 6 месяцев 2019 года 6 крупнейших банков Германии посчитали такой способ подтверждения платежей небезопасным и приняли решение отказаться от него. Аналогичные сообщения поступали из Турции и ряда других стран Евросоюза. Как известно, проблема заключается в недостатках протокола ОКС-7 (SS7). Уязвимости в этом протоколе позволяют злоумышленникам «незаметно похитить» номер телефона пользователя, даже без ведома Оператора связи, а также «отслеживать» его владельца, и в конечном счёте — похитить денежные средства у ничего не подозревающего легального клиента банка.

 

Дарья, давайте обсудим эти вопросы подробнее. Расскажите подробнее о проблеме социальной инженерии, и как с ними бороться?

Это очень серьёзная проблема, которая настигла, прежде всего, простых граждан. Конечно же банки активно предупреждают пользователей об опасности, но истории про то, как мошенник «выудил» у клиента код подтверждения и похитил деньги мы слышим всё чаще и чаще.

Существует несколько наиболее массовых сценариев хищений, в которых клиента просят сообщить присланный код подтверждения. Самым распространённым в 2019 году способом стал звонок «представителя службы безопасности банка» с просьбой для отмены «свершающейся прямо сейчас попытки мошенничества» срочно сообщить код из SMS или PUSH. Второй популярный способ – звонок из «кредитного отдела банка» для погашения задолженности. В условиях стрессовой ситуации продиктовать мошеннику код может даже очень осторожный клиент.

«Технологическая» сторона проблемы социальной инженерии заключается в том, что в одном SMS или Push-сообщении невозможно представить все реквизиты платежа, чтобы человек сам видел, куда в действительности будут отправлены его деньги. Если же дать клиенту возможность подтверждать своё волеизъявление только после просмотра реальных реквизитов и вообще без необходимости вводить какой бы то ни было код, то социальная инженерия станет просто невозможной! В частности, одно из возможных решений проблемы — мобильная аутентификация и подпись в смартфоне — реализовано таким образом, что никаких кодов подтверждения нет, но есть полное отображение реквизитов операции и гарантия того, что на конкретном телефоне клиента будет исполнена именно эта операция.

 

Некоторые эксперты говорят, что помимо проблемы социальной инженерии коды в SMS или Push-сообщениях обладают и собственными недостатками, прежде всего, в отношении выполнения требований Положения Банка России № 683-П от 17.04.2019г. Вы согласны?

Привычный для всех SMS-код имеет целый ряд ограничений, начиная с того, что он никак не гарантирует ни целостность, ни авторство «подписываемого» с его помощью документа. Код подтверждает лишь то, что кто-то что-то когда-то совершил. Какое уж тут «выполнение требований 683-П»? Кроме того, в настоящее время всё чаще судебная практика в России сводится к признанию SMS «неперсонифицированным» средством подтверждения. Помимо этого, операторы связи подняли цены и использование SMS стало ещё и дорогим!

Удорожание SMS привело к тому, что банки начали использовать PUSH-коды. На первый взгляд, это казалось оптимальным, и многие перешли на эту технологию. Но эксперты в области безопасности справедливо называют такой вариант «профанацией электронной подписи». Судите сами: на сервере прикладной системы «сгенерировался» какой-то одноразовый пароль (ОТР), он как-то был передан клиенту на смартфон, иногда даже сам за клиента «подставился» в интерфейс и сам «подписал» транзакцию. Это же страшный сон любого специалиста ИБ!

 

Итак, для решения перечисленных проблем Вы предлагаете подпись в смартфоне. Чем она отличается от обычной, и в чём преимущество её использования для клиентов?

Несколько лет назад мы представили рынку решение PayControl для подписи в смартфоне, призванное закрывать все риски, существующие в SMS- и PUSH-подтверждениях, и позволяющее «превратить» мобильное устройство в аналог USB-токена с таким же высоким уровнем безопасности и очень простым пользовательским сценарием. Сейчас PayControl – это полноценная платформа мобильной аутентификации и электронной подписи. При её использовании обеспечивается эффективное противостояние наиболее распространённым атакам на клиентов («перевыпуск» SIM-карты, фишинг, подмена документа, социальная инженерия и т. д.). Главный принцип – клиент видит реквизиты платежа на своём смартфоне и подтверждает их одним нажатием кнопки.

Если углубиться в технику, то стоит отметить, что в основе PayControl лежит асимметричная криптография. Закрытый ключ «рождается», «живёт» и «умирает» в конкретном смартфоне – попытки воспроизведения ключа на другом устройстве ни к чему не приводят. Подпись формируется как функция от 4-х аргументов: реквизиты конкретной операции, ключ клиента, момент времени и «отпечаток» смартфона пользователя. Решение PayControl может быть полностью встроено в мобильное приложение банка. Даже если предположить, что злоумышленник как-то получит доступ к ключу пользователя, то он никак не сможет его использовать для другой операции, на другом устройстве, в другое время.

 

А как быть с классическими пользователями Интернет-банка?

Конечно, концепция Mobile First – это тренд, но мы никогда не забываем о других каналах. Например, чтобы PayControl подписал на смартфоне документ, абсолютно не имеет значения, в каком канале он был создан. Это может быть не только мобильный банк, но и Интернет-банк, отделение операциониста и даже банкомат. Важно то, что информация о совершенной операции приходит прямо в смартфон клиента, где он проверяет детали операции, подписывает полноценной электронной подписью.

Более того, мобильная подпись для пользователей Интернет-банка предоставляет ещё и весьма интересные дополнительные возможности. Первая из них — вход посредством смартфона в личный кабинет. Совсем недавно с одним из банков из «топ 5» мы запустили самый масштабный проект для физических лиц, где реализовали не только подпись операций, но и такой вход в Интернет-банк. На экране компьютера вместо окна с логином и паролем отображается QR-код. Вы открываете мобильное приложение банка, считываете QR-код, и автоматически «проваливаетесь» в личный кабинет!

Аналогичную функциональность можно реализовать и для банкоматов. И для этого не требуется внедрять в банкоматы NFC – нужно лишь обновить ПО. На экране, по аналогии с Интернет-банком, появится QR-код, который клиент сканирует своим смартфоном и получает доступ к банкомату. Все действия в банкомате, будь то перевод или снятие наличных, клиент подпишет при помощи смартфона. Банк может даже выдать клиенту виртуальную карту, с которой клиент сможет снимать денежные средства и распоряжаться ими, не имея вообще пластикового аналога на руках. И всё это благодаря полноценной электронной подписи, которая формируется в мобильном устройстве клиента и может однозначно указать на конкретного пользователя и совершённое им действие и подписать любой тип волеизъявления.

 

Можно ли с помощью мобильной подписи решить ещё и проблему организации безбумажного офиса и подписи договоров клиентами без бумаг?

Конечно! Клиенты прямо со своего смартфона смогут подписывать любые договоры, которые раньше приходилось подписывать в офисе банка: от открытия новых счетов и карт, до оформления депозитов и кредитов. Сейчас банки тратят огромные средства на печать, подписание, хранение и логистику документов. А безбумажный документооборот помимо того, что упрощает действия пользователя, ещё и значительно сокращает затраты Банка на коммуникации с клиентами.

 

Говоря о подписи договора, мы вплотную подошли к вопросу о формировании на мобильном устройстве квалифицированной электронной подписи. Это возможно?

Нам удалось предложить рынку два решения для формирования «мобильной» подписи: «облегчённую» версию, которая идеально подходит для обслуживания физических и юридических лиц, а также «полновесное» решение, востребованное в тех областях, где необходима квалифицированная электронная подпись (КЭП). Решение для формирования КЭП называется myDSS и представляет собой совместную разработку компаний «КриптоПро» и SafeTech на базе программно-аппаратного комплекса облачной электронной подписи «КриптоПро DSS» и платформы PayControl. В 2018 году на это решение был получен сертификат ФСБ России.

Выбирая из двух решений, очень важно понимать, что различным сегментам клиентов и наборам сервисов необходим разный уровень безопасности и юридической значимости. Например, при дистанционном обслуживании физлиц или небольшого бизнеса простой или усиленной неквалифицированной подписи может быть вполне достаточно, но для предприятий с государственным участием или тех, кто взаимодействует с госструктурами (сдача налоговой отчётности, регистрация юридических лиц и прочее), необходимо использовать сертифицированные средства электронной подписи и усиленную квалифицированную электронную подпись.

 

Какие услуги банков уже были реализованы с использованием квалифицированной электронной подписи со смартфона?

На рынке уже представлены такие сервисы: удалённая регистрация бизнеса, сдача налоговой отчётности, система дистанционного банковского обслуживания, торги и Госзакупки прямо с мобильного устройства. Таких проектов с каждым днём появляется всё больше и больше. Если у нас совместно с регулятором отрасли, совместно с удостоверяющими центрами, с ведущими производителями криптографических решений в России получится предоставить банкам технологии, которые помогут жителям страны экономить время, деньги, силы, то таких проектов станет ещё больше, и мы сможем «оКЭПить» каждого жителя страны, чтобы он стал полноценным участником безопасного электронного взаимодействия.

 

В каком направлении происходит дальнейшее развитие ваших технологий мобильной аутентификации и электронной подписи?

Мы активно развиваем решение, проводим интеграцию с различными системами обеспечения безопасности, в частности с биометрическими системами аутентификации и антифрод-системами. Это необходимо, например, для предоставления банкам возможности «адаптивной аутентификации», а также возможности ещё большего повышения уровня безопасности и удобства клиентов. Интеграция с биометрическими системами позволит добавить дополнительные факторы аутентификации при совершении так называемых «высокорисковых» операций, а использование передовых антифрод-систем позволит «на лету», в момент совершения операции, оценивать риск её подписи и работы пользователя на конкретном мобильном устройстве.

Таким образом, PayControl – это действительно полноценная платформа, которая позволит банкам, как кубики, собирать те функциональные возможности, которые им необходимо получить. Это позволяет нам говорить о новом классе систем обеспечения безопасности транзакций, которые мы сейчас выводим на рынок, и которые будут «взрывать» его в ближайшие несколько лет.

Смотрите также