20 апреля, 2022

Злободневные проблемы идентификации и аутентификации

Из года в год подтверждается актуальность вопросов идентификации и аутентификации в финансовой сфере, особенно это заметно сейчас, когда идет повсеместный перевод в цифровую форму всех видов услуг и взаимодействия.

Об этом шла речь на сессии «Вопросы идентификации, аутентификации и применения электронной подписи сторонами банковского взаимодействия», которая состоялась 18 апреля в рамках конференции «Информационная безопасность банков». Ведущими сессии в этом году выступили эксперты профессионального сообщества – Алексей Сабанов, заместитель генерального директора компании «Аладдин Р.Д.» и Станислав Смышляев, заместитель генерального директора компании «КриптоПро».

 

Безопасность применения ЭП в кредитно-финансовой сфере

Владимир Иванов, директор по развитию компании «Актив», в своем докладе «Универсальность и безопасность применения электронной подписи в кредитно-финансовой сфере» затронул вопросы нормативной базы. Так, в Положении № 683-П Банка России есть моменты, которые связаны с защитой передаваемых сообщений, в частности, указывается, что электронные сообщения должны быть защищены, обеспечены их целостность, неизменность и авторство. Электронная подпись (ЭП) в данном случае должна применяться в соответствии с Федеральным законом «Об электронной подписи» (ФЗ-63), отметил эксперт.

В ФЗ-63 прописано три вида ЭП: простая, усиленная и квалифицированная. Целостность, неизменность и авторство одновременно может быть обеспечено минимум усиленной неквалифицированной ЭП и усиленной квалифицированной ЭП. «Поэтому я бы предложил простую электронную подпись из рассмотрения в контексте 683-П не упоминать», – подчеркнул Владимир Иванов.

Еще есть ряд нормативных документов, которые разрабатываются ФСТЭК. Эксперт привел информацию из проекта ГОСТА, касающегося доверия к аутентификации, где вводятся уровни доверия к аутентификации. Также там перечислены средства аутентификации: запоминаемый секрет (статический пароль), поисковый секрет (ранее сгенерированные коды), внеполосный аутентификатор (смс, пуш-уведомления), однофакторные генераторы одноразовых паролей.

«С внеполосной аутентификацией произошла совершенно странная история, – поделился своим мнением Владимир Иванов. – Изначально она задумывалась как хорошая штука: человек работает на компьютере, а ему по второму каналу приходит код подтверждения по телефону. Когда у нас мобильные банковские приложения, смс, пуш-уведомления «слились», эта история с моей точки зрения потеряла всякий смысл». Соответственно в данном случае устанавливаются очень низкий и низкий уровни доверия.

Дальше вводится усиленная аутентификация. Здесь уже все сложнее – это запоминаемый пароль, т.е. статический пароль + динамический, который может присылаться по смс, многофакторный генератор одноразовых паролей, криптографическое программное средство и однофакторное криптографическое аппаратное средство. К такой аутентификации устанавливается средний уровень доверия, рассказал эксперт.

Наконец, строгая аутентификация, которую можно сопоставить с квалифицированной подписью. Здесь уже требуется многофакторная криптографическая аутентификация (программно-аппаратная или аппаратная), которая обеспечивает высокий уровень доверия к аутентификации. Либо это уже многофакторное криптографическое устройство, которое работает с неизвлекаемыми ключами, т.е. вычисляет криптографию у себя на борту и при этом задействует второй фактор. Здесь вводится очень высокий уровень доверия.

«Какой все-таки уровень аутентификации достаточен для применения в кредитно-финансовой сфере и работает ли здесь рискоориентированная модель? Мне представляется, что простой аутентификации, простой электронной подписи явно недостаточно, если принимать во внимание ГОСТ, – считает Владимир Иванов. – При этом усиленная и строгая аутентификация требуют криптографии – либо в мобильном устройстве, либо на рабочем месте пользователя. Мое мнение – максимальную безопасность можно обеспечивать только при помощи строгой аутентификации и вычисления подписи на устройствах с неизвлекаемым ключом в любом виде».

 

Вопросы практического применения новой редакции 63-ФЗ

Алексей Дегтярев, руководитель единой цифровой платформы Тинькофф Банка, в своем выступлении «Банки как доверенные лица УЦ ФНС России» поднял ряд злободневных вопросов в контексте новой редакции 63-ФЗ.

По словам эксперта, изменения, внесенные в 63-ФЗ, были подсказаны самим временем. Правильность решения о разделении потока электронных подписей и о введении единого центра ответственности, не вызывает сомнений, потому что эти меры действительно позволяют обезопасить рынок.

Вместе с тем изменения в 63-ФЗ вызывают очень много вопросов. «Многие, кто за 10 лет отстроил свои бизнес-процессы – от операторов отчетности до электронных площадок – оказались отрезанными от своих клиентов, стало невозможно отследить цифровой путь клиента, – обозначил проблему Алексей Дегтярев. – Раньше любой клиент мог получить услугу в режиме одного окна, теперь требуется либо становиться доверенным лицом ФНС России или управления Федерального казначейства, либо отправлять клиента в ФНС за электронной подписью. Немало было сломано копий вокруг данной проблемы, в итоге родилось постановление Правительства № 2409 «О дополнительных требованиях к доверенным лицам удостоверяющего центра федерального органа исполнительной власти, уполномоченного на осуществление государственной регистрации юридических лиц».

Алексей Дегтярев привел в своем выступлении ряд статистических данных. С 1 января на рынке удостоверяющих центров (УЦ) стало больше порядка, отметил эксперт, но их количество серьезно сократилось. Если ранее было более 500 УЦ, то сейчас их осталось 41, т.е. только 10% участников рынка соответствуют новым строгим требованиям.90% сертификатов выдается УЦ первой десятки, причем львиная доля приходится на ФНС, Казначейство и 10 коммерческих УЦ.

Одной из серьезных проблем, по мнению Алексея Дегтярева, является длинный клиентский путь: «По отзывам участников рынка и тех, кто получает электронные подписи, этот путь новый, сложный и непонятный. Особенно для людей, которые не разбираются в криптографии. Хотелось, чтобы он был более простым и состоял из 2-3 шагов».

«В этой связи предлагалось решение, позволяющее участникам рынка становиться доверенными лицами ФНС России, чтобы получать услуги и сервисы там, где клиенты привыкли это делать, причем, не зависимо от того что это – электронная площадка, банк, оператор ЭДО, оператор отчетности», – отметил эксперт.

Постановление Правительства № 2409 также наложило на участников рынка определенное количество ограничений. Например, не каждая организация могла стать доверенным лицом. Банков это ограничение не коснулось, поскольку финансовые организации исторически соответствуют строгим критериям безопасности, имеют безопасные сервисы, собственную идентификацию, свои скоринговые модели.

Алексей Дегтярев рассказал еще о многих нюансах и сложностях работы на рынке в настоящее время.

По итогам докладов состоялась дискуссия, в которой наряду с выступившими экспертами и модераторами сессии приняли участие Кирилл Дутов, управляющий партнер, Промсвязьбанк; Алексей Лебедь, заместитель руководителя удостоверяющего центра, департамент защиты информации, Газпромбанк; Николай Шкалов, руководитель службы Удостоверяющего центра УОИБ ДБ Банка ВТБ (ПАО).

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

29.03.2024
Евросоюз обозначил ИБ-угрозы на ближайшие шесть лет
29.03.2024
В законопроекте об оборотных штрафах есть лазейки для злоупотреблений
29.03.2024
«Когда мы говорим об учителях, то подошли бы и китайские планшеты»
28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
28.03.2024
В РФ готовят базу для «усиленной блокировки» незаконного контента
28.03.2024
Термин «риск ИБ» некорректен по своей сути
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных