BIS Journal №2(53)2024

8 мая, 2024

Время отказаться от SMS

Отказ от привычных способов подтверждения транзакций для банков в виде кодов из СМС и push — необходимость. И не только из-за нормативных документов ЦБ. Множащиеся атаки на клиентов банков требуют повышения уровня безопасности.

Кроме того, грядущее увеличение штрафов за отказ от перехода на безопасное подтверждение операций делают излишний консерватизм слишком дорогим в финансовом плане. К счастью, на рынке есть решения, позволяющие обеспечить безопасное подтверждение операций в соответствии с требованиями законных и подзаконных актов.

В начале апреля в СМИ был вал публикаций о мошеннических схемах, в которых социальные инженеры убеждали граждан называть им код из СМС, и в результате получали доступ к мобильному банку и выводили деньги со счета жертвы. Скрипты были разные. Например, абонентов сотовой связи, ссылаясь на теракт в «Крокус Сити Холл», просили подтвердить номер телефона. 

Объединяло все эти схемы одно — деньги выводились из банков, в которых транзакции подтверждались кодами из СМС или push-сообщений. То есть из тех кредитных организаций, кто фактически нарушал требования регулятора.

 

ЧТО СКАЗАЛ ЦБ?

Еще 18 февраля 2022 года ЦБ указанием № 6071-У внес изменения в Положение от 17 апреля 2019 г. № 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента". Тогда и были конкретизированы требования по подписанию электронных сообщений. В документе появилась норма — «в целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом кредитные организации должны обеспечивать реализацию мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения» (пункт 5.1 положения № 683-П). В марте 2023 года мегарегулятор еще раз подтвердил свое желание усилить безопасность электронных сообщений, указав в разъяснительном письме: «использование ПЭП в указанных целях возможно только совместно с СКЗИ, реализующими функцию имитозащиты информации с аутентификацией отправителя сообщения».

 

ЗАЧЕМ СКАЗАЛ? ОЧЕВИДНОЕ

Причины, по которым ЦБ ужесточит требования к подтверждению финансовых транзакций, очевидны.  Коды из СМС или push-сообщений уязвимы во время всего своего жизненного цикла. Начнем с того, что одноразовый код известен банку до момента отправки клиенту, что может стать аргументом в конфликтной ситуации (например, когда было хищение, платеж был подтвержден кодом из СМС и клиент утверждает, что он СМС не получал). Кроме того, в передаче кода задействована третья сторона, уязвимость инфраструктуры которой может привести к массовым хищениям со счетов клиентов. Есть вопросы и по каналу связи. В документации Google прямо прописан запрет на передачу банковских кодов через канал PUSH. Канал передачи СМС является небезопасным из-за уязвимости протокола SS7. Это уже привело к массовым хищениям у клиентов немецких банков и запрету на использование смс кодов в Европе (платежная директива PSD2) и Сингапуре. Помимо этого, перевыпуск SIM-карты по поддельной доверенности позволяет мошенникам получить код вместо клиента. А код, доставленный в смартфон, может быть перехвачен вредоносным ПО, введен на фишинговом сайте или выведан при помощи социальной инженерии.

 

НЕОЧЕВИДНОЕ

Неочевидно другое: почему многие кредитные организации до сих пор не выполняют требования регулятора — пункт 5.1 положения № 683-П вступил в силу еще в октябре 2022 года. Тем более что на рынке есть решения, которые могут обеспечить безопасное подтверждение транзакций в соответствии с требованиями положения 683-П.

 

ЧЕТЫРЕ ВАРИАНТА

Для этого могут использоваться решения, основанные на симметричной или асимметричной криптографии, аппаратные или программные. Пример решений, основанных на симметричной криптографии — аппаратные криптокалькуляторы и программные генераторы кодов подтверждения для смартфонов. Минус первых — неудобство (необходимо руками вбивать пин-код, номер счета, сумму, генерировать код, вбивать его в поле подтверждения) плюс стоимость от 10 долларов.

Генераторы кодов — это мобильные приложения, ими удобнее пользоваться и удобнее распространять, но есть вопросы при возникновении спорных ситуаций с клиентами. На асимметричной криптографии основаны аппаратные USB токены и мобильная электронная подпись. У первого решения минусом также является стоимость и отсутствие возможности работать с мобильными устройствами (за исключением новых моделей с NFC). Мобильная электронная подпись — это приложение для смартфона, она имеет преимущества решений на асимметричной криптографии (закрытый ключ только у клиента, отображение документа на экране перед подписанием, нет кода, который можно было бы ввести на фишинговый сайт или сообщить мошеннику и т. д.) плюс удобство. 

 

ОПТИМАЛЬНЫЙ ВАРИАНТ

Очевидно, что их всех четырех вариантов оптимальным является именно мобильная электронная подпись, совмещающая низкую стоимость, простоту распространения и юридическую значимость. Например, PayControl ГОСТ, который является средством для формирования усиленной неквалифицированной электронной подписи в смартфоне. Решение работает с использованием сертифицированных СКЗИ КриптоПро CSP и JCP, что позволяет сформировать и проверить усиленную неквалифицированную электронную подпись в соответствии с государственными стандартами ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012. Использование PayControl ГОСТ не только повышает защищенность операций, снижая уровень фрода в ДБО (в том числе и с использованием социальной инженерии), но и повышает usability для клиента. 

PayControl ГОСТ позволяет «превратить» мобильное устройство в аналог USB-токена с таким же высоким уровнем безопасности и очень простым пользовательским сценарием. Происходит подтверждение транзакций следующим образом — клиент создает операцию в DIGITAL-канале, информация об операции отображается в мобильном приложении, клиент нажимает «Подтвердить», операция подписывается, вся процедура может занять до 3,5 секунд. Создаётся подпись путём криптографических преобразований подтверждаемой информации в сочетании с уникальными характеристиками конкретного смартфона. PayControl ГОСТ работает на ОС Android и iOS.

 

О ВЫГОДЕ

Подтверждение финансовых транзакций в соответствии требованиями регулятора несет кредитной организации и финансовую выгоду. Если взять небольшой розничный банк с клиентской базой в 200 тыс. чел, то траты его на смс будут порядка 420 руб. на клиента в год, то есть более 80 млн руб. по банку в целом. Если это банк с корпоративными клиентами, то расходы на смс могут быть и 800 млн руб. в год, так как юрлица проводят больше операций. Переход на PayControl ГОСТ позволят сэкономить от 60 млн руб. ежегодно (если банк розничный), и сотни миллионов рублей в банке для юрлиц.

Кроме того, законодатели обсуждают возможность повышения штрафов для кредитных организаций за неисполнение требований нормативных документов ЦБ, в том числе и положения 683-П. Размер санкций предлагают увеличить в 10 раз, до 1% от собственных средств (капитала) вместо 0,1% сейчас. Поэтому подтверждение транзакций кодами из смс или push-сообщений в будущем может обернуться для банков ощутимыми штрафами. Так что самое время переходить на PayControl ГОСТ, позволяющий выполнить требования нормативных документов ЦБ и при этом сэкономить на стоимости СМС.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

22.05.2024
15-я конференция Школы IT-менеджмента «Экономика данных. Вызовы и перспективы»
22.05.2024
Проводники РЖД перейдут на российские смартфоны с ОС «Аврора»
22.05.2024
Возможность договориться и слепота регуляторов на местах. Что ещё вывело Россию в лидеры по майнингу?
22.05.2024
ИИ-вендоры договорились ограничивать технологию, когда это необходимо
22.05.2024
В ЦИПР-2024 принимают участие 14 международных делегаций
21.05.2024
Запись звонков в режиме реального времени граничит с нарушением неприкосновенности частной жизни
21.05.2024
Банк России рекомендовал финорганизациям усилить контроль за своими платёжными агентами
21.05.2024
Обязательное импортозамещение в организациях затормозилось
21.05.2024
Указания ЦБ РФ свидетельствуют о том, что он контролирует процессы импортозамещения
21.05.2024
Минэк рассказал, как нужно защищать отечественные ИТ-решения

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных