Отказ от привычных способов подтверждения транзакций для банков в виде кодов из СМС и push — необходимость. И не только из-за нормативных документов ЦБ. Множащиеся атаки на клиентов банков требуют повышения уровня безопасности.
Кроме того, грядущее увеличение штрафов за отказ от перехода на безопасное подтверждение операций делают излишний консерватизм слишком дорогим в финансовом плане. К счастью, на рынке есть решения, позволяющие обеспечить безопасное подтверждение операций в соответствии с требованиями законных и подзаконных актов.
В начале апреля в СМИ был вал публикаций о мошеннических схемах, в которых социальные инженеры убеждали граждан называть им код из СМС, и в результате получали доступ к мобильному банку и выводили деньги со счета жертвы. Скрипты были разные. Например, абонентов сотовой связи, ссылаясь на теракт в «Крокус Сити Холл», просили подтвердить номер телефона.
Объединяло все эти схемы одно — деньги выводились из банков, в которых транзакции подтверждались кодами из СМС или push-сообщений. То есть из тех кредитных организаций, кто фактически нарушал требования регулятора.
ЧТО СКАЗАЛ ЦБ?
Еще 18 февраля 2022 года ЦБ указанием № 6071-У внес изменения в Положение от 17 апреля 2019 г. № 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента". Тогда и были конкретизированы требования по подписанию электронных сообщений. В документе появилась норма — «в целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом кредитные организации должны обеспечивать реализацию мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения» (пункт 5.1 положения № 683-П). В марте 2023 года мегарегулятор еще раз подтвердил свое желание усилить безопасность электронных сообщений, указав в разъяснительном письме: «использование ПЭП в указанных целях возможно только совместно с СКЗИ, реализующими функцию имитозащиты информации с аутентификацией отправителя сообщения».
ЗАЧЕМ СКАЗАЛ? ОЧЕВИДНОЕ
Причины, по которым ЦБ ужесточит требования к подтверждению финансовых транзакций, очевидны. Коды из СМС или push-сообщений уязвимы во время всего своего жизненного цикла. Начнем с того, что одноразовый код известен банку до момента отправки клиенту, что может стать аргументом в конфликтной ситуации (например, когда было хищение, платеж был подтвержден кодом из СМС и клиент утверждает, что он СМС не получал). Кроме того, в передаче кода задействована третья сторона, уязвимость инфраструктуры которой может привести к массовым хищениям со счетов клиентов. Есть вопросы и по каналу связи. В документации Google прямо прописан запрет на передачу банковских кодов через канал PUSH. Канал передачи СМС является небезопасным из-за уязвимости протокола SS7. Это уже привело к массовым хищениям у клиентов немецких банков и запрету на использование смс кодов в Европе (платежная директива PSD2) и Сингапуре. Помимо этого, перевыпуск SIM-карты по поддельной доверенности позволяет мошенникам получить код вместо клиента. А код, доставленный в смартфон, может быть перехвачен вредоносным ПО, введен на фишинговом сайте или выведан при помощи социальной инженерии.
НЕОЧЕВИДНОЕ
Неочевидно другое: почему многие кредитные организации до сих пор не выполняют требования регулятора — пункт 5.1 положения № 683-П вступил в силу еще в октябре 2022 года. Тем более что на рынке есть решения, которые могут обеспечить безопасное подтверждение транзакций в соответствии с требованиями положения 683-П.
ЧЕТЫРЕ ВАРИАНТА
Для этого могут использоваться решения, основанные на симметричной или асимметричной криптографии, аппаратные или программные. Пример решений, основанных на симметричной криптографии — аппаратные криптокалькуляторы и программные генераторы кодов подтверждения для смартфонов. Минус первых — неудобство (необходимо руками вбивать пин-код, номер счета, сумму, генерировать код, вбивать его в поле подтверждения) плюс стоимость от 10 долларов.
Генераторы кодов — это мобильные приложения, ими удобнее пользоваться и удобнее распространять, но есть вопросы при возникновении спорных ситуаций с клиентами. На асимметричной криптографии основаны аппаратные USB токены и мобильная электронная подпись. У первого решения минусом также является стоимость и отсутствие возможности работать с мобильными устройствами (за исключением новых моделей с NFC). Мобильная электронная подпись — это приложение для смартфона, она имеет преимущества решений на асимметричной криптографии (закрытый ключ только у клиента, отображение документа на экране перед подписанием, нет кода, который можно было бы ввести на фишинговый сайт или сообщить мошеннику и т. д.) плюс удобство.
ОПТИМАЛЬНЫЙ ВАРИАНТ
Очевидно, что их всех четырех вариантов оптимальным является именно мобильная электронная подпись, совмещающая низкую стоимость, простоту распространения и юридическую значимость. Например, PayControl ГОСТ, который является средством для формирования усиленной неквалифицированной электронной подписи в смартфоне. Решение работает с использованием сертифицированных СКЗИ КриптоПро CSP и JCP, что позволяет сформировать и проверить усиленную неквалифицированную электронную подпись в соответствии с государственными стандартами ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012. Использование PayControl ГОСТ не только повышает защищенность операций, снижая уровень фрода в ДБО (в том числе и с использованием социальной инженерии), но и повышает usability для клиента.
PayControl ГОСТ позволяет «превратить» мобильное устройство в аналог USB-токена с таким же высоким уровнем безопасности и очень простым пользовательским сценарием. Происходит подтверждение транзакций следующим образом — клиент создает операцию в DIGITAL-канале, информация об операции отображается в мобильном приложении, клиент нажимает «Подтвердить», операция подписывается, вся процедура может занять до 3,5 секунд. Создаётся подпись путём криптографических преобразований подтверждаемой информации в сочетании с уникальными характеристиками конкретного смартфона. PayControl ГОСТ работает на ОС Android и iOS.
О ВЫГОДЕ
Подтверждение финансовых транзакций в соответствии требованиями регулятора несет кредитной организации и финансовую выгоду. Если взять небольшой розничный банк с клиентской базой в 200 тыс. чел, то траты его на смс будут порядка 420 руб. на клиента в год, то есть более 80 млн руб. по банку в целом. Если это банк с корпоративными клиентами, то расходы на смс могут быть и 800 млн руб. в год, так как юрлица проводят больше операций. Переход на PayControl ГОСТ позволят сэкономить от 60 млн руб. ежегодно (если банк розничный), и сотни миллионов рублей в банке для юрлиц.
Кроме того, законодатели обсуждают возможность повышения штрафов для кредитных организаций за неисполнение требований нормативных документов ЦБ, в том числе и положения 683-П. Размер санкций предлагают увеличить в 10 раз, до 1% от собственных средств (капитала) вместо 0,1% сейчас. Поэтому подтверждение транзакций кодами из смс или push-сообщений в будущем может обернуться для банков ощутимыми штрафами. Так что самое время переходить на PayControl ГОСТ, позволяющий выполнить требования нормативных документов ЦБ и при этом сэкономить на стоимости СМС.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных