За заботу о кибербезопасности клиенты заплатят дорого
За реформу информбезопасности банков расплатятся их клиенты. Нацелившись на защиту средств граждан и компаний от хищений, Центробанк потребовал, чтобы банки «разделили технологии» или ввели ограничения по платежам. Итогом данных требований может стать, в том числе и необходимость наличия пары мобильных телефонов или электронной цифровой подписи, чтобы работать с мобильным банком.
По словам главы комитета АРБ по банковской безопасности Александра Велигуры, со стороны ассоциации сейчас готовится запрос в ЦБ с просьбой о пояснении вступивших в силу с 1 июля поправок к положению о требованиях к информбезопасности банков (382-П). Проблему содержит п.2.10.5 указанного документа, вводящий новое требование — в случае невозможности обеспечения кредитной организацией непосредственного контроля защиты информации от вредоносных кодов по клиентским платежам, банк должен позаботиться о предоставлении раздельных технологий в период, когда клиент готовит и подтверждает платеж.
Эти меры должны стимулировать в том числе и к использованию различных программных сред для формирования платежек и подтверждения трансакций, а также сверки реквизитов платежного документа как при его формировании, так и при подтверждении. В случае невозможности применить раздельные технологии, банки должны ограничить сумму трансакции, перечень получателей, временный период ее совершения, устройства, на которых доступно формирование платежного документа и его подтверждение, а также география плательщика.
По словам специалистов по информбезопасности, само понятие «раздельные технологии» весьма размыто и не до конца понятно, что имел в виду регулятор.
К примеру, если проводить платежи через мобильный банк, то нужен только телефон. Но обеспечит ли он разделение технологий? У экспертов нет единого мнения. По словам генерального директора SafeTech Дениса Калемберга, широко используемые сегодня SMS/PUSH-коды уже не могут полноценно защитить от хищения денежных средств при переводах. Поэтому, при работе с мобильным банком можно воспользоваться компактным устройством, которое способно контролировать реквизиты и подключаться к смартфону через Bluetooth. По словам директора департамента розничных продуктов МКБ Алексея Охорзина, если нарушается контур безопасности мобильных оперсистем, требуется использование резервных каналов, с помощью которых можно подтверждать операции. Речь в данном случае, например, о резервном смартфоне для получения СМС- и PUSH-паролей, генераторе паролей, звонке в колл-центр, мобильной версии интернет-банка в веб-браузере или физическом устройстве с ЭЦП. Но подтверждение возможно и без допустройств. По словам управляющего директора управления по работе с розничным бизнесом Росевробанка Артема Гребнева, подтверждение операций возможно при помощи секретного пароля, направляемого, к примеру, по спецссылке в браузере, или при помощи пароля, который приходит в личный кабинет на сайте банка.
Но, как показывает практика, любая новация может вызвать негативное отношение со стороны банковских клиентов, так как им или придется больше платить за использование мобильного банка, так как придется покупать дополнительное устройство, или потребуется больше временных трат. Конечно, можно пойти в обход требования регулятора, пользуясь так называемым контролем кода, то есть супермегаантивирусом, встроенным в мобильный банк. По словам заместителя председателя СДМ-банка Олега Илюхина, важно, чтобы приложения нельзя было устанавливать на «серые» смартфоны и смартфоны, операционная система которых «сломана» и нелицензирована, ведь как раз такие смартфоны больше остальных подвержены воздействию вредоносных ПО. Как сказал Артем Гребнев, не менее важна функция распознавания встроенной прошивки и контроля целостности вложений. По мнению управляющего директора по ИТ и технологиям Абсолют-банка Натальи Поздеевой, в положении есть допущения. Например, можно не соблюдать это требование при введении ограничений по операциям (суммы перевода, география, временные периоды, идентификаторы устройств и т. п.). Для банков это не ведет к дополнительным затратам и однозначно регулятор примет его в качестве защиты клиентских средств.
Банкирам нужны пояснения от ЦБ — несмотря на вступление в силу требования о раздельных технологиях с 1 января 2020 года, необходимо уже сегодня подумать о внесении существенных изменений в программное обеспечение. Но пока четкости нет.
