Закон «О национальной платежной системе»: чего ждать и на что надеяться
Со следующего года вступают в силу новые положения Закона «О национальной платежной системе», которые обяжут банк возвращать, не дожидаясь результатов расследования, деньги на карточку, если ее владелец заявляет, что средства были сняты без его ведома. Казалось бы, нужно только радоваться. Однако, это не совсем так, пишет Неманья Никитович в Forbes.
Есть риск, что в первое время после вступления в силу новых положений мы увидим рост мошеннических атак на системы интернет-банкинга: найдутся те, кто захочет воспользоваться гарантией возврата денег и удвоить свои счета, вступив в сговор с хакерами. По разным оценкам, рост числа атак может составить до 10%.
В 2011 году самым популярным способом хищений денег со счета стало использование троянских программ, замаскированных под безобидные файлы и открывающих злоумышленнику доступ ко всему содержимому компьютера, включая файлы, логины, пароли и т. д. В 2012 году чаще стали применять узконаправленные атаки, цель которых — ваши счета. Злоумышленник внедряется в канал связи между банком и пользователем, по этой причине тип атаки называется Man in the Middle.
В поиске средств борьбы с данными атаками российские банки перешли на систему скретч-карт — паролей на бумажных носителях, но степень надежности этого метода сомнительна. В заранее заготовленном списке паролей большого смысла нет: носители неудобны, их легко потерять, да и сам список неизменяемых паролей априори плохо защищен. По статистике, 70% атак на систему дистанционного банковского обслуживания происходит при хранении ключей на незащищенных носителях. В силу своей относительной дешевизны весьма популярной в России является генерация пароля через смс, но смысла в этом еще меньше, ибо канал связи не защищен, смс-сообщения легко перехватываются, к тому же сообщения могут быть отправлены с компьютера злоумышленника.
В свое время в Европе также был принят подобный закон, который назывался "Директива о платежных услугах". Подобно внедрению новых систем защиты от злоумышленников, Директива вводилась поэтапно: сначала несколько лет велось ее обсуждение (причем банки были активно в это обсуждение вовлечены), затем Директива адаптировалась к законодательству отдельных государств, после чего была принята на уровне всего ЕС. Весь процесс занял в общей сложности около восьми лет. Половину этого времени европейские банки занимались поиском и внедрением новых способов информзащиты.
Сегодня европейские банки в массовом порядке переходят на внедрение нового типа защиты — многофакторных систем строгой аутентификации, способных к тому же функционировать в агрессивной среде интернета даже при ненадежном соединении. Система основана на том, что для идентификации пользователя используются элементы из разных категорий: 1) нечто, известное пользователю (пароль, ПИН-код), 2) нечто, принадлежащее пользователю (карта, смарт-карта), 3) нечто, являющееся самим пользователем (биометрические характеристики). Технология широко распространяется и используется уже не только в банковской сфере, но и везде, где требуется надежное подтверждение той или иной операции.
В России же будут действовать менее предусмотрительно. Более того, у нас невозможно застраховать риски своей операционной деятельности, как в Европе, а значит, банкам приходится надеяться только на себя. Что означает усиливание защиты систем онлайн-банкинга.
